プラグイン名	ワード 2 キャッシュ
脆弱性の種類	CSRF
CVE番号	CVE-2026-6395
緊急	中くらい
CVE公開日	2026-05-19
ソースURL	CVE-2026-6395

緊急: Word 2 Cash (≤ 0.9.2) — CSRF → ストレージ型XSS (CVE-2026-6395) — WordPressサイトの所有者と開発者が今すぐ行うべきこと

著者： WP-Firewall セキュリティチーム
日付： 2026-05-19

まとめ

最近公開されたWordPressプラグインに影響を与える脆弱性 “ワード 2 キャッシュ” (バージョン ≤ 0.9.2) は、認証されていない攻撃者がクロスサイトリクエストフォージェリ（CSRF）を引き起こし、ストレージ型クロスサイトスクリプティング（XSS）条件（CVE-2026-6395）を引き起こすことを許可します。悪用には特権ユーザーからのユーザーインタラクションが必要ですが、成功した悪用の影響は深刻であり、持続的なサイトの侵害、資格情報の盗難、完全な管理権の取得を含む可能性があります。.

このアドバイザリーは、専用のWordPressセキュリティチームおよびWebアプリケーションファイアウォール（WAF）プロバイダーであるWP-Firewallの視点から書かれています。私たちの目標は、脆弱性を明確で実用的な用語で説明し、リスクと悪用シナリオを概説し、サイトの所有者、管理者、およびプラグイン開発者のために優先順位を付けた緩和策と検出ガイダンスを提供することです。.

WordPressサイトを管理している場合 — 特に複数の管理者や編集スタッフがいる場合 — これをよく読み、推奨される緩和策を直ちに適用してください。.

脆弱性とは何ですか?

影響を受けるプラグイン: Word 2 Cash (WordPressプラグイン)
影響を受けるバージョン: ≤ 0.9.2
タイプ： クロスサイトリクエストフォージェリ（CSRF）がストレージ型クロスサイトスクリプティング（ストレージ型XSS）につながる
脆弱性: CVE-2026-6395
13. 公開アドバイザリーでクレジットされたセキュリティ研究者 2026年5月19日
悪用を開始するために必要な特権: 認証されていない（攻撃者は認証なしで攻撃を仕掛けることができる）が、成功した悪用には特権ユーザー（管理者または他の高特権ロール）がインタラクションする必要があります（例: 悪意のあるページを訪問する、リンクをクリックする、またはアクションを実行する）。.
重大度： 中程度/低 (CVSS 6.1報告) — ただし、文脈が重要です: 管理者にインタラクションを促す攻撃者は、ストレージ型XSSを利用して完全な侵害にエスカレートできます。.

要するに: プラグインは、サーバーサイドアクションをクロスサイトリクエストから適切に検証および/または保護することに失敗しており、攻撃者はこれを利用して管理者のブラウザのコンテキストで実行される悪意のあるJavaScriptを保存できます。.

攻撃の仕組み（高レベル、実行可能ではない）

攻撃者は、ターゲットのWordPressサイトの脆弱なプラグインエンドポイントにデータを送信するリンクまたはフォームを含むウェブページまたはメールを作成します。.
脆弱なエンドポイントはリクエストを受け入れ、適切な検証やノンス/能力チェックなしにユーザー制御のコンテンツ（例: テキストフィールド、HTML）を保存します。.
悪意のあるコンテンツには、サイトに保存されるJavaScriptペイロードが含まれています（ストレージ型XSS）。.
特権ユーザー（管理者/編集者）が後で影響を受けた管理ページまたは保存されたペイロードが表示される任意のページを訪れると、JavaScriptは彼らの特権で実行されます。.
一度実行されると、攻撃者は管理者セッションのコンテキストでアクションを実行できます: クッキー/セッショントークンを読み取る、管理UIを介してさらに管理アクションを実行する、新しい管理者アカウントを作成する、ファイルを変更する、バックドアをインストールする、またはデータを抽出する。.

注記： 初期のリクエストは認証なしで行うことができますが、悪用は特権ユーザーが必要なアクション（ページを訪問する、仕組まれたリンクをクリックするなど）を実行した場合にのみ完了します。これにより、ソーシャルエンジニアリングが成功した攻撃において重要な要素となります。.

