2025年12月21日、30万以上のウェブサイトで利用されているWordPressプラグイン「Redirection for Contact Form 7」に脆弱性が発見されたことが報じられた。このプラグインはThemeisleが開発したContact Form 7のアドオンで、フォーム送信後のリダイレクトやデータベースへの情報保存機能を提供する。
30万以上のウェブサイトで利用されているWordPressプラグイン「Redirection for Contact Form 7」に脆弱性が発見された。このプラグインはThemeisleが開発したContact Form 7のアドオンで、フォーム送信後のリダイレクトやデータベースへの情報保存機能を提供する。
今回の脆弱性は非認証攻撃者によって悪用可能であり、ログインやユーザー権限の取得が不要である。Wordfenceの報告によれば、バージョン3.2.7までのすべてのバージョンにおいて、move_file_to_upload関数内のファイルタイプ検証の欠如により、攻撃者はサーバー上の任意のファイルをコピーできる。PHPの設定であるallow_url_fopenがOnの場合、リモートファイルのアップロードも可能になる。
ただし、多くの共有ホスティングプロバイダーはこの設定をOffにしているため、悪用の可能性は軽減されている。ユーザーにはバージョン3.2.8以降へのアップデートが推奨される。
From: 
Redirection For Contact Form 7 WordPress Plugin Vulnerability
【編集部解説】
WordPressのエコシステムにおいて、プラグインの脆弱性は常に大きなリスクです。今回発見された「Redirection for Contact Form 7」の脆弱性は、30万以上のサイトに影響を与える規模でありながら、実際の悪用可能性が限定的という興味深い特徴を持っています。
この脆弱性の問題点は、move_file_to_upload関数におけるファイルタイプ検証の欠如にあります。通常、ファイルアップロード機能では拡張子やMIMEタイプをチェックしますが、バージョン3.2.7以前ではこの検証が不十分でした。そのため攻撃者は認証なしでサーバー上の任意のファイルをコピーでき、機密情報の窃取やマルウェアの設置が理論上可能になってしまいます。
ただし、この脆弱性が実際に悪用されるには重要な前提条件があります。PHPの設定であるallow_url_fopenがOnになっている必要があるのです。この設定は外部URLからのファイル読み込みを制御するもので、PHPはデフォルトでOnですが、セキュリティを重視する多くの共有ホスティングプロバイダーはこれをOffに設定しています。
そのため、多くの環境では実質的に悪用が困難な状況です。ただし注意が必要なケースもあります。VPSや専用サーバーで独自にPHP設定を管理している場合、この設定がOnのままである可能性があるからです。企業サイトや高度なカスタマイズを行っているサイトでは特に確認が必要でしょう。
Contact Form 7関連のプラグインでは、過去にも複数の脆弱性が報告されています。人気プラグインゆえに攻撃者の標的になりやすいことを示しています。今回は開発元のThemeisleが迅速にバージョン3.2.8をリリースし、脆弱性に対処しました。
WordPressサイト運営者にとって、この事例が示す教訓は明確です。プラグインの更新は単なる機能追加ではなく、セキュリティ対策そのものなのです。特に非認証攻撃が可能な脆弱性は、発見された時点で速やかな対応が求められます。
【用語解説】
Contact Form 7
WordPress上で最も人気のある問い合わせフォーム作成プラグイン。世界中で1000万以上のサイトが利用しており、シンプルな設定で高度なフォーム機能を実装できる。日本でも広く使われている。
非認証攻撃
攻撃者がシステムにログインしたり、ユーザーアカウントを取得したりすることなく実行できる攻撃のこと。防御が困難で、影響範囲が広がりやすい特徴を持つ。
任意のファイルアップロード脆弱性
攻撃者が意図しないファイル(マルウェアやスクリプトなど)をサーバーにアップロードできてしまう脆弱性。サイトの乗っ取りやデータ窃取につながる深刻な問題である。
allow_url_fopen
PHPの設定項目の一つで、外部URLからファイルを読み込む機能を制御する。Onの場合、リモートサーバーのファイルを直接操作できるが、セキュリティリスクも高まる。
共有ホスティング
1台のサーバーを複数のユーザーで共有するホスティング形態。コストが安い反面、セキュリティ設定は提供者側で管理されることが多い。
VPS(Virtual Private Server)
仮想的に独立したサーバー環境を提供するホスティングサービス。ユーザーが自由にサーバー設定を変更でき、共有ホスティングより柔軟性が高い。
MIME タイプ
ファイルの種類を識別するための標準的な方式。例えば画像ファイルなら「image/jpeg」、PDFなら「application/pdf」といった形式で表現される。
【参考リンク】
Wordfence(外部)
WordPressセキュリティプラグインおよび脆弱性情報を提供する企業。WordPress関連の脆弱性を詳細に分析しデータベース公開。
Themeisle(外部)
WordPressのテーマやプラグインを開発提供するルーマニアの企業。「Redirection for Contact Form 7」の開発元。
WordPress公式プラグインディレクトリ – Redirection for Contact Form 7(外部)
プラグインの公式ページ。ダウンロード数、評価、更新履歴、最新バージョンと互換性情報を確認できる。
【参考記事】
Redirection for Contact Form 7 Vulnerability Disclosure Program(外部)
Patchstackの脆弱性データベース。過去の脆弱性履歴や修正状況を時系列で確認できる専門的情報源。
Top 5 Free Contact Form 7 Extensions in 2025(外部)
Contact Form 7の主要エクステンションプラグインを紹介。本体が1000万以上のインストールを持つと確認。
【編集部後記】
WordPressサイトを運営されている方は、プラグインの更新通知をどのように扱っていますか?「後で」と先延ばしにしてしまうこと、ありませんか。今回の脆弱性は、多くの環境では悪用されにくいという事実がありますが、それでも放置は禁物です。
セキュリティアップデートは、見えない脅威からサイトを守る最前線の防御なのです。ご自身のサイトで使っているプラグインのバージョン、この機会に確認してみてはいかがでしょうか。小さな習慣が、大きなトラブルを未然に防ぎます。
