
| プラグイン名 | シンプルオウルショートコード |
|---|---|
| 脆弱性の種類 | クロスサイトスクリプティング (XSS) |
| CVE番号 | CVE-2026-6255 |
| 緊急 | 低い |
| CVE公開日 | 2026-05-04 |
| ソースURL | CVE-2026-6255 |
緊急: シンプルオウルショートコード (<= 2.1.1) における認証済み寄稿者の保存型XSS — WordPressサイトオーナーが今すぐ行うべきこと
最近の報告では、認証済み寄稿者によって開始される可能性のあるシンプルオウルショートコードWordPressプラグイン (<= 2.1.1) における保存型クロスサイトスクリプティング (XSS) 脆弱性が明らかにされています。この投稿では、リスク、実際の攻撃シナリオ、検出および緩和手順、そしてWP-Firewallがどのようにあなたのサイトを即座に保護できるか(無料の保護プランを含む)を説明します。.
著者: WP-Firewall セキュリティチーム
日付: 2026-05-06
短い要約: シンプルオウルショートコードバージョン <= 2.1.1 (CVE-2026-6255) に影響を与える保存型クロスサイトスクリプティング (XSS) 脆弱性が2026年5月4日に公に開示されました。寄稿者レベルのアクセスを持つ認証済みユーザーは、特権ユーザーまたはサイト訪問者がアクションを実行したときに実行される持続的なXSSペイロードとなるコンテンツを作成できます。開示時点では公式なパッチはありません。以下では、これがどのように機能するか、WordPressサイトへの実際のリスク、悪用の検出方法、即時の緩和オプション(WAF仮想パッチや今すぐ適用できる他の強化手順を含む)を説明します。.
なぜこれが重要なのか(WordPressセキュリティの観点から)
保存型XSSは、コンテンツ管理システムで最も一般的に悪用される脆弱性の1つです。この特定の報告がサイトオーナーにとって重要である理由は、以下の組み合わせです:
- 脆弱性が 保存型 — 悪意のあるスクリプトがサイトのデータベースに書き込まれ、将来の訪問者や管理者に提供されるため、単一のリクエストで即座に反映されるだけではありません。.
- 寄稿者役割を持つ認証済みアカウントによって作成される能力 — 寄稿者はマルチオーサーブログで一般的であり、編集者や管理者がレビューするコンテンツを作成できます。.
- (開示時点で)公式なパッチが利用できないため、サイトオーナーは補償措置を講じない限り、危険にさらされます。.
保存型XSSの成功した悪用は、セッションの盗難、特権の昇格、サイトコンテンツの改ざん、悪意のあるリダイレクト、他のユーザーへのマルウェアや偽の管理者プロンプトの配布につながる可能性があります。即時の技術的影響が限られているように見える場合でも、評判やSEOの影響は重大なものとなる可能性があります。.
簡単な技術概要(研究者が報告したこと)
研究者は、シンプルオウルショートコード(プラグイン)がユーザー提供の入力(おそらくショートコード属性やそのショートコードに関連するコンテンツフィールド)を受け入れ、その入力を適切なサニタイズや出力エスケープなしにデータベースに保存することを発見しました。その保存されたコンテンツが後でページにレンダリングされると、悪意のあるペイロード(例えば、 、)パンくずリストをレンダリングするページや既知のプラグインエンドポイントの下にあるページをターゲットにします。 タグ、イベントハンドラーのような onmouseover, 、または ジャバスクリプト: URI)が被害者のブラウザで実行されます。.
報告された重要な詳細:
- 影響を受けるプラグイン:シンプルオウルショートコード
- 脆弱なバージョン:<= 2.1.1
- タイプ: 保存型クロスサイトスクリプティング (XSS)
- 必要な権限: 寄稿者 (認証済み)
- CVE: CVE-2026-6255
- 報告日 / 公開日: 2026年5月4日
- パッチ状況(報告された通り): 公開時に公式パッチは利用できません
- クレジットされた研究者: MAJidox
- 研究者によって参照されたCVSSスコア: 6.5(中程度)
注記: 正確な内部変数名とテンプレートコードパスはプラグインに固有です; 一般的には、信頼できない入力を保存し、適切なエスケープなしにHTMLに出力するものは、保存されたXSSの候補です。.
