WordPressで顧客対応を効率化できる有料プラグイン「Support Board」に深刻な脆弱性が発見されました。
この脆弱性は、サイトにログインしていない第三者によってサーバー内の重要なファイルを削除されてしまう恐れがある、非常に危険な内容です。
しかし同時に、こうした脆弱性が発見され、迅速に修正される仕組みが整っているのも、WordPressの強みのひとつ。
本記事では、Support Boardの機能紹介とともに、今回の脆弱性の概要、そして「なぜ定期的なアップデートがサイトの安全につながるのか」をわかりやすく解説します。
目次
Support Boardとは?
Support Board(サポートボード) は、WordPressにチャット機能やカスタマーサポート機能を追加できる有料プラグインです。SlackやDialogflow、WhatsAppなどとの連携が可能で、ユーザー対応を効率化できる点が魅力です。
多機能かつデザイン性も高いため、企業サイトやECサイトでも広く採用されています。
主な特徴:
- チャットボットの自動応答機能
- 外部連携(Slack, WhatsApp, Messengerなど)
- ユーザーとのやり取りの履歴管理
- WordPressユーザーとの統合
しかし、この人気プラグインに2025年、深刻なセキュリティ脆弱性が発見されました。
発見された脆弱性(CVE-2025-4828)の内容
Wordfenceの報告によると、Support Board v3.8.0以下において、認証不要の任意ファイル削除が可能となる脆弱性が存在していました。
🛠 脆弱性の概要
- 対象:Support Board v3.8.0 以下
- CVE ID:CVE-2025-4828
- 深刻度:CVSSスコア 9.8(Critical)
- 影響内容:ログインしていない第三者が、サーバー内の任意のファイルを削除できてしまう
- 攻撃の一例:
wp-config.phpや.htaccessを削除されると、サイトが動作しなくなります
この脆弱性は、攻撃者が細工したリクエストを送ることで、WordPressの重要なファイルを外部から削除できるという非常に危険な内容です。
なぜ怖いのか?サイト管理者への影響
このような脆弱性が放置されたままでは、以下のような被害が発生する可能性があります:
- サイトが表示されなくなる(
wp-config.php削除など) - .htaccess 削除によるSEOやセキュリティの損失
- 他の脆弱性と組み合わせた不正アクセス(RCE)
- Google検索結果からの除外や風評被害
企業サイトやECサイトの場合、数時間のダウンでも信用・売上に大きなダメージを与えることがあります。
安全に使い続けるには?── アップデートの重要性
幸いにも、Support Boardの開発者はこの脆弱性を把握し、バージョン3.8.1で修正を行っています。
現在、最新版を利用している場合は心配ありません。
✔ 対策方法
- Support Board を最新版(3.8.1以降)へ更新する
- WordPress自体・他のプラグインも含めて「定期的なアップデート」を習慣にする
- サイトのバックアップを自動で取得する仕組みを整えておく
脆弱性があっても大丈夫?── 安心できる理由
「脆弱性」と聞くと不安になるかもしれませんが、実は今回のように
脆弱性が発見され → 公開され → 修正される流れがあるからこそ、WordPressは安全に使えるのです。
大切なのは、「発見されたときに、きちんとアップデートすること」。
サイレントに進行する攻撃とは違い、WordPressは世界中の開発者やセキュリティ研究者が監視しているオープンで健全なエコシステムの中で動いています。
まとめ:定期的なアップデートが、最大の防御
| 対策のまとめ |
|---|
| Support Board を最新版にアップデートする(3.8.1以上) |
| WordPress本体や他のプラグインも定期的に更新する |
| 万が一に備えたバックアップの仕組みを持つ |
参考リンク
WordPressを「安心して」使い続けるために、アップデートは“保守”ではなく“最良の防御”です。
プラグインを活用している方は、ぜひこの機会にアップデート状況を確認してみてください。
コメントを残す