| プラグイン名 | WordPressショートリンクプラグイン |
|---|---|
| 脆弱性の種類 | クロスサイトスクリプティング (XSS) |
| CVE番号 | CVE-2026-0813 |
| 緊急 | 低い |
| CVE公開日 | 2026-01-13 |
| ソースURL | CVE-2026-0813 |
認証済み(管理者)ストレージXSSのショートリンク <= 1.0 (CVE-2026-0813) — それが意味することとWordPressサイトを保護する方法
2026年1月13日、WordPressプラグイン「ショートリンク」(バージョン <= 1.0)に影響を与えるストレージクロスサイトスクリプティング(XSS)脆弱性が公に文書化され、CVE-2026-0813が割り当てられました。この脆弱性により、認証された管理者はプラグインの管理設定ページに作成されたデータを保存でき、そのペイロードがサイトに保存され、後に他のユーザーのコンテキストで実行されます — 例えば、管理者や他の特権ユーザーが影響を受けた管理ページを表示したときや、公開ページが設定からの安全でないコンテンツを表示したときです。.
経験豊富なWordPressセキュリティチームとして、WP-Firewallはサイト所有者、管理者、開発者に明確で実用的なガイドを提供したいと考えています:脆弱性とは何か、どのように悪用される可能性があるか、悪用の兆候を検出する方法、そして — 最も重要なこと — ハードニングとファイアウォール技術(仮想パッチを含む)の組み合わせを使用して、サイトを即座にかつ長期的に保護する方法です。.
この記事は、あなたがWordPressを運営しており、ショートリンクプラグインを使用しているか、またはそれを管理しているサイトを持っていることを前提としています。複数のサイトをホストしている場合や管理サービスを提供している場合は、最後のチェックリストに従い、パッチがリリースされるまで仮想パッチのようなフォールトトレラント保護を有効にすることを検討してください。.
エグゼクティブサマリー(簡単な事実)
- 影響を受けるソフトウェア:WordPress用ショートリンクプラグイン(バージョン <= 1.0)
- 脆弱性の種類:ストレージクロスサイトスクリプティング(XSS)
- 必要な特権: 管理者
- CVE:CVE-2026-0813
- CVSS v3.1基本スコア:5.9(中)
- ユーザーの相互作用:必要(管理者は作成された入力を読み込むか保存する必要があります;悪用には特権ユーザーのアクションが関与します)
- 修正状況:開示時点で、公式の上流修正は利用できませんでした
- 実際の影響:ストレージXSSは、サイトのコンテキストで任意のJavaScriptを実行するために使用され、クッキーの盗難、管理者セッションのハイジャック、悪意のあるリダイレクト、改ざん、またはサイト訪問者や他の管理者に影響を与える追加のペイロードの注入などのアクションを可能にします。.
ストレージXSSとは何か、そしてなぜここで危険なのか?
クロスサイトスクリプティング(XSS)は、アプリケーションがユーザー提供の入力を受け取り、適切なエンコーディングやサニタイズなしに他のユーザーに返すときに発生します。ストレージXSSは、悪意のあるペイロードがサーバー上に永続化されることを意味します — データベース、設定、またはファイル内に — そして後で提供されます。.
この場合、ショートリンクプラグインの管理設定ページは、適切なエスケープやサニタイズなしに後でレンダリングされる値を受け入れ、保存します。必要な特権が「管理者」であるため、悪用には認証された管理者がアクションを実行する必要があります(例:管理操作をトリガーする悪意のあるリンクを訪問するか、管理エリアにログインした状態で作成されたフォームを送信する)。しかし、一度保存されると、そのペイロードは他のユーザーや管理者が影響を受けたデータを表示するコンテキストで実行され、影響範囲が単一のアカウントを超えて拡大します。.
管理インターフェースにおけるストレージXSSは特に危険です。
- 管理者セッションはしばしば広範な特権を持っています(コンテンツの編集、プラグインのインストール、設定の調整)。.
- 管理者ビューは頻繁に機密データや機能にアクセスできます。.
- 管理者のブラウザで実行される悪意のあるJavaScriptは、管理者の代理でアクションを実行することができ(CSRFスタイルの操作)、さらなる永続性やバックドアを押し込むことができます。.
認証されていない攻撃者は悪意のあるデータを直接設定できないが、管理者の操作が必要な要件は重大なリスクを排除するものではない — ソーシャルエンジニアリング、侵害された管理者のマシン、または既存の部分的なアクセスが利用される可能性がある。.