現実の攻撃シナリオ
実際の攻撃者がこれをどのように悪用できるかを理解することは、対策の優先順位を付けるのに役立ちます。以下は実際の攻撃フローです:
- 貢献者がペイロードを埋め込む:
- 貢献者が悪意のあるマークアップや属性を含む投稿、ページ、カスタムコンテンツ、またはショートコードエントリを作成します(例、,
、)パンくずリストをレンダリングするページや既知のプラグインエンドポイントの下にあるページをターゲットにします。またはショートコード属性内に埋め込まれたペイロード)。. - プラグインはそのコンテンツをデータベースに保存します。.
- 貢献者が悪意のあるマークアップや属性を含む投稿、ページ、カスタムコンテンツ、またはショートコードエントリを作成します(例、,
- 管理者/編集者が実行をトリガー:
- 編集者または管理者がエディタープレビューで投稿を開くか、フロントエンドでレビューします。.
- 悪意のあるスクリプトは特権ユーザーのブラウザのコンテキストで実行されます。管理者が認証されている場合、スクリプトは認証されたリクエスト(CSRFのような)を送信したり、セッションクッキーやトークンを抽出したりできます。.
- 攻撃者がエスカレート:
- 管理者のセッションまたはブラウザを介してアクションを実行する能力を持つ攻撃者は、新しい管理者アカウントを作成したり、バックドアをインストールしたり、サイト全体にコードを注入したり、訪問者にマルウェアを配布するためにサイトを使用したりできます。.
- 大規模な悪用:
- サイトが貢献者(ゲスト著者)を広く許可している場合、攻撃者は貢献者アカウントを作成(侵害されたアカウントやソーシャルエンジニアリングによるサインアップを通じて)し、ペイロードを追加することで多くのサイトを悪用できます。.
脆弱性が一部の構成で低権限の訪問者にのみ影響を示す場合でも、保存されたXSSは高リスクの連鎖です。なぜなら、それはより高価値の影響(管理者の乗っ取り、サイト全体にわたる持続的な注入)への踏み台として機能するからです。.
即時リスク評価チェックリスト(サイト所有者/管理者向け)
- Simple Owl Shortcodesがインストールされていて、アクティブで、バージョンが<= 2.1.1ですか?
- 投稿者または同様の低権限アカウントが投稿やショートコードを作成することを許可しますか?
- 編集者/管理者は、サニタイズなしでブラウザ(フロントエンドプレビュー)でコンテンツをレビューしていますか?
- 不審なPOSTを含むセキュリティログやWAFで警告を受け取ったことがありますか?
、)パンくずリストをレンダリングするページや既知のプラグインエンドポイントの下にあるページをターゲットにします。またはjavascript:ペイロードですか? - 最新のバックアップと監視が行われていますか?
最初の2つの質問のいずれかに「はい」と答えた場合、プラグインがパッチされるか脆弱性が軽減されるまで、これを高優先度の運用項目として扱ってください。.
取るべき即時のアクション(優先順位順)
- プラグインの状態を確認し、パッチが利用可能になった場合は更新してください。
プラグインの著者がパッチ版をリリースした場合は、すぐに更新し、サイトのテストページに表示の回帰がないか確認してください。. - パッチが利用できない場合は、プラグインを無効化または削除してください。
プラグインが提供する機能が必須でない場合は、攻撃面を排除するために一時的に無効化または削除してください。これが最も簡単で信頼性の高い軽減策です。. - 投稿者のアクセスを制限し、ユーザーアカウントを監査してください。
一時的に投稿者の権限を取り消すか、投稿者がレビューなしでコンテンツを公開または提出できないように編集ワークフローを変更してください。.
不審なサインアップや不明なメールのユーザーアカウントを監査してください。. - WAFの仮想パッチを適用してください(推奨)。
Webアプリケーションファイアウォールを使用して、プラグインを標的としたエクスプロイトペイロードをブロックしてください(これに対するルールセットを提供しています — 下記の例のルールを参照してください)。仮想パッチは迅速で、上流のベンダーパッチが利用可能になる前でもサイトを保護します。. - 注入されたコンテンツをスキャンし、クリーンアップしてください。
保存されたペイロードを見つけるために、サイト全体の整合性とマルウェアスキャンを実行してください(データベースを検索して、)パンくずリストをレンダリングするページや既知のプラグインエンドポイントの下にあるページをターゲットにします。, onmouseover, javascript:, または不審なbase64ブロブを探してください)。.
