Title: プラグインのセキュリティ管理 Author: Aki Hamano Published: 2025年5月9日 Last modified: 2025年5月11日 --- # プラグインのセキュリティ管理 ## この投稿内 * [セキュリティ課題の修正](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3%e8%aa%b2%e9%a1%8c%e3%81%ae%e4%bf%ae%e6%ad%a3) * [プラグインの自動セキュリティ・アップデート](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e3%83%97%e3%83%a9%e3%82%b0%e3%82%a4%e3%83%b3%e3%81%ae%e8%87%aa%e5%8b%95%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3%e3%83%bb%e3%82%a2%e3%83%83%e3%83%97%e3%83%87%e3%83%bc%e3%83%88) - [評価基準](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e8%a9%95%e4%be%a1%e5%9f%ba%e6%ba%96) * [FAQ](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#faq) - [プラグインの自動アップデートをリクエストするには ?](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e3%83%97%e3%83%a9%e3%82%b0%e3%82%a4%e3%83%b3%e3%81%ae%e8%87%aa%e5%8b%95%e3%82%a2%e3%83%83%e3%83%97%e3%83%87%e3%83%bc%e3%83%88%e3%82%92%e3%83%aa%e3%82%af%e3%82%a8%e3%82%b9%e3%83%88%e3%81%99%e3%82%8b) - [自動アップデートの対象に、セキュリティ関連以外の変更を含めることは可能ですか ?](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e8%87%aa%e5%8b%95%e3%82%a2%e3%83%83%e3%83%97%e3%83%87%e3%83%bc%e3%83%88%e3%81%ae%e5%af%be%e8%b1%a1%e3%81%ab%e3%80%81%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3%e9%96%a2%e9%80%a3%e4%bb%a5) - [プラグイン A には自動アップデートが適用され、プラグイン B には適用されないのはなぜですか ?](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e3%83%97%e3%83%a9%e3%82%b0%e3%82%a4%e3%83%b3-a-%e3%81%ab%e3%81%af%e8%87%aa%e5%8b%95%e3%82%a2%e3%83%83%e3%83%97%e3%83%87%e3%83%bc%e3%83%88%e3%81%8c%e9%81%a9%e7%94%a8%e3%81%95%e3%82%8c%e3%80%81) - [自動アップデートを無効にするには ?](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e8%87%aa%e5%8b%95%e3%82%a2%e3%83%83%e3%83%97%e3%83%87%e3%83%bc%e3%83%88%e3%82%92%e7%84%a1%e5%8a%b9%e3%81%ab%e3%81%99%e3%82%8b%e3%81%ab%e3%81%af) - [自分のコードを修正できない (あるいは修正したくない) 場合は ?](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e8%87%aa%e5%88%86%e3%81%ae%e3%82%b3%e3%83%bc%e3%83%89%e3%82%92%e4%bf%ae%e6%ad%a3%e3%81%a7%e3%81%8d%e3%81%aa%e3%81%84-%e3%81%82%e3%82%8b%e3%81%84%e3%81%af%e4%bf%ae%e6%ad%a3%e3%81%97%e3%81%9f%e3%81%8f) - [報告された課題だけを修正すればいいですか ?](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e5%a0%b1%e5%91%8a%e3%81%95%e3%82%8c%e3%81%9f%e8%aa%b2%e9%a1%8c%e3%81%a0%e3%81%91%e3%82%92%e4%bf%ae%e6%ad%a3%e3%81%99%e3%82%8c%e3%81%b0%e3%81%84%e3%81%84%e3%81%a7%e3%81%99%e3%81%8b) - [ガイドラインに課題がある場合は ?](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e3%82%ac%e3%82%a4%e3%83%89%e3%83%a9%e3%82%a4%e3%83%b3%e3%81%ab%e8%aa%b2%e9%a1%8c%e3%81%8c%e3%81%82%e3%82%8b%e5%a0%b4%e5%90%88%e3%81%af) [↑ ページの先頭へ戻る](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#wp--skip-link--target) WordPress プラグインのコードのセキュリティは、[非常に慎重に](https://wordpress.org/about/security/) 考慮されています。 