【重要】WordPressの脆弱性(wp2shell/CVE-2026-63030)に関する注意喚起とサーバー側対策のお知らせ
2026/07/19
平素は弊社運営サービスをご利用いただき、誠にありがとうございます。
このたび、コンテンツ管理システム「WordPress」のコア機能において、
外部からの攻撃により第三者による任意のコード実行(Webサイトの乗っ取り)を引き起こすおそれのある
重大な脆弱性(CVE-2026-63030、通称「wp2shell」)が公表されました。
本脆弱性は、認証やログインを必要とせず、
また導入しているプラグインやテーマの有無にかかわらず、
該当バージョンのWordPressをご利用の場合に影響を受けるものです。
現時点で、当サービスにおける本脆弱性を悪用した被害は確認しておりませんが、
お客様のWebサイトを安全にご利用いただくための暫定的な対策として
対象サーバーにおいて本脆弱性の攻撃経路となるREST APIのバッチエンドポイント(/wp-json/batch/v1)への通信を
遮断する対応を実施いたしました。
ただし、本対応はあくまで被害の発生を抑えるための暫定的な措置であり、根本的な解決には至りません。
恒久的な対策として、お客様ご自身によるWordPress本体のアップデートを何卒よろしくお願いいたします。
お客様には大変ご迷惑をおかけいたしますが、安全なサービス提供を最優先とした対応となりますので
何卒ご理解とご協力を賜りますようお願い申し上げます。
----------------------------------------------------------------------
■公表された脆弱性
CVE-2026-63030(通称:wp2shell)
※連携して悪用されるSQLインジェクションの脆弱性(CVE-2026-60137)を含みます。
■影響を受けるWordPressのバージョン
・WordPress 6.9.0 〜 6.9.4
・WordPress 7.0.0 〜 7.0.1
・WordPress 6.8.0 〜 6.8.5(連携するSQLインジェクションの影響対象)
■対象サービス
エックスサーバー
XServerビジネス
XServer for WordPress
■弊社にて実施済みの対策
対象サーバーにおいて、REST APIのバッチエンドポイント(/wp-json/batch/v1)への通信を遮断(2026年7月19日 AM6:30頃 実施)
■お客様への影響について(重要)
上記の遮断対応に伴い、REST APIのバッチ処理機能(batch v1//wp-json/batch/v1)が一時的にご利用いただけなくなっております。
通常のWebサイトの表示・閲覧、および管理画面の操作には影響ありませんが、
batch v1のREST APIを利用したプラグイン・テーマ・外部連携・独自開発の機能をご利用の場合、
当該機能が正常に動作しなくなる可能性があります。
■お客様へのお願い(重要)
お客様がご利用中のWordPressを、以下の修正版以降へ速やかにアップデートしてください。
・6.9.x をご利用の場合 → 6.9.5 以降
・7.0.x をご利用の場合 → 7.0.2 以降
・6.8.x をご利用の場合 → 6.8.6 以降
※自動更新を有効にされている場合も、実際にアップデートが完了しているか管理画面にてご確認ください。
■今後の対応について
恒久的な対策として、お客様のWordPressアップデート状況および攻撃の状況を継続して確認のうえ、
安全が確認でき次第、遮断対応の解除を検討いたします。
状況に変化があった場合は、改めてご案内いたします。
----------------------------------------------------------------------
弊社では、今後もお客様に安心してご利用いただけるよう、サービスおよびセキュリティの向上に努めてまいります。
今後ともどうぞよろしくお願い申し上げます。
このたび、コンテンツ管理システム「WordPress」のコア機能において、
外部からの攻撃により第三者による任意のコード実行(Webサイトの乗っ取り)を引き起こすおそれのある
重大な脆弱性(CVE-2026-63030、通称「wp2shell」)が公表されました。
本脆弱性は、認証やログインを必要とせず、
また導入しているプラグインやテーマの有無にかかわらず、
該当バージョンのWordPressをご利用の場合に影響を受けるものです。
現時点で、当サービスにおける本脆弱性を悪用した被害は確認しておりませんが、
お客様のWebサイトを安全にご利用いただくための暫定的な対策として
対象サーバーにおいて本脆弱性の攻撃経路となるREST APIのバッチエンドポイント(/wp-json/batch/v1)への通信を
遮断する対応を実施いたしました。
ただし、本対応はあくまで被害の発生を抑えるための暫定的な措置であり、根本的な解決には至りません。
恒久的な対策として、お客様ご自身によるWordPress本体のアップデートを何卒よろしくお願いいたします。
お客様には大変ご迷惑をおかけいたしますが、安全なサービス提供を最優先とした対応となりますので
何卒ご理解とご協力を賜りますようお願い申し上げます。
----------------------------------------------------------------------
■公表された脆弱性
CVE-2026-63030(通称:wp2shell)
※連携して悪用されるSQLインジェクションの脆弱性(CVE-2026-60137)を含みます。
■影響を受けるWordPressのバージョン
・WordPress 6.9.0 〜 6.9.4
・WordPress 7.0.0 〜 7.0.1
・WordPress 6.8.0 〜 6.8.5(連携するSQLインジェクションの影響対象)
■対象サービス
エックスサーバー
XServerビジネス
XServer for WordPress
■弊社にて実施済みの対策
対象サーバーにおいて、REST APIのバッチエンドポイント(/wp-json/batch/v1)への通信を遮断(2026年7月19日 AM6:30頃 実施)
■お客様への影響について(重要)
上記の遮断対応に伴い、REST APIのバッチ処理機能(batch v1//wp-json/batch/v1)が一時的にご利用いただけなくなっております。
通常のWebサイトの表示・閲覧、および管理画面の操作には影響ありませんが、
batch v1のREST APIを利用したプラグイン・テーマ・外部連携・独自開発の機能をご利用の場合、
当該機能が正常に動作しなくなる可能性があります。
■お客様へのお願い(重要)
お客様がご利用中のWordPressを、以下の修正版以降へ速やかにアップデートしてください。
・6.9.x をご利用の場合 → 6.9.5 以降
・7.0.x をご利用の場合 → 7.0.2 以降
・6.8.x をご利用の場合 → 6.8.6 以降
※自動更新を有効にされている場合も、実際にアップデートが完了しているか管理画面にてご確認ください。
■今後の対応について
恒久的な対策として、お客様のWordPressアップデート状況および攻撃の状況を継続して確認のうえ、
安全が確認でき次第、遮断対応の解除を検討いたします。
状況に変化があった場合は、改めてご案内いたします。
----------------------------------------------------------------------
弊社では、今後もお客様に安心してご利用いただけるよう、サービスおよびセキュリティの向上に努めてまいります。
今後ともどうぞよろしくお願い申し上げます。