実世界への影響：なぜこれが重要なのか

管理者コンテキストにおける保存されたXSSは、認証された管理者のワークフローと直接的に相互作用できるため、より危険なウェブ脆弱性の一つです。攻撃者は：

管理者セッションをハイジャックし、管理アクション（ユーザーの作成、投稿の編集、設定の変更）を実行できます。.
単一のセッションを超えて持続するバックドアを注入します（悪意のあるプラグイン/テーマ/ファイル）。.
機密データ（APIキー、プライベートコンテンツ、ユーザーデータ）を抽出します。.
WordPressアプリケーションからホスティング環境にピボットし、ファイルアップロードやプラグイン/テーマの編集が公開されている場合、リモートコード実行を達成する可能性があります。.
同じ管理者資格情報がサイト間で再利用される場合、ホスティングクラスター全体で長期的な持続性と大規模な侵害を実施します。.

CVSSスコアは中程度ですが、実世界への影響は特権ユーザーの存在、その行動、および追加の緩和策（多要素認証、最小権限）が実施されているかどうかに依存します。.

誰が危険にさらされているのか?

Word 2 Cashプラグインを積極的に使用しているサイト、バージョン≤ 0.9.2。.
外部リンクを訪問するようにソーシャルエンジニアリングされる可能性のある複数の管理者/編集者ユーザーを持つサイト。.
管理上の安全策（2FA、IP制限、セッション管理）がないサイト。.
悪意のあるリクエストをブロックするためにWAFまたは仮想パッチを実装していないサイト。.

あなたのサイトがこのプラグインを使用している場合、これを高優先度のトリアージ項目として扱ってください。.

サイト所有者のための即時のステップ（優先順位順）

プラグインを実行しているかどうかを特定します
- WordPressダッシュボードにログイン → プラグイン → 「Word 2 Cash」を探します。.
- プラグインのバージョンを確認します（≤ 0.9.2が表示された場合は、緊急に進めてください）。.
更新します（パッチが適用されたバージョンが利用可能な場合）。
- プラグインの作者がパッチをリリースした場合は、すぐにパッチ適用版に更新します。.
- パッチが利用できない場合は、ステップ3に進んでください。.
プラグインを無効化します（一時的な緩和策）。
- アップデートが利用できない場合は、すぐにプラグインを無効化してください。無効化することで、脆弱なエンドポイントが呼び出されるのを防ぎます。.
- 完全に無効化できない場合（ビジネス上の理由）、サーバーまたはアプリケーションレベルでプラグインの機能へのアクセスを制限します。.
管理者の活動とセッションを制限します。
- トリアージ中はすべての管理者にサイトの管理ページを訪問しないように依頼します（または、IPによってwp-adminエリアへのアクセスを制限します）。.
- 妥協の疑いがある場合は、すべてのユーザーを強制的にログアウトさせるか、管理者のパスワードをリセットします。.
管理者アクセスを強化する
- すべての管理者に対して二要素認証（2FA）を有効にします。.
- 可能であれば、信頼できるIPに対してwp-adminとwp-login.phpを制限します（.htaccess、ファイアウォール、またはホスティングコントロールを通じて）。.
- トリアージが完了するまで、非常に重要な環境のためにメンテナンスモードを検討します。.
妥協の兆候がないかサイトをスキャンします。
- フルマルウェアスキャンとファイル整合性チェックを実行します。.
- 異常なJavaScript、iframe、または難読化されたコンテンツがないか、投稿、ページ、ウィジェット、およびオプションを検索します。.
- 最近変更されたファイルに疑わしい変更がないか確認します。.
- 不正な追加がないかユーザーアカウントを確認します。.
認証情報と秘密をローテーションする
- 管理者のパスワードと露出する可能性のあるAPIキーをリセットします。.
- ファイルのアップロードやシェルの配置が疑われる場合は、ホスティングコントロールパネルとFTP/SFTPの資格情報をローテーションします。.
ホスティングプロバイダー/セキュリティパートナーに連絡します。
- アクティブな妥協を検出した場合や、次にどう進めるか不明な場合は、ホストまたはセキュリティベンダーにインシデント対応を依頼します。.

悪用の兆候 — 何を探すべきか

挿入されたタグや難読化されたJavaScriptを含む新しいまたは変更された投稿/ページ。.
ウィジェットやテーマオプションフィールドに予期しないコンテンツ。.
最近作成された認識されていない管理者ユーザー。.
予期しないスケジュールされたタスク（WP-Cronエントリ）。.
管理者が外部リンクを訪れた時期に変更されたファイル。.
管理ダッシュボードを訪問した際の奇妙なポップアップについての管理者からのブラウザベースの警告。.
外部リファラーまたは一般的なソーシャルエンジニアリングパターンからのプラグインエンドポイントへのPOSTリクエストを示すサーバーログ。.