見つけた悪意のあるコンテンツを削除し、新たに追加された管理者ユーザーや変更されたコア/プラグインファイルを確認してください。. - 管理者アカウントを強化する
強力なパスワードを強制し、すべての編集者と管理者に二要素認証を使用し、キーとパスワードをローテーションし、古いセッションを期限切れにしてください。疑わしいインシデントの後、すべてのユーザーに強制的にログアウトを考慮してください。. - 防御的なHTTPヘッダーを追加する
インラインスクリプトを禁止し、スクリプトソースを制限することでXSSの影響を軽減するために、Content-Security-Policy (CSP) ヘッダーを追加する.
X-Content-Type-Options: nosniff、X-Frame-Options: DENY/SAMEORIGIN、およびReferrer-Policyを使用する. - ログとユーザー活動を監視する
疑わしいペイロードを含む投稿の作成または編集を試みる際のログ記録とアラートを強化する.
異常を確認するために最近のエディター/管理者の活動をレビューする.
WAF / 仮想パッチが今すぐあなたを保護する方法(具体的なガイダンス)
プラグインに既知の保存型XSSがあり、即時のパッチが利用できない場合、仮想パッチを備えたWAFはリスクを軽減する最も迅速かつ効果的な方法の一つです。仮想パッチは、コンテンツがアプリケーションやデータベースに到達する前に、悪意のあるリクエストをエッジでブロックします。また、サイト訪問者への保存された悪意のあるコンテンツの配信をブロックします。.
WAFルールのための有用な軽減戦略:
- スクリプトタグやショートコードで一般的に使用されるパラメータに危険な属性を送信するPOSTリクエストをブロックする(例: “を含む任意のパラメータ“
<script“, “ジャバスクリプト:“、 “onmouseover=”、 “onerror=”、 “innerHTML=”、または疑わしいbase64ペイロード)。. - コンテンツタイプの不一致があるリクエストをブロックする(例:フォームデータが期待されるPOSTでのtext/html)。.
- 短時間で複数の投稿/プログラムコンテンツを作成するリクエストをレート制限またはブロックする(急増するコンテンツ作成は疑わしい)。.
- 異常なIPからのwp-adminページへのアクセスを拒否し、ショートコードを変更する操作にはログインのみのアクションを要求する。.
- 通常はプレーンテキストであるべきフィールドに生のHTMLを含む保存データを監視し、ブロックする。.
以下は、ホスティング/WAF環境に適応できるModSecurityスタイルのルールの例です。これらはデモ用の例であり、誤検知を避けるために慎重にテストする必要があります。.
警告: 本番環境に適用する前にステージングでルールをテストする。過度に攻撃的なルールは正当な機能を破壊する可能性があります(ショートコードはしばしばHTMLやマークアップを受け入れます)。.
# Example ModSecurity rule - block attempts to POST script tags or event handlers
SecRule REQUEST_METHOD "POST" "phase:2,chain,deny,status:403,msg:'Block XSS payload containing script or event handlers',log"
SecRule REQUEST_BODY "(?i)<\s*script\b" "t:none,t:lowercase"
SecRule REQUEST_BODY "(?i)on(mouse|error|click|load)\s*=" "t:none,t:lowercase,allow"
# Example - block javascript: URIs in parameters
SecRule REQUEST_BODY "(?i)javascript\s*:" "phase:2,deny,id:1001002,msg:'Block javascript: URI in request body'"
# Example - block encoded script tags (basic)
SecRule REQUEST_BODY "(?i)?script" "phase:2,deny,id:1001003,msg:'Blocked encoded script tag in request body'"
# Example - block suspicious base64 blobs in fields that should be short text
SecRule REQUEST_BODY "([A-Za-z0-9+/]{100,}={0,2})" "phase:2,log,deny,id:1001004,msg:'Block suspicious large base64 payload in request body'"
# Example - whitelist control: allow html if it matches allowed patterns (be careful!)
# Not shown here — better to block and review than to try to create a broad whitelist without testing.
WP-Firewallサービスを使用している場合、私たちのチームはこの脆弱性に対してターゲットを絞った仮想パッチルールを即座にプッシュでき、悪用の試みをブロックしつつ正当なサイト機能への影響を最小限に抑えるように調整します。.
