Geo Mashupプラグインにおける重大なSQLインジェクション//公開日 2026-05-05//CVE-2026-6457

WP-FIREWALL セキュリティチーム

Geo Mashup CVE 2026-6457

プラグイン名 ジオマッシュアップ
脆弱性の種類 SQLインジェクション
CVE番号 CVE-2026-6457
緊急 高い
CVE公開日 2026-05-05
ソースURL CVE-2026-6457

CVE-2026-6457 — Geo MashupにおけるSQLインジェクション (<= 1.13.19): WordPressサイトの所有者が今すぐ行うべきこと

WP-Firewallからの実践的な専門ガイド: このSQLインジェクションが意味すること、低権限ユーザーによってどのように悪用されるか、即座に検出し軽減する方法、そして類似の脆弱性に対してWordPressサイトを強化する方法。.

著者: WP-Firewall セキュリティチーム
日付: 2026-05-05
タグ: WordPress、脆弱性、SQLインジェクション、セキュリティ、Geo Mashup、CVE-2026-6457

エグゼクティブサマリー

Geo Mashup WordPressプラグインにおいて、高重大度のSQLインジェクション脆弱性 (CVE-2026-6457) が公開され、バージョン <= 1.13.19 に影響を与えています。認証されたユーザーであるSubscriberロールのユーザーは、不適切な入力処理を悪用してSQLを注入でき、CVSSスコアは8.5です。プラグインの作者はバージョン1.13.20で修正をリリースしました。.

Geo Mashupを任意のWordPressサイトで実行している場合は、すぐに1.13.20に更新してください。今すぐ更新できない場合は、軽減策を適用してください — ファイアウォール/WAF層での仮想パッチ適用、プラグインエンドポイントへのアクセス制限、またはプラグインの無効化を含めて、更新が適用できるまで。.

この投稿では、リスク、攻撃が実際にどのように見えるか(高レベル)、悪用の検出方法、そしてWP-Firewallが管理者や開発者に推奨する具体的な軽減手順を説明します。.

目次

  • 背景と文脈
  • 脆弱性とは何か(高レベル)
  • なぜこれが危険なのか(攻撃経路と影響)
  • 誰がリスクにさらされているか
  • 試みられたまたは成功した悪用の検出方法
  • 即時の軽減手順(非破壊的)
  • 開発者の修正: 根本原因を正しく修正する
  • 疑わしい侵害後のフォレンジックおよびインシデント対応
  • 長期的な強化とベストプラクティス
  • サイト所有者および管理ホスト向けの推奨チェックリスト
  • WP-Firewall無料プラン — 今すぐサイトを保護
  • 最終的なノートと参考文献

背景と文脈

Geo Mashupは、WordPressの投稿やコンテンツを地理的な場所に関連付けるために使用されるプラグインです。2026年5月5日に、バージョン1.13.19までの脆弱性が公に開示され、CVE-2026-6457が割り当てられました。この問題により、最小限の権限を持つ認証されたユーザー(Subscriber)がプラグインによって実行されるSQLクエリに影響を与え、SQLインジェクション(SQLi)の根本原因を作成することができます。.

SQLインジェクションは、成功した悪用が攻撃者にデータの読み取り、変更、破壊を許可したり、管理者アカウントを作成したり、他のシステムにピボットしたり、データベースサーバーが侵害された場合に任意のコマンドを実行したりすることができるため、最も危険なウェブ脆弱性のクラスの1つです。.

脆弱性とは何か(高レベル)

  • 脆弱性の種類: SQLインジェクション (OWASP A3 / データベースインジェクション)
  • 脆弱性: CVE-2026-6457
  • 影響を受けたプラグインのバージョン: <= 1.13.19
  • パッチ適用済み: 1.13.20
  • 必要な権限レベル: 認証された購読者(低権限)
  • CVSS: 8.5(高)

簡単に言うと: プラグインのコンポーネントが認証されたユーザーからの入力を受け入れ、それをデータベースクエリに使用する際に十分なサニタイズや安全なパラメータ化を行っていません。そのサニタイズされていない入力は、SQLクエリのロジックを変更するように作成され、データを露出、変更、または破壊することができます。.