これらの指標のいずれかを見つけた場合、潜在的な侵害を想定し、インシデント対応手順（バックアップ、隔離、フォレンジック分析）に従ってください。.

1. 開発者向け：根本原因と安全なコーディング修正

CSRFの根本原因分析 → ストレージXSSは通常、以下の1つまたは複数を特定します：

サーバー側の状態を変更するアクションに対するノンスが欠落しているか、不適切に検証されている。.
current_user_capabilitiesをチェックしない（例：current_user_can(‘manage_options’)を使用）。.
ユーザー入力をサニタイズせずに保存するか、フィルタリングされていないHTMLが保持され、後で管理ページにエスケープなしでレンダリングされることを許可する。.
POST/GETデータを受け入れ、保存する未認証リクエストに公開されたエンドポイント。.

推奨されるコードレベルの修正（例）：

能力チェックを実施する

if ( ! current_user_can( 'manage_options' ) ) {

フォーム送信およびAJAX/RESTアクションにノンスを使用する
フォームにノンスフィールドを追加します：

wp_nonce_field( 'my_plugin_action', 'my_plugin_nonce' );

送信時に検証する：

if ( ! isset( $_POST['my_plugin_nonce'] ) || ! wp_verify_nonce( $_POST['my_plugin_nonce'], 'my_plugin_action' ) ) {

保存前に入力をサニタイズする
フィールドがプレーンテキストのみを含むべき場合：
```
$safe = sanitize_text_field( wp_unslash( $_POST['some_field'] ) );
```
安全なHTMLを許可する必要がある場合は、wp_kses_postまたはより厳格なホワイトリストを使用してください：
```
$html = wp_kses_post( wp_unslash( $_POST['allowed_html_field'] ) );
```
レンダリング時に出力をエスケープします。
保存されたコンテンツを出力する際は、常にコンテキストに基づいてエスケープしてください：
```
echo esc_html( $stored_value ); // プレーンテキスト用
```
RESTエンドポイントおよびAJAXの場合
RESTルートには権限コールバックを使用してください：
```
register_rest_route( 'my-plugin/v1', '/save', array(;
```
admin-ajax.phpアクションの場合、能力とノンスを確認してください。.
認証されていないソースからの永続的なHTMLを受け入れないでください
HTMLコンテンツを受け入れる必要がある場合は、適切な権限を持つ認証されたユーザーを要求し、徹底的にサニタイズしてください。.

プラグインの著者または開発者である場合は、これらの変更を適用し、パッチを適用したリリースをプッシュしてください。安全な開発ライフサイクルの実践とコードレビューに従ってください。.

WAF と仮想パッチのガイダンス (推奨事項)

WAFベンダーとして、私たちはしばしば2つの即時緩和アプローチを目にします：

アプリケーションの更新 / 脆弱なプラグインの削除（最終的な修正）。.
コードパッチが準備されるまで、または安全に更新できるまで、WAFを介して攻撃試行をブロックする仮想パッチ。.

プラグインをすぐに更新できない場合は、次のWAF緩和策を実施してください：

有効なWordPressノンスまたは正当なリファラーがない脆弱なエンドポイントへのリクエストをブロックします
ロジック：リクエストが状態を変更する場合（POST/PUT/PATCH）で、有効なWPノンスヘッダー/パラメーターが含まれていない場合は、検査してブロックします。.
注意：WAFはWPノンスを完全に検証することはできませんが、状態変更リクエストが同じホストから発信されていること（Origin/Refererヘッダーを確認）を強制し、期待されるクッキー/セッションパターンを含むことを確認できます。.
保存されたXSS試行で記録された疑わしいペイロードをブロックします
ロジック：保存されているフィールドにJavaScriptパターンを含むPOSTをブロックします（例：, onerror=, eval(, document.cookie, ）。.
正当なHTMLに対する誤検知を避けるために保守的なアプローチを使用してください。信頼できる役割からのみHTMLを受け入れる場合は、認証されていないIPからのリクエストのHTMLをブロックしてください。.
管理者ページを既知のIPにホワイトリスト登録するか、認証を強制する
wp-adminを企業のIPに制限できる場合は、エッジ（WAF / ホスティングファイアウォール）でそれを行う。.
不明または疑わしいリクエストに対してレート制限とスロットリングを行う
脆弱なエンドポイントへの繰り返しのPOSTをスロットリングすることで、大規模な悪用試行を防ぐ。.
ブロックされたイベントを監視し、アラートを出す
脆弱なプラグインエンドポイントをターゲットにした繰り返しのWAFブロックに対してアラートを設定し、特に複数の異なるIPまたは地理的位置からのものを監視する。.