典型的な悪用フロー(高レベル)
- 攻撃者はペイロードを作成する — 表示されたときに実行されるHTML/JSの一部。.
- 攻撃者は管理者にそのペイロードを脆弱な設定フィールドに送信させる。これはいくつかの方法で発生する可能性がある:
- ソーシャルエンジニアリング:管理者に値を貼り付けさせることを納得させる。.
- 読み込まれたときに、データを保存する管理者側のリクエストをトリガーするページを提供する(プラグインのエンドポイントとCSRF保護に依存)。.
- 管理者のセッションがすでに侵害されている場合(例:資格情報の盗難やローカルの侵害)、攻撃者はそのセッションを使用する。.
- ペイロードはデータベースまたは設定オプションに保存される。.
- 保存されたデータが後に管理者ページ(または公開ページ)で表示されると、JavaScriptはサイトドメインのコンテキストで実行される。.
- 攻撃行動:新しい管理者ユーザーを作成する、サイトオプションを変更する、機密トークン/クッキーを抽出する、マルウェアをインストールする、ページを改ざんする、または訪問者をリダイレクトする。.
ここで特定の悪用ペイロードを公開することは避ける — それは無責任である — が、以下の防御的推奨事項はそのような保存されたペイロードを検出、ブロック、修正する方法をカバーしている。.
リスク評価:誰が、何がリスクにさらされているのか?
- サイト管理者:ペイロードが保存された後に影響を受けた管理インターフェースを表示すると高リスク — セッションハイジャック、アカウント乗っ取り。.
- サイト訪問者:保存されたペイロードが公開ページに表示される場合(例えば、プラグイン設定が公開されているか、短縮リンクで使用されている場合)、中程度のリスク。.
- ビジネス運営:改ざん、トラフィックのリダイレクト、または評判やSEOに影響を与えるアフィリエイト/マルバタイジングペイロードの挿入による潜在的な混乱。.
- マルチサイトまたはマルチサイトネットワーク管理者:集中設定と影響を受ける可能性のあるサイトの数により、影響が大きい。.
CVSSはこれを中程度(5.9)と評価しているが、実際の影響はプラグインが保存された設定をどのように使用するかに依存する。管理者コンテキストでの保存されたXSSは、攻撃者が間接的に管理者権限を利用するため、高い影響をもたらすことが多い。.
サイトが影響を受けているか、悪用されているかを検出する方法
Short Linkプラグイン(<= 1.0)を使用している場合、またはそれを担当しているサイトがある場合:
- プラグインのバージョンを確認:
- プラグイン → インストール済みプラグインに移動し、バージョンを確認する。もしそれが<= 1.0であれば、他に証明されるまで脆弱と見なす。.
- プラグイン設定を検査する:
- Short Linkプラグインのすべての設定ページを確認してください。予期しないHTML、タグ、on*属性(onclick、onload)、または難読化されたJavaScript(eval、atob、document.write、エンコードされた文字列)を含む値を探してください。.
- ショートコードの出力、URLテンプレート、またはカスタムHTMLフィールドを確認してください。.
- 疑わしいコンテンツをデータベースで検索してください:
- オプション内のスクリプトタグを見つけるための例SQLクエリ(適切なアクセスとバックアップがある場合のみ実行してください):
SELECT option_name, option_value FROM wp_options WHERE option_value LIKE '%<script%';
- 投稿/メタやその他の一般的な場所も検索してください:
SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%
SELECT meta_id, meta_key, meta_value FROM wp_postmeta WHERE meta_value LIKE '%<script%';
- クエリを実行する際は注意してください。最初にデータベースのバックアップを作成してください。.
- オプション内のスクリプトタグを見つけるための例SQLクエリ(適切なアクセスとバックアップがある場合のみ実行してください):
- サーバーとアクセスログを確認してください:
- 開示日またはそれ以前のプラグイン管理エンドポイントへのPOSTリクエストを探してください。.
- 長いエンコードされた文字列やJavaScriptのようなペイロードを含む疑わしいリクエストを探してください。.
- WordPressおよびサイトスキャンツールを使用してください:
- フルサイトのマルウェアスキャン(ファイルの整合性とコンテンツ)を実行してください。変更されたコアファイル、新しく追加されたプラグインファイル、またはシェルのようなPHPファイルを探してください。.
