こんにちは。
元美術教師のうさぎ先生です。
2026年3月8日、セキュリティプラグインのWordfenceからこんなエラー通知が届きました。
プラグイン “SiteGuard WP Plugin” にはセキュリティに脆弱性があります。
脆弱性:中!
び、微妙な響き…
今回のエラーに対する対応を、備忘録記事として残しておくことにしました。
SiteGuard WP Pluginの脆弱性
今回の脆弱性の概要
- プラグイン名:SiteGuard WP Plugin
- 影響を受けるバージョン:1.7.9以下の全バージョン
- 脆弱性の深刻度:5.3/10.0 (中)
- 識別番号:CVE-2026-27411
「SiteGuard WP Plugin」はWordPressサイトを不正ログインや攻撃から守るためのセキュリティプラグインです。
無料で利用できて日本語対応が充実しているということで、多くのサイトで導入されていますし、初心者おすすめプラグインとしてもよく紹介されていますよね。
ログインページのURL変更、画像認証(CAPTCHA)の追加、ログイン試行回数の制限など、わたしも便利に使わせていただいていたプラグインなので、驚きました…
セキュリティを守るはずの
プラグインに脆弱性って、
とても怖いですよね…!
どんな問題があるのか?
WordFenceの詳細ページは翻訳ベースだということもあり、ちょっとよくわからなくて…
詳しい方がまとめてくださっているありがたい記事によると、「未ログイン状態の攻撃者によって、管理者が見る”ログイン履歴”の表示条件の操作ができる」ようになってしまったようです。
参考 SiteGuard WP Plugin 1.7.9以下に脆弱性|未ログインで管理画面が改ざんできることが発覚 | Ficus
参考 CVE Record: CVE-2026-27411
データそのものを消したり盗んだり
するわけではないけれど、
「隠せるようになってしまった」という
表現が正しいのだとか。
これ自体が直接的に大きな問題だ!即座に危険がある!というよりは、この影響で「ログイン履歴の表示条件を隠された状態で、万が一不正アクセスが起きた際に発見が遅れて被害が拡大するリスクがある」のだそうです。
他のエラーや攻撃と組み合わされることで重大な被害につながる可能性があるということなんですね。
なお、わたしのセキュリティプラグインWordfenceがエラーを通知したのは3月8日ですが、脆弱性の発覚は2月23日だったんだそうです。無料版のWordfenceは少し情報が遅いのだとか。
Ver.1.7.9の脆弱性、意外と話題になっていないのはなぜ?
こういう著名なプラグインでエラーが発生した時って、大体Twitterでも大きな話題になって、そこから情報を得ることが多いのですが、今回は「SiteGuard」で検索してもTwitterにもGoogleにもほとんど情報が出てきませんでした。
これは「そこまで重大なエラーではない」ということなのか、いわゆる仲間内というか「クローズドなコミュニティでは話題になっている」ということなのか…?
わたしはどこかのコミュニティに所属していたりブログ仲間がいたりというタイプではないので、こういう時に戸惑ってしまいます><
なんなら、SiteGuardを勧める記事も
脆弱性発覚以降の日付で
多く出てきていました。
不思議すぎる…
SiteGuardはVer.1.7.6でも脆弱性が話題に(2024年6月)
ちなみにSiteGuardはVer.1.7.6の時にも脆弱性で話題になっています。1年半ほど前ですね。
当時は「ログインページの変更機能を利用してログインページへリダイレクトを行わない設定」としていた場合でも、ログインページのURLが漏洩するという脆弱性が判明していたのだそうです。(識別番号CVE-2024-37881)
この時の脆弱性のほうが、今回よりも
直接的な危険がありそうな感じですね
なお、この脆弱性はVer.1.7.7で修正されました。
参考 【セキュリティ ニュース】WP向けプラグイン「SiteGuard WP Plugin」に脆弱性 – アップデートを(1ページ目 / 全1ページ):Security NEXT
参考 WordPressプラグイン「SiteGuard WP Plugin」に脆弱性が見つかりました。|株式会社エンクリエイト
SiteGuard WP Plugin・これまでの設定を記録してから一旦削除する
わたしはSiteGuard以外にWorcfenceというセキュリティプラグインも入れているので、とりあえずSiteGuardのほうは削除することにしました。
Ver.1.8.0以降で修正されるようであれば、またインストールします。
問題があるプラグインは「無効」ではなく「削除」しなければダメ?
プラグインは無効化していてもデータベースに関連情報が保存されます。
残ったデータベースに攻撃を受ける可能性があることから、セキュリティリスクが残ってしまうと言えるので無効化ではなく削除が必要になってきます。
それに、無効化しているプラグインのことって忘れてしまいますよね。
これにより修正された最新バージョンへの更新が遅れてしまい、古いバージョンの脆弱性を突いた攻撃を受ける可能性が高まります。
使わなくなったプラグインは、
「無効化」ではなく
「削除」がいいんですね!
おわりに
今回は2026年2月に発見されたプラグインSiteGuard WP Plugin(Ver.1.7.9)の脆弱性について、自身の対処を記録しておくための備忘録記事でした。
WordPressのプラグインはとても便利なのですが…
今回のようにトラブルが起こった時は自力での対処が必要になるというところが、アメブロやnoteに所属するブログはないデメリットなのですよね;;
SiteGuardを使用している方にとって、何か少しでもヒントになることがあると嬉しいです。
(Ver.1.7.9が修正されたら、ここに追記しますね)
コメント