安全な擬似ルールの例（実行不可、説明用）：

リクエストメソッドがPOSTであり、リクエストパスがプラグインエンドポイントパターンに一致し、かつ（WordPress管理者クッキーが存在しないか、Originヘッダーが外部であるか、リクエストボディにタグが含まれている）→ ブロックしてログを記録する。.

一つのペイロード文字列にのみ一致する小さなシグネチャルールを作成することは避ける; 攻撃者はすぐに変異する。より良い保護のために、行動制御（ノンスの欠如、外部リファラー、保存されたフィールド内のJSパターン）を組み合わせる。.

検出: ログとフォレンジックのヒント

可能な悪用を調査する際は、次を確認する：

奇妙な時間帯や外部リファラーを持つプラグインエンドポイントへのPOSTリクエストのウェブサーバーアクセスログ。.
ワードプレス wp_posts 疑わしいスクリプトを含む最近の投稿のテーブル。.
wp_オプション 予期しないシリアライズされた値やJavaScriptを含むエントリのテーブル。.
新しい管理者アカウントや役割の変更のための管理者ユーザーリスト。.
失敗したおよび成功したログイン試行とセッション作成ログ。.
ファイルシステムのタイムスタンプ: wp-content、uploads、plugins、themesの下での予期しないファイル作成や権限変更。.
WAFログ: 関連するエンドポイント周辺でのブロックされたイベントとルールヒット。.

破壊的なクリーンアップ手順を実行する前に、ログのコピーを保持する（ローテートしてアーカイブ）。.

インシデントレスポンスチェックリスト（悪用の証拠を見つけた場合）

隔離する
一時的に公共アクセスをブロックするか、wp-adminを信頼できるIPに制限する。.
アクティブな改ざんやデータ流出が発生している場合は、サイトをオフラインにしてください。.
証拠を保存する
法医学的分析のためにサイトファイルとデータベースの完全バックアップを作成してください。.
関連するサーバーおよびWAFログを保存してください。.
コンテイン
脆弱なプラグインとその他の非必須プラグインを無効にしてください。.
APIキーを取り消し、露出した可能性のある資格情報をローテーションしてください。.
撲滅
投稿、ウィジェット、およびオプションから悪意のあるコンテンツを削除してください。.
ファイルの整合性が損なわれた場合は、既知の良好なバックアップからクリーンなファイルを復元してください。.
公式ソースからWordPressコアとプラグインを再インストールします。.
回復する
管理およびホスティングアカウントのパスワードを変更してください。.
サービスを徐々に再有効化し、注意深く監視します。.
事後対応
根本原因分析を実施し、残っている脆弱性をパッチしてください。.
定期的なセキュリティ監査と継続的な監視を検討してください。.

社内での妥協処理の経験がない場合は、インシデントレスポンスプロバイダーまたはホストに支援を依頼してください。.

長期的な推奨事項とハードニング

最小特権: ユーザーに必要最低限の役割を割り当ててください。管理アカウントの共有は避けてください。.
多要素認証： 3. 権限のあるすべてのユーザーに対して 2FA を強制してください。.
プラグインの衛生： 積極的に使用していないプラグインを削除してください。インストール前にプラグインを確認し、最終更新日、インストール数、開発者の応答性をチェックしてください。.
自動更新: 信頼できるプラグインの自動更新を有効にし、更新アラートを監視してください。.
バックアップ： 定期的でテスト済みのバックアップをオフサイトに保存してください。これにより、妥協後の回復時間が短縮されます。.
監視： ファイル変更監視、管理者ログインアラート、およびWAFイベント監視を実装してください。.
ステージング： プラグインの更新を本番環境に適用する前にステージングでテストしてください。.
コードレビュー: プラグインがHTMLを受け入れ保存する場合は、厳格なサニタイズとレンダリング時のエスケープを確保してください。.