この脆弱性はSubscriberレベルのアカウントのみを必要とするため、攻撃者は管理者アカウントを必要としません。Subscriberアカウントは多くのWordPressサイト(サイト登録、コメントシステム、メンバーシップ機能)で一般的に利用可能であり、潜在的な攻撃面が大幅に増加します。.

なぜこれが危険なのか — 攻撃経路と影響

  1. 参入障壁が低い
    • サブスクライバーは、一般的に公開登録または弱く制御されたワークフローを通じて利用可能な低特権です。.
    • 自動化されたスクリプトは、登録がオープンである場合や既存のユーザーのソーシャルエンジニアリングを通じて、多くのサブスクライバーアカウントを作成できます。.
  2. アプリケーション層を介したデータベースアクセス
    • SQLインジェクションにより、攻撃者はWordPressデータベースと対話できます。可能なアクションには以下が含まれます:
      • wp_options、wp_users、wp_posts、カスタムテーブルに保存されたユーザー資格情報やその他の機密データを抽出する。.
      • データを変更する:投稿内容を変更する、プラグイン設定を変更する、悪意のあるコンテンツを注入する。.
      • 新しい管理ユーザーを作成する(古典的なポスト認証SQLiの目標)。.
      • 重要なデータやインストーラーオプションを破損させ、ダウンタイムを引き起こす。.
  3. 大規模な悪用の可能性
    • 脆弱なエンドポイントがログインしたサブスクライバーから到達可能で、攻撃が自動化されている場合、数千のサイトが同時に標的にされる可能性があります。.
    • 脆弱性が広く使用されているプラグインカテゴリ(地理/位置プラグイン)にあるため、攻撃者は公開登録フローを持つサイトを優先します。.
  4. 間接的なエスカレーションと持続性
    • DBアクセスを持つ攻撃者は、バックドアやスケジュールされたタスクを植え付け、クリーンアップを難しくします。.
    • 攻撃者はデータベース資格情報を抽出し、他のシステム(メーリングリスト、バックアップ、外部統合)にピボットする可能性があります。.
  5. 検出の難しさ
    • 一部のSQLi攻撃は、ステルスで遅くなるように作成でき、ログにあまり明白でない足跡を残します。.
    • ログと整合性チェックが行われていない限り、損害が発生した後にのみ検出される可能性があります。.

これらの要因を考慮して、この脆弱性を高リスクとして扱い、直ちに対策を講じてください。.

誰がリスクにさらされているか

  • Geo Mashupプラグインのバージョン1.13.19以下を実行しているサイト。.
  • ユーザー登録を許可するサイト、またはサブスクライバーアカウントが利用可能なサイト。.
  • 厳格な監視、ログ記録、またはウェブアプリケーションファイアウォールがないサイト。.
  • 互換性や変更管理の制約により、プラグインの更新を即座に実行できないサイト。.

これらのいずれかが該当する場合は、今すぐ行動してください。.

試みられたまたは成功した悪用の検出方法

SQLiの試行や悪用を検出するには、複数のデータソースを収集してレビューする必要があります。単一の信号は決定的ではありません—複数の指標を相関させてください。.

レビューする主な場所:

  1. ウェブサーバーのアクセスログ(Apache、Nginx)
    • 予期しないパラメータを持つプラグインエンドポイントやadmin-ajax.phpへの異常なPOSTリクエストを探してください。.
    • ユーザー制御フィールドにSQLキーワードを含むリクエストを検索してください(例:SELECT、UNION、–、/*、OR 1=1)。注意してください—レビューなしで正当なトラフィックをブロックしないでください。.
  2. WordPressのアクティビティログ(有効な場合)
    • 予期しないIPからの新しいユーザー登録。.
    • 予期しない新しい管理者ユーザーの作成。.
    • プラグインオプション、スケジュールされたタスク、またはコア設定の変更。.
  3. データベースログ
    • 予期しないクエリを示す遅延クエリログ。.
    • 構文エラーや異常な実行時で失敗するクエリ。.
  4. ファイルシステムと整合性チェック
    • wp-contentまたはテーマディレクトリ内の新しいまたは変更されたファイル。.
    • プラグイン/テーマ内の予期しないPHPファイル、ウェブシェル、または注入されたコード。.
  5. ホスティングコントロールパネルのログまたはSSHログ
    • 疑わしいウェブリクエストと一致する異常なログインまたはSFTP/SSH活動。.
  6. WP-Firewall / WAFログ
    • SQLi インジケーターを持つブロックされたリクエスト。.
    • 特定のエンドポイントでのブロックされたイベントの突然の急増。.