- アップロード、wp-content、およびテーマをスキャンして、注入されたコードを探してください。.
- 異常な管理アカウントや最近の変更を探してください:
- Users → All Usersで、特権のある認識できないアカウントを確認してください。.
- ウィジェット、メニュー、およびオプションの最近の変更を異常がないか確認してください。.
疑わしいものを見つけた場合は、以下の封じ込め手順に進んでください。.
直ちに実施すべき緩和手順(今すぐ何をすべきか)
ライブサイトに脆弱なプラグインが存在する場合は、完全な修復計画を準備している間にリスクを減らすために、これらの即時手順を適用してください:
- 作業中にサイトをメンテナンスモードにしてください(可能であれば)。.
- 管理エリアへのアクセスを制限してください:
- /wp-admin/にアクセスできるIPアドレスを制限してください(ウェブサーバーの設定またはファイアウォールを介して)。.
- 一時的にWordPressの前に/wp-admin/と/wp-login.phpでHTTP認証を実装します。.
- ショートリンクプラグインを無効にするか、非アクティブ化します:
- これにより新しい設定の保存が防止され、プラグイン管理ページに保存された値の表示が停止する可能性があります。注意:非アクティブ化しても、データベースから保存された悪意のあるデータが削除されるわけではありません。.
- すべての管理者アカウントに対して多要素認証(MFA)を直ちに強制します。.
- すべての管理者アカウントの資格情報をローテーション(強力なパスワード)し、より深刻な侵害が疑われる場合はデータベースの資格情報もローテーションを検討してください。.
- キャッシュ(サーバー、プラグイン、CDN)をクリアして、キャッシュされた悪意のあるコンテンツが訪問者に提供されないようにします。.
- Webアプリケーションファイアウォール(WAF)がある場合は、仮想パッチを展開します:
- 信頼できるIPからのものを除いて、プラグイン設定エンドポイントへのPOSTリクエストをブロックします。.
- 疑わしいパターン(スクリプトタグ、イベントハンドラ、javascript: URI)を含むリクエストを検出してブロックします。.
- プラグイン管理エンドポイントへのクロスサイトPOSTのように見えるXHR/fetchリクエストをブロックします。.
- 注入されたコンテンツのターゲットスキャンを実施し、見つかったペイロードを削除します(修復セクションを参照)。.
これらの封じ込め手順は時間を稼ぎ、保存されたペイロードを見つけて削除する間の露出を減らします。.
修復チェックリスト — ステップバイステップ
- バックアップ:完全なバックアップ(ファイル + データベース)を作成します。コピーから作業し、既知のバックアップなしで本番データを変更しないでください。.
- 保存されたペイロードのすべての場所を特定します:
- DBテーブルを検索します(wp_options、wp_posts、wp_postmeta、usermetaなど)。.
- 検出セクションで提案されたSQLクエリを使用します。.
- 悪意のあるペイロードを削除します:
- オプション値やメタフィールドについては、タグや安全でない属性を慎重に削除します。安全な操作を使用してください:影響を受けた値をエクスポートし、サニタイズして再インポートします。.
- 悪意があると確信できない限り、コアコンテンツを削除しないでください。.
- 安全な更新がリリースされるまで、脆弱なプラグインを非アクティブ化して削除します。.
- プラグインが必須の場合は、維持されている代替品に置き換えるか、その露出を制限します(管理者アクセスを制限)。.
- バックドアのためにサイト全体を再スキャンします:
- wp-content/uploads、テーマ、またはプラグインフォルダー内の疑わしいPHPファイルを検索します。.
- 疑わしい侵害ウィンドウに一致する最近の変更時刻を持つファイルを探します。.
- 資格情報をローテーションする:
- 管理者および編集者のパスワード。.
- プラグインによって使用されるAPIキー。.
- データベースユーザーパスワード(およびwp-config.phpをそれに応じて更新します)。.
- 管理者アカウントを強化してください:
- MFA、強力なパスワードポリシー、および最小特権を強制します。.
- 侵害の範囲が大きく、削除が不確実な場合は、クリーンバックアップから復元します。.
- モニター:
- 少なくとも30日間、異常な活動のログを監視します。.
- 定期的なスキャンを実行し、ファイル変更のアラートを有効にします。.
侵害の深さについて不確かであれば、専門のインシデントレスポンスサービスから支援を受けてください。.