プラグイン作成者向け：責任ある開示と修正ガイダンス

問題を迅速に再現し確認してください。.
修正を実装します：能力チェック、ノンス検証、入力サニタイズ、出力エスケープ。.
パッチを適用したバージョンをリリースし、影響を受けるバージョンとアップグレード手順を含むアドバイザリーを公開します。.
直ちに修正がない場合は、ユーザーに透明性を持ってコミュニケーションし、一時的な緩和ガイダンスを提供します（例：プラグインを無効化、WAFルール）。.
CSRFおよびXSS保護のために自動ユニットおよび統合テストを追加することを検討してください。.

明確なコミュニケーションとタイムリーなパッチ適用は、悪用のウィンドウを減少させ、管理者が効果的に対応するのに役立ちます。.

CSRFをパッチするための例の開発者チェックリスト→保存されたXSS

追加 wp_nonce_field フォームに対して確認し、 wp_verify_nonce 提出時に確認します。.
機能チェックを追加します（現在のユーザー) すべての状態変更アクションに対して。.
パーミッションコールバックを介してREST/AJAXエンドポイントを制限します。.
入力をサニタイズする テキストフィールドをサニタイズする / wp_kses_post / カスタムホワイトリスト。.
出力をエスケープする esc_html, esc_attr, wp_kses_post 適切な場合。
管理変更のためのログを追加します（ファイルへのカスタムログまたはアクションフック）。.
テストをリリースし、セキュリティ修正を含むプラグインの変更ログを更新します。.

なぜ攻撃者があなたのサイトを標的にするのか

一部のサイト所有者は、自分たちが「小さすぎて」標的にされないと考えています。それは誤りです。保存されたXSSやCSRFは、自動化された大規模キャンペーンで使用され、攻撃者が脆弱なエンドポイントを探して何千ものサイトを調査し、悪意のあるページを訪れる特権ユーザーを利用して侵害を達成することができます。攻撃者はあなたのサイトが高プロファイルである必要はありません — 彼らはそれを悪用可能である必要があります。.

他に小さなサイトであっても、1つの侵害された管理者アカウントはフィッシング、スパム、暗号通貨マイニング、マルウェアの配布、または他のシステムにピボットするための足場として悪用される可能性があります。.

WP-Firewallの無料プランでサイトを保護し始めましょう

調査とパッチ適用を行っている間に迅速で実用的な保護を望む場合、WP-Firewallは、管理されたファイアウォールカバレッジ、WAF、マルウェアスキャン、無制限の帯域幅、OWASP Top 10リスクに対する緩和を含む無料の基本プランを提供します — これはこのような脆弱性の露出ウィンドウを減少させるために設計されています。無料プランにサインアップできます： https://my.wp-firewall.com/buy/wp-firewall-free-plan/

私たちの基本（無料）プランは、一般的な悪用パターンをブロックし、疑わしい活動を検出するための基本的な保護を提供します。より積極的な修正が必要な場合、私たちの有料プランは自動マルウェア除去、IP許可/拒否コントロール、月次セキュリティ報告、仮想パッチ適用、管理されたセキュリティサービスなどの機能を追加します。Word 2 Cash（≤ 0.9.2）のような脆弱なプラグインの場合、WAFベースの保護を即座に有効にすることで、長期的な修正を適用している間にリスクを大幅に低下させることができます。.

オーナー/管理者向けの推奨タイムライン

1時間以内： プラグインがインストールされていてアクティブかどうかを確認します。アクティブでパッチが適用されていない場合は、無効にして管理者アクセスを制限することを検討してください。.
24時間以内： サイト全体のスキャンを実行し、悪意のあるコンテンツを検査します。管理者セッションを制限し、2FAを有効にし、必要に応じて認証情報をローテーションします。.
72時間以内に： アップデートを適用します（利用可能な場合）または、開発者の修正が到着するまでWAFルール/仮想パッチを維持します。侵害の兆候がある場合は、完全なフォレンジックチェックを実施します。.
7日以内： 修復を最終化し、クリーンなバックアップを復元し、長期的なハードニングコントロールを実施します。.

よくある質問（簡単な回答）

Q: この脆弱性はユーザーの操作なしにリモートで悪用可能ですか？
A: いいえ。攻撃者は初期リクエストを認証なしで送信できますが、特権ユーザーがインタラクション（ページを訪問するか、アクションを実行する）する必要があります。とはいえ、ソーシャルエンジニアリングを使用してそのインタラクションを達成することができるため、リスクは緊急として扱うべきです。.

Q: WAFは完全に私を保護できますか？
A: WAFは強力な一時的保護（仮想パッチ）を提供できますが、上流のパッチを適用する代わりにはなりません。恒久的な修正を適用する間、WAFの保護を使用して露出を減らします。.