例の検出クエリ(概念的なもので、エクスプロイトペイロードではありません):

  • 過去 30 日間にクエリ文字列に SQL キーワードを含む POST または GET リクエストのアクセスログを検索します。.
  • デフォルトまたは類似のメタデータで狭い時間枠内に作成されたアカウントの wp_users を確認します(ボット登録を示す可能性があります)。.
  • あなたが行っていないオプションへの最近の更新やシリアライズされた変更のために wp_options を確認します。.

エクスプロイトの兆候(作成された管理者ユーザー、データベースの異常、予期しないコンテンツ)が見られた場合は、それを侵害として扱い、インシデントレスポンスプランに従ってください(後で詳細を説明します)。.

即時の緩和策(非破壊的、優先順位付き)

WordPress サイトを管理している場合は、この優先順位リストに従ってください。ステップ 1 をスキップしないでください。.

  1. Geo Mashup プラグインをバージョン 1.13.20 に即座に更新します。
    • これが正しいかつ標準的な修正です。更新は根本原因を修正し、可能な限り最初のアクションとすべきです。.
  2. すぐに更新できない場合は、迅速な緩和策を適用します:
    • プラグインを完全に無効にします(短期的、安全)。.
      • WP 管理画面で:プラグイン → Geo Mashup を無効化します。.
      • ダッシュボードにアクセスできない場合は、SFTP/SSH 経由でプラグイン ディレクトリの名前を変更します。 wp-content/plugins/geo-mashupgeo-mashup.disabled
    • 脆弱なリクエストをブロックするために WAF/仮想パッチルールを適用します。.
      • 脆弱なパラメータを送信するために使用されるプラグイン固有のエンドポイントへのリクエストをブロックまたはチャレンジします。.
      • あなたの行動が許可する場合は、認証された購読者からのリクエストをそれらのエンドポイントにブロックします(以下の役割ベースの制限を参照)。.
    • プラグインファイルへのアクセスを制限します:
      • プラグイン管理エンドポイントへのHTTPアクセスを管理者またはホワイトリストに登録されたIPからのみ許可するように、ウェブサーバールール(.htaccess、Nginx)を使用して拒否します。.
    • ユーザー登録を閉じるか制限し、既存のサブスクライバーアカウントを確認します:
      • 必要ない場合は、公開登録を一時的に無効にします。.
      • 最近のサブスクライバーアカウントの作成を監査します。.
  3. 認証と監視を強化します:
    • 悪用が疑われる場合は、特権アカウント(管理者/編集者)のパスワードリセットを強制します。.
    • 管理者に対して強力なパスワードを強制し、可能な場合は2FAを有効にします。.
    • 疑わしい侵害の前にオフサイトバックアップが存在することを確認します。.
  4. 利害関係者に通知してください:
    • クライアントサイトを管理している場合は、所有者に直ちに通知し、意図した修正アクションを概説します。.

WAF特有のノート(WP-Firewallの視点)

  • WAFは仮想パッチを実装できます:特定のリクエストパターン、パラメータ名、またはコンテンツパターンをブロックして、既知のエクスプロイトペイロードが脆弱なコードパスに到達するのを防ぎます。.
  • 一般的なWAFルール:
    • プラグインで使用されるフィールドに疑わしいSQLメタ文字やSQLパターンを含むリクエストをブロックします。.
    • プラグインエンドポイントへのアクションにレート制限をかけます。.
    • 敏感なAJAXアクションには有効なWordPressノンスを要求し、期待されるノンスが欠落しているリクエストをブロックします。.
  • 仮想パッチは即時の緩和策であり、プラグインの更新の代替ではありません。.