現在保護するためにWAFと仮想パッチを使用します。
有能なWebアプリケーションファイアウォール(WAF)は、上流の修正を待っている間に悪用のリスクを大幅に減少させることができます。プラグインに保存されたXSS脆弱性がある場合:
- 仮想パッチ:プラグインの管理エンドポイントへの疑わしいペイロードを含むリクエストをブロックすることによって、悪意のある入力が最初から保存されないようにするルールを作成します。.
- 出力保護:プラグインがフロントエンドページまたは管理ページで安全でないコンテンツをレンダリングする場合、インラインスクリプトインジェクションを含む応答をサニタイズまたはブロックするルールを構成します。.
- アクセス制御:管理ページまたはプラグインの設定エンドポイントへのアクセスを小さな許可リストのIPまたは管理ユーザーに制限します。.
- レート制限とCSRF対策の強制:管理側のPOSTトラフィックの異常なパターンをブロックし、CSRFリクエストが成功するウィンドウを制限します。.
提案されたWAFルールの例(擬似コード):
- リクエストボディに「<script」、「javascript:」、「on[a-z]+=」、「document.cookie」、「eval(」のようなパターンが含まれている場合、/wp-admin/admin.php?page=short-link-settingsへのPOSTリクエストをブロックします。.
- エンコードされたスクリプトマーカーを含むリクエストを拒否または挑戦してください: “script”, “<script” または特定の長さを超えるbase64エンコードされたペイロード。.
- 有効なWPノンスと許可されたリファラーからのリクエストのみが処理されるように強制します。(ノンスが欠落しているか無効な場合は、アクションをブロックします。)
重要:正当なコンテンツを壊す可能性のある過度に広範なルールは避けてください。まずはブロック/監視モードでルールをテストし、安全が確認できたらブロックを実施します。.
ハードニングと予防 — 長期的なコントロール
このクラスの脆弱性を防ぐには、安全なコーディングと管理のハードニングの両方が必要です。.
サイト管理者向け:
- 管理者の数を制限します。最小権限の原則を使用してください。.
- MFAを要求し、強力なパスワードを強制します。.
- 実用的な場合は、IPまたはVPNによって管理者アクセスを制限します。.
- 役割の分離を使用します:コンテンツエディターには必要な機能のみを与えます。.
- プラグインの更新を監視し、パッチを迅速に適用します。.
- インストールする前に、アクティブなメンテナンスと合理的な採用のためにプラグインをレビューします。.
プラグイン開発者向け(安全なコーディングチェックリスト):
- ユーザー入力を決して信頼しないでください。入力時にサニタイズし、出力時にエンコードします。.
- オプションの処理にはWordPress設定APIを使用し、保存時には常に適切なサニタイズ関数を使用してサニタイズします。.
- 管理ページのすべての出力を適切にエスケープします:
- コンテキストに応じてesc_html()、esc_attr()、esc_textarea()、またはwp_kses_post()を使用します。.
- 機能チェックが厳密であることを確認します:管理コンテンツを保存またはレンダリングする前にcurrent_user_can()を使用します。.
- データを変更するすべてのアクションに対してノンスを実装し、適切に検証します。.
- ユーザー入力から返された生のHTMLをエコーすることは避けてください;HTMLが必要な場合は、厳密に許可されたタグでwp_kses()を通してフィルタリングします。.
- 異常な活動を検出するために、すべての管理側入力をログに記録し、検証します。.
開発者がコードで変更すべきこと(高レベル)
ショートリンクプラグイン(または管理者が設定したHTMLを保存する任意のプラグイン)を維持または貢献する場合は、これらのプラクティスに従ってください:
- 設定を保存する際:
- 入力をサニタイズする:プレーンテキストにはsanitize_text_field()を使用し、HTMLが許可されている場合は、厳格なホワイトリストを使用してwp_kses()を使用します。.
- ユーザーの権限とノンスを確認します。.
- 設定値をレンダリングする際:
- 期待されるコンテンツに基づいて、esc_html()、esc_attr()、またはwp_kses_post()で出力をエスケープします。.
- 有効な理由がなく、出力に対して厳格なサニタイズ/エスケープルールがない限り、オプションにエスケープされていないHTMLを保存することは避けてください。.
- 保存された値が、on*属性、またはjavascript: URIを導入できないことを検証するテストを追加します。.