テーマレベルおよびコードレベルの強化(開発者側の一時的な修正)
プラグインを削除することが選択肢でない場合、またはWAFルールを即座に適用できない場合、一時的なテーマレベルまたはmuプラグインパッチが、適切なプラグインパッチが利用可能になるまで問題を軽減するのに役立ちます。.
- ショートコードから出力をエコーする前にサニタイズします:
- プラグインがユーザー制御可能な属性やコンテンツを出力する場合、作成者がエスケープ関数を使用することを確認してください:
esc_html()テキスト用esc_attr()属性値の場合wp_kses_post()(またはカスタムwp_kses()許可リスト)サニタイズされたHTMLのために
例: ショートコードからレンダリングされた出力をフィルタリングする小さなmuプラグインで強制サニタイズ(概念的な例):
<?php - プラグインがユーザー制御可能な属性やコンテンツを出力する場合、作成者がエスケープ関数を使用することを確認してください:
- 保存時に保存されたメタフィールドとショートコード属性をサニタイズします:
使用
テキストフィールドをサニタイズする()またはwp_kses()post_metaまたは保存されるショートコードコンテンツをインターセプトする場合。これは、プラグインの保存フローまたは一般的なWordPressフックに注意してフックする必要があります。. - レンダリング時にショートコードをエスケープします:
プラグインがレンダリング用のフックを提供する場合、使用します
add_filter出力をインターセプトし、それを通過させるためにwp_kses_post()またはより厳格なルールのセット。.
重要: これらの開発者レベルの緩和策はテストが必要です。これにより有効な機能が壊れる可能性があります(いくつかのショートコードはHTMLまたはインラインスクリプトを期待します)。テストされたパッチを取得するまでの応急処置として使用してください。.
検出:保存されたペイロードと指標を見つける方法
サイトが標的にされた可能性がある場合、これらの兆候を探してください:
- 不明な寄稿者アカウントによって作成された新しい投稿または改訂。.
- 含まれているデータベースエントリ(post_content、postmeta、options、カスタムテーブル):
- タグ
マウスオーバー時=,onerror=,onclick=属性ジャバスクリプト:URI- 長いbase64エンコードされた文字列
- 管理者/エディターブラウザセッションでコンテンツを表示しているときの予期しないリダイレクトやポップアップ。.
- 不明なドメインへの管理者ブラウザセッションからの異常な外向きリクエスト(情報漏洩)。.
- 修正されたコアファイルまたはプラグインファイル(ファイルの整合性を確認)。.
- 疑わしい管理者ユーザーの作成、またはコア設定の変更。.
クリーン検索を実行するためのツールと手順:
- データベース検索(phpMyAdminまたはWP-CLI経由)を使用して検索
post_contentそして11. postmeta:
wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%<script%';" - WP-CLIを使用して投稿を検索:
wp post list --post_type=post,page --format=ids | xargs -n1 -I % sh -c 'wp post get % --field=post_content | grep -i "<script" && echo "投稿%で見つかりました"' - マルウェアスキャナプラグインまたは外部スキャンサービスを使用してファイルとデータベースの内容を確認。.
- 疑わしいコンテンツを安全な分析のためにステージング環境にエクスポート(管理者マシンのブラウザで感染したコンテンツを開かないでください)。.
インシデントレスポンスチェックリスト(悪意のあるコンテンツや悪用の兆候を見つけた場合)
- サイトをメンテナンス/読み取り専用モードに設定(可能であれば)して、さらなる管理者アクションやコンテンツの変更を防止。.
- 完全なバックアップ(ファイルとデータベース)とフォレンジック用のサーバーログのスナップショットを取得。.
- DBから悪意のあるコンテンツを削除(またはクリーンバックアップを復元)し、新しく作成された管理者ユーザーを削除。.
- すべての関連資格情報をローテーション:管理者パスワード、データベース資格情報(侵害された場合)、APIキー、および保存された秘密。
wp-config.php. - ウェブシェルと修正されたファイルをスキャン。レビュー
wp-content/プラグイン, 、テーマ、およびアップロードディレクトリ。. - 知られている良好なソース(コア/プラグイン/テーマインストール)から侵害されたファイルを再構築。.