Q: もし私のサイトが侵害されたらどうなりますか？
A: インシデントレスポンスチェックリストに従ってください：隔離、証拠の保存、封じ込め、根絶、回復、学習。アクティブなバックドアやデータの流出を検出した場合は、専門のインシデントレスポンス支援を検討してください。.

WP-Firewallセキュリティチームからの最終的なメモ

この脆弱性は、WordPressセキュリティにおける2つの普遍的な真実を実践的に思い出させるものです：

サーバーサイドの状態を変更するアクションのために、常に起源と権限を検証してください（ノンス + 権限チェックは不可欠です）。.
サニタイズとエスケープ — 保存されたユーザー入力を無害と見なしてはいけません。特に管理者コンテキストで表示される可能性がある場合は注意が必要です。.

Word 2 Cashプラグインを使用している場合は、今すぐ行動してください：特定、緩和、パッチを適用します。開発者であれば、安全なコーディングパターンを適用し、修正を出荷してください。複数のサイトを運営しているか、クライアント環境を管理している場合は、管理されたWAFと監視サービスを使用して反応時間を短縮し、修復を完了する間に保護層を追加することを検討してください。.

WordPressサイトを保護することは継続的なプロセスです — 適時の行動は時間、金銭、評判を節約します。.

安全にお過ごしください。
— WP-Firewall セキュリティチーム

WordPressにおけるCSRF脅威 Word Two Cash//公開日 2026-05-19//CVE-2026-6395

緊急: Word 2 Cash (≤ 0.9.2) — CSRF → ストレージ型XSS (CVE-2026-6395) — WordPressサイトの所有者と開発者が今すぐ行うべきこと

まとめ

脆弱性とは何ですか?

攻撃の仕組み（高レベル、実行可能ではない）

実世界への影響：なぜこれが重要なのか

誰が危険にさらされているのか?

サイト所有者のための即時のステップ（優先順位順）

悪用の兆候 — 何を探すべきか

1. 開発者向け：根本原因と安全なコーディング修正

WAF と仮想パッチのガイダンス (推奨事項)

検出: ログとフォレンジックのヒント

インシデントレスポンスチェックリスト（悪用の証拠を見つけた場合）

長期的な推奨事項とハードニング

プラグイン作成者向け：責任ある開示と修正ガイダンス

CSRFをパッチするための例の開発者チェックリスト→保存されたXSS

なぜ攻撃者があなたのサイトを標的にするのか

WP-Firewallの無料プランでサイトを保護し始めましょう

オーナー/管理者向けの推奨タイムライン

よくある質問（簡単な回答）

WP-Firewallセキュリティチームからの最終的なメモ

WP Security Weeklyを無料で受け取る 👋
今すぐ登録!!

無料のWordPressセキュリティコンサルテーションをご予約いただくには、お問い合わせください。

WordPressにおけるCSRF脅威 Word Two Cash//公開日 2026-05-19//CVE-2026-6395

緊急: Word 2 Cash (≤ 0.9.2) — CSRF → ストレージ型XSS (CVE-2026-6395) — WordPressサイトの所有者と開発者が今すぐ行うべきこと

まとめ

脆弱性とは何ですか?

攻撃の仕組み（高レベル、実行可能ではない）

実世界への影響：なぜこれが重要なのか

誰が危険にさらされているのか?

サイト所有者のための即時のステップ（優先順位順）

悪用の兆候 — 何を探すべきか

1. 開発者向け：根本原因と安全なコーディング修正

WAF と仮想パッチのガイダンス (推奨事項)

検出: ログとフォレンジックのヒント

インシデントレスポンスチェックリスト（悪用の証拠を見つけた場合）

長期的な推奨事項とハードニング

プラグイン作成者向け：責任ある開示と修正ガイダンス

CSRFをパッチするための例の開発者チェックリスト→保存されたXSS

なぜ攻撃者があなたのサイトを標的にするのか

WP-Firewallの無料プランでサイトを保護し始めましょう

オーナー/管理者向けの推奨タイムライン

よくある質問（簡単な回答）

WP-Firewallセキュリティチームからの最終的なメモ

WP Security Weeklyを無料で受け取る 👋今すぐ登録!!

無料のWordPressセキュリティコンサルテーションをご予約いただくには、お問い合わせください。

WP Security Weeklyを無料で受け取る 👋
今すぐ登録!!