WordPressのマルウェアを対策するプラグイン「Malcure Malware Scanner」に、任意ファイルを削除される重大な脆弱性(CVE-2025-6043)が発見されました。場合によっては、サイトやサーバーの機能が完全に停止する恐れがあります。

今回の問題を受け、プラグインのリリースは2025年7月15日に停止されました。しかし、現在は修正パッチ(バージョン17.2)が配布され、ダウンロードが可能です。

この記事では、WordPressプラグイン「Malcure Malware Scanner」の脆弱性と想定される被害、対策について詳しく解説します。

具体的な被害を把握したい方、代替プラグインを検討している方も、ぜひ最後までお読みください。

WordPressテーマ「GLUE」
WordPressテーマ「GLUE」
無料で高機能なWordPressテーマが手に入る。

Malcure Malware Scannerとは

Malcure Malware Scannerは、WordPressサイトに特化したマルウェア検出と削除を目的としたセキュリティプラグインです。

主な機能は、サイト内に存在するマルウェアや悪意のあるコードのスキャンと、感染が確認された場合の駆除です。

WordPressサイトの安全性を保つためのツールとして、有効インストール数は10,000+と、数多くのサイト運営者から利用されています。

定期スキャン機能や不審ファイルの検知能力は、WordPressサイトのセキュリティ維持に大きく貢献していました。しかし、皮肉にもプラグイン自体に重大な脆弱性が発見されてしまったわけです。

Malcure Malware Scannerに発見された脆弱性

2025年7月15日、WordPressプラグイン「Malcure Malware Scanner」のバージョン16.8以下のバージョンに、任意ファイルを削除される危険性のある重大な脆弱性(CVE-2025-6043)が発見されました。

参照元:Wordfence

この脆弱性はWordfenceから「重大」と評価されており、基本値はレッドゾーンの8.1です。

攻撃者から悪用されると、Webサイト上の任意のファイルを削除される可能性があります。WordPressの設定ファイルやデータベース接続情報、サーバーのシステムファイルなど、Webサイトやサーバーの運用に欠かせないファイルが標的となると、サイトやサーバーの機能が完全に停止する恐れがあるでしょう。

この脆弱性は、正規のマルウェア除去機能として実装された「ファイル削除機能」の悪用によって発生します。低い権限のユーザーでも機能の実行ができるほか、ファイルパス検証が不十分なため、WordPressのディレクトリ外にあるファイルまで削除対象となる可能性があります。

なお、現在は修正パッチ(バージョン17.2)がリリースされているので、速やかにアップデートをしてください。

Malcure Malware Scannerに発見された脆弱性の原因

Malcure Malware Scannerに発見された脆弱性の原因は、大きく分けると4つあります。

  1. 低い権限でもハイリスクな機能を実行できる
  2. 削除できる範囲が限定的
  3. セキュリティの甘さ
  4. ファイルパス検証が不適切

それぞれ詳しく見ていきましょう。

低い権限でもハイリスクな機能を実行できる

Malcure Malware Scannerプラグインの脆弱性の原因は、低い権限のユーザー(購読者など)でも、ファイル削除を実行できる点です。

通常、ファイル削除のようなシステムに大きな影響を与える操作は、管理者権限を持つユーザーのみに限定されています。しかし、このプラグインでは適切な権限チェックが欠如しており、権限の低い悪意あるユーザーが重要なファイルを削除できる状態にありました。

これはWebサイトのセキュリティ設計において、基本ともいえる「最小権限の原則」が守られていなかったことを示しています。

削除できる範囲が限定的

ファイルの削除可否を判定する「is_deletable関数」において、削除対象の制限が不十分だった点も原因です。

この関数は、WordPressの重要な設定ファイル「wp-config.php」と「.htaccess」のみを削除対象から除外する限定的な設定でした。しかし、WordPressディレクトリ外にあるサーバー全体の重要なシステムファイルは、削除対象として判定される仕組みになっていたのです。