- プラグインをパッチ適用版に再インストールまたは更新可能になったら; それまでは削除/無効化。.
- スキャンを再実行し、悪意のあるJSや持続性が残っていないことを確認。.
- 利害関係者に通知し、必要に応じてユーザーに資格情報のリセットとリスクについて知らせます。.
- 将来のピボットを防ぐために環境を強化します(ファイアウォールルール、最小特権の原則、監視)。.
WP-Firewallの管理サービスを使用している場合、私たちのインシデント対応チームが侵害されたサイトを迅速にトリアージ、クリーンアップ、保護する手助けをします。.
長期的な強化の推奨事項
- ユーザーロールと編集ワークフローを強化します:
- 貢献者アカウントがファイルをアップロードしたりショートコードを作成したりすることを制限します。.
- 編集者が公開前にコンテンツをプレビューし、サニタイズするための編集承認ワークフローを使用します。.
- WordPress のコア、テーマ、プラグインを最新の状態に保ってください。
- すべてのアカウントに最小特権の原則を適用します。.
- 二要素認証を実装し、可能な限りIPによってwp-adminアクセスを制限します。.
- 強力な役割ベースのアクセス制御を使用し、未使用のアカウントを削除します。.
- スクリプトが読み込まれる場所を制限するために厳格なContent-Security-Policy(CSP)ヘッダーを強制します。.
- サーバーサイドスキャン、WAFの仮想パッチ適用、およびファイルの整合性と異常な管理活動の継続的監視を採用します。.
- 頻繁で自動化されたバックアップをオフサイトに保存し、復元手順をテストします。.
XSSの影響を軽減するためのContent-Security-Policy(CSP)のサンプル
厳格なCSPは、インラインスクリプトの実行とリモートスクリプトの読み込みを防ぐことにより、XSS脆弱性の影響を大幅に減少させることができます。サイトのニーズに合わせて調整してください(慎重にテストしてください)。.
Content-Security-Policy:;
注:
- script-srcでの「unsafe-inline」を避けてください — 代わりに、可能な限りサブリソース整合性を持つ外部ファイルにスクリプトを移動します。.
- CSPは深層防御制御であり、WAFとサニタイズと組み合わせることでリスクを低減します。.
WP-Firewallがどのように役立つか — 私たちが適用する実用的な保護
アプリケーション層のWordPress対応ファイアウォールおよびセキュリティサービスとして、私たちはこのクラスの脆弱性からサイトを保護するための複数のメカニズムを提供します:
- 迅速な仮想パッチ適用:公開された脆弱性に対する既知のエクスプロイトペイロードをブロックするためにターゲットルールを展開します。これは、プラグインの著者がテストされたパッチを公開するまでの時間を稼ぎます。.
- 挙動ベースの検出: 我々は、疑わしいコンテンツ作成パターン、異常なPOSTペイロード、およびスクリプトタグやイベントハンドラの注入を試みる行為を監視します。.
- 管理されたルール調整: 我々は、ショートコードやHTMLの正当な使用に対する誤検知を最小限に抑えつつ、攻撃ペイロードをブロックするためにルールを調整します。.
- 事後の悪用検出とクリーンアップガイダンス: 我々は、保存されたペイロードや変更されたファイルを検出するためのスキャンを提供し、段階的な修復手順を示します。.
- アラートと報告: 悪用の試みが検出された際のリアルタイムアラートに加え、影響を理解するための報告を提供します。.
複数のサイトを運営している場合や、サイトに数人以上の編集者や寄稿者がいる場合、これらの保護は運用負荷を軽減し、リスクの露出を減らすのに役立ちます。.
実用的な例: Simple Owl Shortcodesの悪用試みに調整されたWAFルール
以下は、適応可能な具体的なルールの例です。この例は、POSTボディ内に疑わしいHTMLパターンを含むリクエストを対象としています — 特に、ショートコードや投稿コンテンツに悪意のあるスクリプトを注入するために使用される可能性が高いものです。.
# Block stored-XSS payloads in POST bodies where the body contains or event handlers
SecRule REQUEST_METHOD "POST" "phase:2,chain,deny,status:403,log,msg:'Block potential stored XSS payload (script tag or event handler)'" \n SecRule REQUEST_BODY "(?i)(<\s*script\b|on\w+\s*=|javascript\s*:|script|script)" "t:none,t:lowercase,log,id:1002001"
テストとホワイトリスト:
- まずは監視モード(ログのみ)でテストします: ‘deny’を削除し、’pass,log’を設定して影響を観察します。.