開発者の修正: 根本原因を正しく修正する

プラグイン開発者、テーマ作成者、またはカスタムコードに責任を持つサイト開発者である場合、正しい修正はプラグイン内の安全なコード変更です:

  1. 準備されたステートメントとパラメータ化されたクエリを使用します
    • WordPressでは、使用します $wpdb->prepare(...) ユーザー入力を連結するのではなく、SQLクエリを構築するために。.
    • 例の概念パターン: $wpdb->get_results( $wpdb->prepare( "SELECT * FROM {$wpdb->prefix}table WHERE field = %s", $input ) );
  2. 入力をエスケープして検証する
    • 使用前にデータ型(整数、ブール値、列挙型)を検証する。.
    • 適切な場所で値をエスケープする(esc_sql 実行時構築におけるprepareの代わりにはならない)。.
    • 可能な限り厳格な許可リストで文字列入力をサニタイズする。.
  3. 機能チェックとノンス検証を強制する
    • 現在のユーザーがアクションに対して正しい権限を持っていることを確認する: current_user_can('edit_posts') またはアクションに適した権限。.
    • AJAXおよびフォーム送信でノンスを検証する: check_admin_referer(...) または check_ajax_referer(...).
  4. 最小特権の原則
    • サブスクライバー レベルのアクションがデータベース レベルのアクセスを必要とする機密操作を実行することを許可しない。.
    • エンドポイントを必要な最小限の役割に制限する。.
  5. 構築されたSQLの直接実行を避ける
    • 可能な限り、入力を適切にエスケープするWordPress API(13. 複数のサイトやクライアントを管理している場合:, get_posts, 、REST APIエンドポイント)を使用する。.
  6. 追加の開発者ベストプラクティス
    • SQLインジェクションベクターのテストを追加する。.
    • ユーザー提供コンテンツの連結に対するカスタムSQLを監査する。.
    • 貢献者のための安全なコーディングガイドラインを文書化する。.

侵害の疑いがある場合は、フォレンジックおよびインシデント対応を行う

サイトに悪用の証拠がある場合は、それをセキュリティインシデントとして扱う。取るべきステップ:

  1. サイトを隔離する
    • サイトをメンテナンスモードにするか、調査中は一般のアクセスをブロックします。.
    • サイトがライブ決済や重要なサービスをホストしている場合は、関係者と計画的なダウンタイムを調整します。.
  2. 証拠を保存する
    • 現在のサイトファイルとデータベースのバックアップを作成します(オフラインで保存し、変更しないでください)。.
    • 関連するログを収集します:ウェブサーバー、WordPressログ、WAFログ、データベースログ、ホスティングコントロールパネルログ。.
  3. トリアージして範囲を特定します。
    • 疑わしい活動が始まった時期、作成されたアカウント、変更されたリソースを特定します。.
    • ウェブシェル、予期しないスケジュールされたタスク(cronジョブ)、プラグイン/テーマファイルの変更、またはバックドアユーザーをチェックします。.
  4. 封じ込め
    • 発見されたウェブシェルとバックドアを削除または無効にします(ただし、法医学的画像をキャプチャした後のみ)。.
    • 管理者レベルのアカウントと侵害されたアカウントのパスワードをリセットします。.
    • データベースまたはオプションテーブルに保存されている可能性のあるAPIキーとシークレットをローテーションします。.
  5. 根絶と回復
    • 侵害前のクリーンバックアップを復元します(利用可能な場合)。.
    • すべてのプラグイン、テーマ、およびWordPressコアを最新の安全なバージョンに更新します。.
    • 完全性が保証された信頼できるソースからプラグインを再インストールします。.
  6. 事後対応
    • 完全なセキュリティ監査とマルウェアスキャンを実行します。.
    • 再発の兆候を監視します。.
    • セキュリティポリシーを見直し、改善します(登録フロー、最小特権、バックアップ)。.

インシデントレスポンスを自分で行うことに不安がある場合は、信頼できるセキュリティ専門家または管理されたセキュリティサービスに依頼します。.

長期的な強化とベストプラクティス

このインシデントを修正することは重要ですが、将来のインシデントを防ぐことはさらに重要です。以下は推奨する長期的なアクションです:

  1. 最小権限の原則
    • ユーザーロールと権限を見直します。.
    • サブスクライバー役割には必要なものだけを割り当てます。クエリを実行するエンドポイントへのサブスクライバーアクセスを避けます。.
  2. ユーザー登録を強化します。
    • 公開登録が必要ない場合は、それを無効にしてください。.
    • 新しいアカウントには手動承認またはメール確認を使用してください。.
    • 登録フォームにはCAPTCHAまたはその他のボット防止機能を追加してください。.
  3. セキュリティパッチの自動更新
    • セキュリティパッチを迅速に適用してください。自動更新が許可される場合は、サイトの機能にリスクの低いプラグインに対してそれを有効にしてください。.
  4. 中央集権的なログ記録と監視
    • オフサイトで少なくとも90日間ログを保持してください。.
    • ファイルの変更を検出するために整合性監視を使用してください。.
  5. WAF / 仮想パッチ
    • WAFを使用して追加の防御層を提供し、更新が計画されている間に脆弱性を仮想的にパッチしてください。.
    • 偽陽性を避けるために、ルールをできるだけ具体的にカスタマイズしてください。.
  6. 定期的なバックアップとテストされた復元プロセス
    • 自動バックアップをオフサイトに保存してください。.
    • 定期的にバックアップの復元をテストしてください。.
  7. セキュリティスキャンとコードレビュー
    • プラグイン/テーマの脆弱性を定期的にスキャンしてください。.
    • カスタムコードまたはサードパーティの統合に対してコードレビューを実施してください。.
  8. カスタマイズにおいて能力チェックとノンスを使用してください。
    • データを変更するアクションに対して能力チェックを実装してください。.
    • リクエストが意図的であることを確認するためにWordPressノンスを使用してください。.

推奨チェックリスト(迅速で実行可能)

サイトの所有者と管理者のために — これらのステップを直ちに実行してください:

  • プラグインのバージョンを確認してください:Geo Mashup <= 1.13.19の場合、今すぐ1.13.20に更新してください。.
  • 今すぐ更新できない場合は、プラグインを無効にするか、そのディレクトリの名前を変更してください。.
  • 必要でない場合は、公開登録をレビューして一時的に無効にしてください。.
  • 最近のユーザーアカウント(購読者)を監査し、疑わしい作成時間/IPを確認してください。.
  • サイト全体のマルウェアスキャンを実行し、不正な管理者ユーザーを確認してください。.
  • 最近のバックアップが利用可能で、オフサイトに保存されていることを確認してください。.
  • SQLiパターンをブロックし、プラグインエンドポイントへのアクセスを制限するためにWAF/仮想パッチを有効にしてください。.
  • すべての管理者パスワードとサイトに保存されているAPIキー/資格情報をローテーションしてください。.
  • ロギングと保持を強化し、必要に応じてフォレンジック分析のためにログをエクスポートしてください。.
  • 侵害の兆候がある場合は、完全なインシデント対応手順に従ってください:隔離、証拠の保存、封じ込め、根絶、回復。.

WP-Firewall無料プラン — 修復中のワンクリック保護

今すぐサイトを保護してください — 即時カバレッジのための無料管理ファイアウォール

更新や調査中に迅速な管理保護が必要な場合、WP-Firewallは基本(無料)プランを提供しており、基本的な保護を提供します:管理ファイアウォール、無制限の帯域幅、Webアプリケーションファイアウォール(WAF)、マルウェアスキャナー、およびOWASP Top 10リスクの軽減。これらの機能は、脆弱なプラグインエンドポイントに対する攻撃試行をブロックし、更新やインシデント対応を調整している間に即時の仮想パッチを提供します。.

無料プランにサインアップして、すぐにサイトに保護の層を追加してください: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(追加の自動化が必要な場合、当社のスタンダードおよびプロプランは、自動マルウェア除去、IP許可/拒否制御、月次セキュリティレポート、および更新が遅れている場合でも保護を維持するための自動仮想パッチを提供します。)

実用的なWAFルールの例(概念的、安全なガイダンス)

以下は、WP-FirewallがGeo Mashupの問題のようなSQLiベクトルを軽減するために使用する概念的なWAF戦略です。これらはパターンであり、正確な攻撃ペイロードではなく、管理されたWAFまたはホスティングセキュリティチームによって適用できます。.