つまり、想定以上のファイルが削除可能となっていたため、攻撃者はシステム全体に深刻なダメージを与えられる立場にありました。

セキュリティの甘さ

Malcure Malware Scannerの脆弱性は、セキュリティの甘さに起因しています。

マルウェア除去を目的に実装されたファイル削除機能は、悪用されないよう厳重に管理されるべきです。しかし、このプラグインでは重要な機能が悪用される可能性を考慮した設計になっていませんでした。

たとえば、ユーザー入力の検証が不適切だったり、重要な操作に対する管理者権限の確認が不十分だったりと、複数のセキュリティ対策の欠如が見られます。

任意ファイルが削除される可能性があるという重大な脆弱性を引き起こす原因は、これらのセキュリティ上の甘さが複合的に作用した結果です。

ファイルパス検証が不適切

ファイルパス検証の不備も、脆弱性につながっている要因のひとつです。

ファイル削除機能である「wpmr_delete_file関数」に、ユーザーからの入力が適切に検証されていませんでした。

攻撃者はbase64でエンコードされたファイルパスを、直接デコードして使用できる状態にあったため、たとえば「../../../etc/passwd」などのパストラバーサル攻撃が可能だったわけです。

■ パストラバーサル攻撃とは
本来アクセスできないディレクトリやファイルに不正にアクセスしようとする攻撃手法

WordPressのディレクトリ外にあるサーバーファイルを削除されるリスクの要因は、不適切なファイルパス検証といっても過言ではありません。

Malcure Malware Scannerの脆弱性で想定される被害

Malcure Malware Scannerの脆弱性で想定される被害は、3つあります。

  1. サイトの機能停止
  2. サーバーの機能停止
  3. 復旧が困難になる

それぞれ詳しく解説します。

サイトの機能停止

Malcure Malware Scannerの脆弱性が悪用されると、WordPressサイトの機能が完全に停止する危険性が増します。

攻撃者はプラグインの脆弱性を用いて、WordPressの重要な設定ファイル「wp-config.php」の削除が可能です。これが削除されると、WordPressはデータベースに接続できなくなり、サイト全体の機能が停止します。

また「.htaccess」ファイルが削除されると、Webサイトの表示エラーが発生するだけでなく、これまで設定していたセキュリティ設定が無効化される恐れがあります。

サーバーの機能停止

Malcure Malware Scannerの脆弱性はWebサイトだけでなく、サーバー全体の機能停止に繋がる可能性があります。

これはプラグインの脆弱性により、攻撃者がWordPressがインストールされているディレクトリを超え、サーバーのシステム上にある重要なファイルを削除できるためです。

たとえば「/etc/passwd」のようなシステムファイルが削除されると、サーバー自体の機能が停止する事態に陥るでしょう。また、SSL証明書ファイルが削除されれば、WebサイトのHTTPS通信が無効化され、ユーザーがサイトにアクセスできなくなる恐れがあります。

復旧が困難になる

Malcure Malware Scannerの脆弱性を用いて、攻撃者からファイルが削除されると、Webサイトの復旧作業が困難になる可能性があります。

wp-config.phpやデータベース接続情報など、Webサイトの根幹に関わるファイルが削除された場合、手動での復旧が複雑になるため専門知識と経験が必要です。また、サーバー全体の重要ファイルが削除されると、サーバーの再構築が必要になる可能性があります。

