僅か8日で❣
Thank you for reading this post, don't forget to subscribe!2026年7月9日に公開されたばかりのWordPress 7.0.1から、わずか8日後の7月17日——突如としてリリースされた「WordPress 7.0.2」。この尋常ではないスピード更新の背景には、ログイン不要でサイト全体を乗っ取られかねない「Critical(緊急)」レベルの脆弱性が存在しました。
WordPress.orgは異例の強制自動アップデート(Forced Update)を断行。しかし、あなたのサイトは本当に最新版に切り替わっていますか? 本記事では、今回の緊急アップデートの真相と、サイト管理者が今すぐ取るべきアクションを徹底解説します。

なぜ7.0.1から「たった8日」で公開されたのか
通常、マイナーアップデートは数週間から数ヶ月のスパンで計画されます。しかし今回は、一般公開前に既に攻撃者の標的となっている痕跡が観測されたため、パッチ公開を前倒しせざるを得ませんでした。
7.0.2は単なるバグ修正ではなく、「セキュリティリリース」に分類されます。具体的には「Critical(緊急)」1件と「High(危険度高)」1件という、最悪の組み合わせによる脆弱性を塞ぐための応急処置なのです。

何が危険だったのか?——技術的脅威の内幕
攻撃者はこの脆弱性を連鎖させることで、管理者権限を奪取することが可能でした。
– Critical:REST API バッチ処理の経路混乱(RCE)
REST APIのバッチエンドポイントが誤ったルートを処理してしまい、入力バリデーションを迂回されます。これにより、SQLインジェクションと連鎖し、未認証(ログイン不要)のまま任意のコード(RCE)が実行可能な状態でした。
– High:WP_Query のSQLインジェクション
特定のパラメーター(`author__not_in`)のサニタイズ処理が不十分だったため、SQL文が直接書き換えられる脆弱性が存在しました。
この2つが組み合わさることで、デフォルト設定のままのサイトが、インターネット上に無防備にさらされていたことになります。

WordPress.org が「強制自動アップデート」を発動した理由
脆弱性の影響範囲は WordPress 6.9 〜 7.0.1 という広範囲に及びました。セキュリティチームはこの深刻度を鑑み、管理者の設定に関わらずバックグラウンドで強制的にアップデートが走る「フォースアップデート」を実施。
これはセキュリティ修正の詳細が公開された直後から、ハッカーが自動攻撃ツールを一斉に稼働させる「ゼロデイ攻撃」を防ぐための緊急措置です。

公式修正内容とバックポート情報
7.0.2 では以下の2点が公式に修正されました。
– Facilitated SQL Injection(WP_Query)
– REST API batch-route confusion による RCE
なお、古いバージョンをご利用の方のために、下位バージョンへのバックポートも提供されています。
– 6.9.5(両方の脆弱性を修正)
– 6.8.6(SQL Injection のみ修正)

今すぐ確認すべき「サイト健全性チェックリスト」
自動更新に頼るだけでなく、目視での確認があなたのサイトを守る最後の砦です。以下の項目を今すぐダッシュボードでチェックしてください。
– [ ]バージョン確認:管理画面 > ダッシュボード > 更新 で「7.0.2」と表示されているか。
– [ ] 自動更新のブロック有無:define(‘WP_AUTO_UPDATE_CORE’, false); などで強制停止していないか。
– [ ] 不審なアカウント:管理者権限を持つユーザーに見覚えのない名前が追加されていないか。
– [ ] ファイル改ざん:最近更新されたファイル(特にfunctions.phpや.htaccess)に心当たりがないか。