- セキュリティの仮定を文書化し、追加の防御策としてコンテンツセキュリティポリシー(CSP)を実装します。.
検出すべき妥協の指標(IoCs)
- 管理者設定や投稿コンテンツ内の予期しないタグ。.
- オプションやpostmeta内の疑わしいbase64エンコードされた文字列。.
- 新しい管理者ユーザーや予期しない役割の変更。.
- サーバーからの予期しない外向きHTTPリクエスト(エクスフィルトレーションエージェントやコールバック)。.
- 修正されたテーマファイルやアップロードディレクトリ内の予期しないPHPファイル。.
- ログ内で異常なアクションを実行している管理者セッション(プラグインエンドポイントへのPOST)。.
アクティブな妥協を確認した場合は、サイトを隔離し、完全なインシデントレスポンスを実施します。.
実用的な検出クエリとWP‑CLIのヒント
WP‑CLIと安全なSQLクエリを使用して疑わしいコンテンツを特定します。変更する前に必ずデータベースをバックアップしてください。.
- オプション内のスクリプトタグを見つける:
wp db query "SELECT option_name FROM wp_options WHERE option_value LIKE '%<script%';"
- 投稿を検索します:
wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%<script%';"
- WP‑CLIを使用してアクティブなプラグインとバージョンをリストします:
wp プラグインリスト --format=table
感染したオプションを特定し、その値を確認したい場合:
wp オプション取得 --format=json
クリーンアップ時には、値をエクスポートし、オフラインでサニタイズした後、wp option updateを使用して更新します。.
プラグインを削除するべきか、それともパッチを待つべきか?
- プラグインが必須でない場合は、すぐに削除してください。.
- プラグインが運用に不可欠で、安全な代替手段が存在しない場合:
- プラグインを無効にし、パッチが利用可能になるまでサイトの機能を制限します。.
- サイトを追加の保護(IPホワイトリスト、WAF仮想パッチ、管理者専用アクセス)の背後に置きます。.
- 再有効化する前に、保存された設定を確認し、サニタイズします。.
脆弱性が軽減されたことを確信するか、安全なパッチ版がインストールされるまで、プラグインを再有効化しないでください。.
回復とインシデント後のアクション
- 悪意のあるコンテンツを削除し、プラグインが無効になっていることを確認した後:
- 管理者の保護を再有効化します(MFA、強力なパスワード)。.
- すべてのシークレットをローテーションします:APIキー、データベースの資格情報、および統合トークン。.
- サイトを再スキャンし、ログを監視します。.
- サイトが侵害された場合は、利害関係者に通知し、必要に応じてデータ漏洩の影響を受けた顧客に通知します。.
- インシデントを文書化します:何が起こったか、根本原因、修正手順、および得られた教訓。.
- 定期的な第三者のセキュリティレビューまたはペネトレーションテストを検討します。.
責任ある開示とベンダーとの調整
- 追加の脆弱性を特定した場合:
- プラグインの著者またはメンテナに安全かつプライベートに報告します。.
- 協調された開示のベストプラクティスに従ってください:再現と修正のために十分な詳細を提供し、公開開示の前に修正のための時間を確保してください。.
- 上流のメンテナーが応答しない場合、かつプラグインが広く使用されている場合は、信頼できるセキュリティ連絡先と調整して緩和策を適用し、影響を受けた当事者に通知してください。.
タイムラインと公開参照
- 公開開示日:2026年1月13日。.
- 割り当てられたCVE:CVE-2026-0813。.
- 開示時点では、固定された上流リリースは利用できませんでした;サイトの所有者はバージョン<= 1.0を脆弱と見なすべきです。.
(この投稿では特定のサードパーティの脆弱性データベースへのリンクを意図的に避けています;CVE識別子を検索して、より多くの公開詳細を確認し、ベンダーのアドバイザリーに従ってください。)
サイト所有者のためのチェックリスト — 1ページの要約
- Short Linkがインストールされているか確認し、バージョンをチェックしてください。.
- プラグインのバージョンが<= 1.0の場合:プラグインを直ちに無効化してください(または非必須の場合は削除してください)。.
- /wp-admin/へのアクセスを信頼できるIPに制限し、必要に応じてHTTP認証を有効にしてください。.
- すべての管理アカウントに対してMFAを強制し、管理者パスワードをローテーションしてください。.
- DB内の悪意のあるペイロードを検索してください(オプション、投稿、投稿メタ)。.
