コラム 脆弱性レポート
お申し込み

脆弱性レポート

ホーム » プラグイン脆弱性レポート » import-export-with-custom-rest-api プラグイン 脆弱性アラート

⚠️ 緊急セキュリティアラート

お使いのWordPressプラグイン「import-export-with-custom-rest-api」に、極めて深刻な脆弱性が存在します。直ちに対応が必要です。

状況概要

このセクションでは、現在の危機的な状況を3つの重要なポイントで要約します。サイトが直面しているリスクの深刻度を即座に理解してください。

プラグイン名: import-export-with-custom-rest-api

作成者: Weboccult Technologies Pvt Ltd

調査日: 2025年6月14日

プラグインの状態

開発放棄 (破棄済み)

公式リポジトリから削除済み

最高リスクレベル

CVSS 9.8 (緊急)

サイト乗っ取りの可能性

推奨されるアクション

即時アンインストール

安全なバージョンはありません

脅威の解説

この脆弱性がどのようにサイトの完全な乗っ取りにつながるかを簡単に説明します。攻撃者は認証なしで、管理者アカウントを作成することが可能です。

1. 攻撃者

認証は不要

2. 脆弱なインポート機能

認証チェックの欠如を悪用

3. 管理者アカウント作成

悪意のあるデータを送信

4. サイトの完全な侵害

データ窃取、改ざん等

脆弱性の詳細

このセクションでは、関連する脆弱性の技術的な詳細を提供します。各カードをクリックして、詳細情報を確認してください。

今すぐ実行すべきアクションプラン

以下の手順に従って、直ちにサイトを保護してください。これは段階的なガイドです。

  1. 1

    プラグインのアンインストール

    WordPressの管理画面から「import-export-with-custom-rest-api」プラグインを直ちに無効化し、アンインストール(削除)してください。これが最も重要な最初のステップです。

  2. 2

    侵害の確認

    サイトがすでに侵害されていないか確認してください。特に、見知らぬ管理者ユーザーが追加されていないか、「ユーザー一覧」を慎重に確認します。不審なアカウントを発見した場合は、サイトが完全に侵害されたと想定して対応してください。

  3. 3

    代替ソリューションの検討

    データ移行が必要な場合は、より安全で、活発にメンテナンスされている代替プラグインや、WordPress標準のインポート/エクスポート機能の利用を検討してください。

  4. 4

    セキュリティ体制の強化

    この機会にサイト全体のセキュリティを見直しましょう。不要なプラグインの削除、強力なパスワードの使用、二要素認証の導入、定期的なバックアップの確認などを実施してください。

このアラートは、NVD, MITRE, Wordfence等から提供された公開情報に基づいています。(2025年6月14日時点)

import-export-with-custom-rest-api 脆弱性レポート(PDF)

import-export-with-custom-rest-apiプラグインの主な機能

カスタムREST APIエンドポイントの作成

WordPressの投稿、カスタム投稿タイプ、ユーザー情報などのデータを、外部のアプリケーションやサービスと連携させるための独自のAPIエンドポイントを生成する機能。

API経由でのインポート・エクスポート

上記で作成したAPIを利用して、JSONなどの形式でデータを一括でインポートしたり、エクスポートしたりする機能。

import-export-with-custom-rest-apiに替わる代替えプラグインの紹介

  • Pods – Custom Content Types and Fields

    URL

    https://wordpress.org/plugins/pods/

    特徴

    カスタム投稿タイプ、カスタムタクソノミー、カスタムフィールドを一つのプラグインで管理できます。
    作成したコンテンツタイプやフィールドを、簡単な設定でWordPressの標準REST APIのエンドポイントとして公開する機能が組み込まれています。
    柔軟なフィールドタイプをサポートしており、複雑なデータ構造も構築可能です。
    無料で高機能であり、コミュニティによるサポートも活発です。

    有効インストール数

    100,000以上

    最終更新日時

    2024年11月13日(日本時間2025年6月15日時点のWordPress.org情報に基づく)

    乗り換えによる主なデメリット

    このプラグインは、まずデータ構造(カスタム投稿タイプなど)を定義し、それをAPIとして公開する、という思想です。元のプラグインのようにAPIエンドポイントそのものを直接設計するのとはアプローチが異なります。
    API経由でのデータのインポート・エクスポート処理は、WordPressのREST APIを操作する外部ツール(例: Postman、独自のスクリプト等)や、別のインポート用プラグインとの組み合わせが必要になります。

  • Custom Post Type UI + Advanced Custom Fields (ACF)

    特徴

    Custom Post Type UI (CPT UI): カスタム投稿タイプとカスタムタクソノミーを簡単に作成・管理できます。
    Advanced Custom Fields (ACF): 作成した投稿タイプに、柔軟なカスタムフィールドを追加できます。
    この2つを組み合わせることで、あらゆるデータ構造を構築可能です。ACFはREST APIへの出力を標準でサポートしているため、作成したフィールドは自動的にAPI経由で利用可能になります(一部高度な機能は有料版のACF Proが必要な場合があります)。

    URL:
    Custom Post Type UI: https://wordpress.org/plugins/custom-post-type-ui/
    Advanced Custom Fields: https://wordpress.org/plugins/advanced-custom-fields/

    ダウンロード数:
    Custom Post Type UI: 1,000,000以上
    Advanced Custom Fields: 2,000,000以上

    最終更新日:
    Custom Post Type UI: 2024年8月22日
    Advanced Custom Fields: 2025年2月20日

    乗り換えによる主なデメリット

    2つのプラグインを組み合わせて利用するため、設定が少し煩雑に感じる可能性があります。
    代替案1のPodsと同様に、API経由でのデータ操作は外部ツールを利用するか、別途インポート・エクスポート用のプラグインを導入する必要があります。
    ACFの一部の高機能なフィールドタイプをAPIで完全に利用するには、有料版のACF Proが必要になる場合があります。

レポート担当者コメント

このプラグイン、手軽にAPI連携ができて便利でしたが、セキュリティに致命的な穴があり、開発も止まっているとなると、もうサイトの「時限爆弾」と同じですね。即刻アンインストールは必須です。今後の安定運用と拡張性を考えれば、少し手間はかかっても、「Custom Post Type UI」と「ACF」に乗り換えるのがベストな選択です。情報も豊富でずっと安全に使えるので、急いで移行を進めましょう!
RSS
Facebook
X (Twitter)
FbMessenger
Copy link
URL has been copied successfully!

今だけ3カ月無料キャンペーン実施中

お申し込みはこちら サービスに関するお問い合わせはこちら
お問い合わせ