  1. プラグインエンドポイントを対象としたパラメータにSQL制御文字を含むリクエストをブロックしてください
    • プラグインエンドポイントが数値IDまたは既知の列挙を期待する場合、これらのパラメータに引用符(‘または“)やSQLコメントマーカー(–)またはUNIONキーワードを含むリクエストをブロックしてください。.
  2. 厳格なコンテンツタイプとメソッドチェックを強制してください
    • 特定のAJAXエンドポイントに対してのみPOSTを許可し、期待されるnonceヘッダーまたは値の存在を要求します。.
  3. 役割ベースのリクエスト制限
    • サブスクライバーアカウントからの敏感なプラグインエンドポイントへのアクセスをブロックします。エンドポイントが管理者専用である場合、管理者IP以外からのリクエストを拒否または挑戦します。.
  4. レート制限と異常検出
    • 自動化された悪用を防ぐために、同じIP/ユーザーエージェントからのプラグインエンドポイントへの繰り返しリクエストを制限します。.
  5. 仮想パッチングパターン
    • 脆弱なアクションハンドラーに対する既知のエクスプロイトシグネチャに一致するリクエストを傍受してドロップする特定のルールを追加し、プラグインを更新できるまで待ちます。.

重要: WAFルールは、正当なトラフィックに影響を与えないように慎重にテストする必要があります。段階的な展開を使用し、誤検知を監視します。.

これをクライアントやステークホルダーにどのように伝えるか

クライアントサイトを管理している場合は、このテンプレートを使用して明確かつ冷静に通知します:

  • 何が起こったか: Geo Mashupプラグインのバージョン<= 1.13.19に影響を与える高重大度のSQLインジェクションが公開されました。これにより、低権限の認証ユーザーがデータベースを改ざんできるようになります。.
  • 私たちが行ったこと: プラグインを1.13.20に更新するか(推奨)、一時的なWAFルールを適用する/プラグインを無効にして悪用をブロックします。.
  • あなたがする必要があること: 異常な活動に気づかない限り、あなたからのアクションは必要ありません。必要であれば、追加の監視を有効にし、セキュリティ監査を実施できます。.
  • 次に何が起こるか: 疑わしい活動を監視し、バックアップが無事であることを確認し、修復が完了次第短い報告書を作成します。.

明確なコミュニケーションはパニックを減らし、回復のためのリソースの優先順位を助けます。.

最終ノート

  • Geo Mashupプラグインをバージョン1.13.20に更新することを主要なアクションとします。.
  • いかなる疑わしい兆候(予期しないユーザー、変更されたコンテンツ、奇妙なクエリ)も緊急として扱います。.
  • 管理されたファイアウォール/WAFは、更新やより深いインシデントレスポンスを行っている間に貴重な仮想パッチングと監視を提供します。.
  • セキュアな開発プラクティスに従ってください:常に入力を検証し、パラメータ化します。能力チェックを強制し、サブスクライバー レベルのアクションが生のデータベースクエリに触れることを避けます。.

仮想パッチングルールの実装、WordPressユーザーロールの監査、または継続的な監視の設定に関して支援が必要な場合、WP-Firewallの基本プランは、即座に管理されたファイアウォールのカバレッジを無料で提供します。訪問してください: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

参考文献とさらなる読み物

  • CVE-2026-6457 (CVEエントリ)
  • Geo Mashupプラグインのリリースノート / 変更履歴 1.13.20
  • WordPress開発者ハンドブック: $wpdb->prepareとデータベースのベストプラクティス
  • OWASPトップ10 — インジェクションカテゴリ

(提供されたリンクは権威あるソースとプラグインの変更履歴へのものです。もし一箇所に集められた直接のリンクが必要な場合、私たちのチームが1ページのインシデントブリーフを準備できます。)

著者

WP-Firewall セキュリティチーム — 経験豊富なWordPressセキュリティエンジニアとインシデントレスポンダー。私たちは、あらゆる規模のWordPressサイトに対して実用的で迅速かつ安全な保護に焦点を当てています。.

サイトレビューや緩和策の適用に関するステップバイステップの支援が必要な場合は、この投稿に返信してください。私たちのチームがカスタマイズされたガイダンスを提供します。.

wordpress security update banner

WP Security Weeklyを無料で受け取る 👋
今すぐ登録!!

毎週、WordPress セキュリティ アップデートをメールで受け取るには、サインアップしてください。

スパムメールは送りません! プライバシーポリシー 詳細については。

無料のWordPressセキュリティコンサルテーションをご予約いただくには、お問い合わせください。

お問い合わせ

WPファイアウォール
香港、九龍、観塘、洪徳路71号、ザ・レイズ6階

特徴 価格 ブログ ログイン
プライバシーポリシー 利用規約 ドキュメント アフィリエイト

© 2026 WP-Firewall™