- HTMLを必要とする既知の正当なショートコードのために明示的なホワイトリストを追加します(非常に注意深く)。.
サイトが影響を受ける可能性がある場合のコミュニケーションのベストプラクティス
- サイトが顧客向けである場合、クリーンアップのためにサイトをオフラインにする必要がある場合は、短い透明な通知を準備します(技術的詳細は不要です)。.
- 内部では、証拠(ログ、DBレコード、タイムスタンプ、ユーザーアクション)を集めて、インシデント対応者が迅速に行動できるようにします。.
- インシデントがユーザーの資格情報に影響を与える場合、パスワードのリセットを強制し、ユーザーが取るべき手順を伝えます。.
よくある質問
質問: 貢献者レベルのユーザーが本当にサイト全体の乗っ取りにつながることはありますか?
答え: はい。保存されたXSSは特に危険です。なぜなら、ペイロードが持続し、特権ユーザー(編集者/管理者)がコンテンツを表示またはプレビューする際に実行される可能性があるからです。そこから、セッショントークンや認証されたリクエストが悪用される可能性があります。.
質問: WAFだけで十分ですか?
答え: WAFは非常に効果的で即時の緩和策(仮想パッチ)ですが、コード修正、ユーザーロールの強化、スキャン、バックアップ、インシデント対応計画と組み合わせて使用する必要があります。深層防御が不可欠です。.
質問: ショートコードを無効にすると、私のサイトは壊れますか?
答え: 可能性があります。多くのテーマやコンテンツはショートコードに依存しています。プラグインが必須でない場合、一時的に無効にすることは攻撃面を削減する安全な方法ですが、常に変更を計画しテストしてください(特にトラフィックの多いサイトでは)。.
回復とフォローアップ
緩和策(WAFルール、サンドボックス、プラグインの削除など)を適用した後:
- サイトがクリーンであることを再スキャンして確認します。.
- より深刻な侵害を検出した場合は、クリーンなバックアップから復元します。.
- ベンダーパッチが確認された後、または信頼できる仮想パッチが整った後にのみプラグインを再導入します。.
- 事後レビューを実施し、同様の露出を防ぐためにワークフローを改善します(例:寄稿者の能力を制限する)。.
今すぐサイトを保護してください — 無料プランから始めましょう
当社の基本無料プランで、すぐにWordPressサイトを保護し始めましょう。これには、サイトに到達する前に多くの攻撃試行を防ぐための基本的な保護が含まれています:管理されたファイアウォール、無制限の帯域幅、堅牢なWAF、マルウェアスキャン、およびOWASP Top 10リスクへの緩和策。後で自動マルウェア除去、仮想パッチ、月次セキュリティレポート、プレミアムサポートオプションにアップグレードできます。.
詳細を学び、こちらでサインアップしてください: https://my.wp-firewall.com/buy/wp-firewall-free-plan/
WP-Firewallセキュリティチームからの最後の言葉
このSimple Owl ShortcodesによるXSS開示は、サードパーティのプラグインやユーザー向け機能がWordPressサイトの主要な攻撃面であることを思い出させるものです。今すぐ行動することをお勧めします:
- あなたの露出を評価してください(プラグインを実行し、寄稿者アカウントを許可していますか?)
- 直ちに緩和策を適用してください(可能であればプラグインを無効にするか、WAFで仮想パッチを適用する)。
- 悪意のあるエントリについてコンテンツとユーザーを監査します。
- 管理ワークフローを強化し、活動を継続的に監視します。
サイトのこの問題のトリアージに助けが必要な場合、WP-Firewallのチームが仮想パッチ、クリーンアップ、長期的な強化を支援できます。リアルタイムでの悪用を防ぐ最も迅速な方法は、エッジで悪意のある入力をブロックし、システム内に既に存在するストレージペイロードを削除または消毒することです。.
安全を保ち、環境に合わせたアドバイスが必要な場合は、当社のセキュリティチームに連絡してください — 私たちは毎日サイト所有者と協力して、このような露出ウィンドウを完全なインシデントに発展する前に閉じています。.
— WP-Firewall セキュリティチーム