- WAFを使用してプラグインエンドポイントを仮想パッチしてください(疑わしいPOSTやスクリプトのようなペイロードをブロックします)。.
- バックドアや異常なPHPファイルをスキャンしてください。.
- 侵害が疑われる場合はAPIキーとデータベースの資格情報をローテーションしてください。.
- 必要に応じてクリーンバックアップから復元し、再発を監視してください。.
なぜWAF + ハードニングが今賢いアプローチなのか
上流の修正が遅れると、層状のアプローチが攻撃面を減少させます:
- ハードニング(MFA、最小特権、IP制限)は、管理者セッションが悪用される可能性を減少させます。.
- WAFの仮想パッチはエッジでの攻撃試行をブロックし、ペイロードが保存または提供されるのを防ぐことができます。.
- スキャンとインシデント対応は、侵害を迅速に検出し、回復するのに役立ちます。.
これらのコントロールを組み合わせることで、プラグインを安全に評価し、ベンダーパッチが到着した際に適用またはテストする時間を確保できます。.
開発者と代理店への注意
サードパーティプラグインに依存するテーマやプラグインを配布する場合は、既知の脆弱なバージョンを検出し、管理者に警告するチェックをオンボーディングまたはインストーラーフローに含めてください。 クライアントに緊急の緩和手順に関するガイダンスを提供し、脆弱性が発生した際に顧客のためにWAFの仮想パッチを自動化することを検討してください。.
WP‑Firewallでサイトを保護しましょう(無料プランあり)
必要な保護から始める — WP‑Firewall Basic(無料)
WordPressサイトを管理していて、CVE-2026-0813のような脆弱性に対する即時かつ信頼できる防御を望む場合は、WP‑Firewall Basicプランから始めて、迅速に基本的な保護を受けましょう。 Basic(無料)プランには、管理されたファイアウォール、無制限の帯域幅、WAFルール、マルウェアスキャナー、およびOWASP Top 10の緩和が含まれており、調査と修正を行っている間に保存されたXSS攻撃からの露出を大幅に減少させるのに十分です。.
- Basic(無料):管理されたファイアウォール、無制限の帯域幅、WAF、マルウェアスキャナー、OWASP Top 10の緩和。.
- Standard($50/年):すべてのBasic機能に加えて、自動マルウェア削除と最大20のIPのブラック/ホワイトリストエントリ。.
- Pro($299/年):すべてのStandard機能に加えて、月次セキュリティレポート、自動脆弱性仮想パッチ、および専用アカウント管理や管理されたセキュリティサービスなどのプレミアムアドオンへのアクセス。.
今すぐ無料のBasicプランにサインアップして、WordPress管理エリアに即座にセキュリティブーストを提供しましょう: https://my.wp-firewall.com/buy/wp-firewall-free-plan/
(複数のサイトを管理している場合は、標準またはプロを検討して、自動修正および仮想パッチ機能を利用し、ベンダーパッチが展開される間のリスクを軽減してください。)
最終的な感想
管理コンテキストにおける保存されたXSS脆弱性は深刻です。なぜなら、特権アカウントの力を間接的に利用するからです。 初期要件が「管理者」であっても、攻撃者はしばしば管理者を騙したり、強要したり、持続的なペイロードを導入するアクションを実行させる方法を見つけます。 最良の防御は層状です:
- ベンダーの修正が利用可能になり次第、パッチを適用してください。.
- 管理者アクセスとユーザーアカウントを強化してください。.
- 有能なWAFを使用して仮想パッチを適用し、エッジでの攻撃試行をブロックしてください。.
- 侵害の兆候をスキャンし、監視してください。.
- メンテナンスされていない脆弱なプラグインを削除または置き換えてください。.
WAFルールの適用、完全なマルウェアスキャンの実行、またはフォレンジック駆動のクリーンアップを行う際に支援が必要な場合は、WP‑Firewallセキュリティチームがサポートできます。 修正と長期的な強化を計画している間、基本的な保護のために無料のBasicプランから始めてください。.
安全を保ちましょう — そして、複数のWordPressサイトを管理している場合は、仮想パッチと厳格な管理者コントロールを今日のチェックリストの最上部に置いてください。.
このガイドから印刷可能なアクションリスト(1ページのチェックリストと単一のPDF内の推奨WAFルール)が必要な場合は、返信してください。あなたの環境に合わせたカスタムアクションプランを準備します。.