このような深刻な状況に陥ると、自力での復旧が困難になるだけでなく、バックアップがあったとしても完全に機能するかわかりません。

Malcure Malware Scannerの脆弱性対策

Malcure Malware Scannerの脆弱性対策は、以下のとおりです。

  1. 最新バージョンに更新する
  2. ユーザーアカウントとサーバーに異常がないか確認
  3. バックアップがあれば復旧を試みる

それぞれ詳しく見ていきましょう。

最新バージョンに更新する

Malcure Malware Scannerの脆弱性を改善するには、最新バージョンへの更新が欠かせません。

修正パッチ(バージョン17.2)がリリースされているので、早めにアップデートをしてください。

公式によるプラグインのアップデート履歴と内容は、以下のとおりです。

17.2
バグ修正:アドバンス版ではファイルのクリーンアップが機能しない問題の修正。

17.1.2
バグ修正:チェックサムを取得できない場合のエラー修正。

17.1.1
バグ修正:WP CLI からのアクティベーション中に発生するエラーの修正。

17.1
セキュリティ:CSRFおよびアクセス制御の脆弱性を修正。

ユーザーアカウントとサーバーに異常がないか確認

Malcure Malware Scannerの脆弱性による被害を受けた可能性がある場合は、WordPressサイトのユーザーアカウントやサーバーの状態に異常がないか確認しましょう。

特に、身に覚えのない不審な購読者アカウントが存在しないか、管理画面のユーザー一覧をチェックしてください。

脆弱性が悪用された場合、不正なアカウントが作成されている可能性があります。身に覚えのないユーザーが追加されていたら、速やかに削除してください。

また、WordPressサイトに欠かせないコアファイル「wp-config.php」と「.htaccess」が存在し、改ざんされていないか確認する必要があります。

■ wp-config.phpとは
WordPressの動作に必要な設定ファイル
■ .htaccessとは
ページやファイルへのアクセスを制御するWebサーバー用の設定ファイル

しかし、これらは専門知識と経験が必要になるほか、誤った操作をすると取り返しのつかない事態に発展します。

したがって、コアファイルやサーバーの調査・改善はプロに依頼しましょう。

実績のある業者なら、サーバーのアクセスログやエラーログを確認し、不審なファイル削除のリクエストやエラー、ファイル削除の痕跡を明らかにできます。いずれも素人には困難な作業なので、サイトの安全を確保するためにもプロに調査してもらうべきです。

バックアップがあれば復旧を試みる

Malcure Malware Scannerの脆弱性が悪用され、ファイルが削除されてしまった場合は、バックアップからの復旧を試みるべきです。ただし、この方法はWebサイト全体のバックアップを定期的に行っている場合にかぎります。

以前のデータがないと、復旧を実施できません。

ここでは、エックスサーバーでの復旧手順を紹介します。まずは、サーバーパネルにログインし、「バックアップ」を選択してください。

「自動バックアップデータから復元」にチェックを入れ、サイトの安全が確認できている日付を選択し「対象を指定して復元」にチェックをいれてください。下部に対象ドメイン・ディレクトリが表示されるので、復旧したいドメインにチェックを入れ「Web領域のみ」にチェックを入れます。

「上記の注意事項を理解した上で処理を行います。」にチェックを入れ、「復元を開始(確認)」を選択します。

内容を確認し、問題がなければ「復元を開始(確定)」を選択します。

これで復元が実行されます。状況は「自動バックアップデータの取得・復元履歴」タブから確認できます。

バックアップから復旧ができない場合は、プロに調査してもらいましょう。原因を特定でき、改善策を見いだせれば、サイトを元の状態に戻せるかもしれません。

復旧が難しい場合はプロに相談

Malcure Malware Scannerの脆弱性によって被害を受け、復旧作業が困難な場合はプロへの相談をおすすめします。

マルウェアの駆除や重要なファイルが削除された場合の復旧は、高度な専門知識と経験が必要です。誤った対応をすると、さらなる被害を引き起こしたり、復旧が不可能になったりするリスクがあります。

特にビジネスで利用しているWebサイトの場合、迅速かつ確実な復旧が必要になるはずです。

プロに依頼すれば、サイトのダウンタイムを最小限に抑えられるほか、情報漏洩や信用失墜などのリスクを軽減し、安全な運用を取り戻せるでしょう。

WordPressテーマ「GLUE」
WordPressテーマ「GLUE」
無料で高機能なWordPressテーマが手に入る。