セキュリティの課題があるプラグインを見つけた場合は、[プラグインのセキュリティ課題を報告する](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/reporting-plugin-security-issues/) をお読みください。 WordPress セキュリティチームによってプラグインの脆弱性が確認されると、プラグイン 作者に連絡し、修正方法と安全なバージョンのプラグインのリリースを指示します。プラグ イン作者からの応答がない場合、または脆弱性が深刻な場合は、プラグイン/テーマは公開 ディレクトリから引き抜かれ、場合によってはセキュリティチームによって直接修正・更新 されます。 ## 󠀁[セキュリティ課題の修正](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3%e8%aa%b2%e9%a1%8c%e3%81%ae%e4%bf%ae%e6%ad%a3)󠁿 プラグインにセキュリティの課題があるという報告を受けると、恐ろしくなります。まず、 慌てないでください。誰にでもミスはあります。最も重要なのは、安全かつ迅速に修正する ことです。 1. 報告の内容をよく理解してください。意味がわからない場合は、詳細を尋ねてください。 第三者の報告者であっても、通常は時間を割いて何が問題なのかを説明し、適切な修正方法 を調べる場所を指示してくれます。 2. 変更はできるだけ最小限にとどめましょう。そうすることで、後で見直すのがずっと簡単 になります。 3. プラグインをテストしましょう。セキュリティ修正が他の何かを壊していないことを確認 してください。アップグレードによって変なエラーが発生しないことを確認してください。` WP_DEBUG` をオンにしておき、エラーがあればログに記録してください。 4. 変更ログに課題を記録しましょう。何が起きたかについて詳細を書く必要はありませんが、 セキュリティの課題が解決されたことを記録してください。 5. readme に報告者についてクレジットしてください。これは単なる善意であり、のちのち、 人々が無償であなたを助けようという気にさせるものです。 6. バージョン番号を上げましょう。私たちは [SemVer (semantic software versioning、意味論的ソフトウェア・バージョニング)](https://semver.org/) を推奨しているので、プラグインのバージョン3.9のセキュリティリリースはバージョン を3.9.1などに変更します。 ## 󠀁[プラグインの自動セキュリティ・アップデート](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e3%83%97%e3%83%a9%e3%82%b0%e3%82%a4%e3%83%b3%e3%81%ae%e8%87%aa%e5%8b%95%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3%e3%83%bb%e3%82%a2%e3%83%83%e3%83%97%e3%83%87%e3%83%bc%e3%83%88)󠁿 WordPress 3.7以降、プラグインの重要な脆弱性を修正するために、プラグインの自動セキュリティ アップデートをプッシュする機能が追加されました。多くのサイトが、フィルターを通して 直接オプトインするか、利用可能な WordPress のリモート管理サービスのいずれかを使用 して、プラグインの自動アップデート機能を利用しています。 極端な状況では、プラグインレビューチームと WordPress セキュリティチームが、プラグ インの課題が全ユーザーのためにアップデートしなければならないほど大きいと判断する ことがあります。これは競合の可能性が高いため、非常にまれなケースです。 プラグインを自動アップデートの対象として承認し、WordPress ユーザーに展開するプロセス は、ほとんど手作業で行われます。セキュリティチームは、リリースのすべてのコード変更 をレビューし、課題と修正を確認し、プラグインがアップデートを起動しても安全である ことを確認します。自動アップデートの展開には、API コードの修正と配置が必要です。 これは、コア・セキュリティリリースの標準およびプロセスと同じです。 ### 󠀁[評価基準](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e8%a9%95%e4%be%a1%e5%9f%ba%e6%ba%96)󠁿 セキュリティ・プッシュのために考慮する、現在の評価基準は単純なリストです: 1. セキュリティチームは、その課題を認知していますか ? 2. その課題は、どの程度深刻ですか ? WordPress や インターネット全体のセキュリティに どのような影響がありますか ? 3. 課題の修正は自己完結型ですか、それともかなり多くの過剰なコードを追加しますか ? 4. プラグインの複数のブランチが影響を受ける場合、ブランチごとのリリースは準備されてい ますか ? 5. アップデートは **安全に** 自動的にインストールできますか ? これらの要件は、誰もがそれぞれのボックスにチェックを入れられるように定義されてい ます。 最初の評価基準 — セキュリティ・チームに課題を認知させること — は、非常に重要です。 厳重に管理されたプロセスであるため、WordPress のセキュリティチームにはできるだけ 早く通知する必要があります。WordPress セキュリティチームへの通知は、`plugins@wordpress. org` までメールで詳細をお知らせいただくだけで、簡単に行うことができます。 プラグイン・チームとセキュリティ・チームは、プラグイン作者 (異なる場合は報告者) と協力して、脆弱性とその正確な露出度を調査し、提案された修正を検証し、どのバージョン をいつリリースするかを決定します。 ## 󠀁[FAQ](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#faq)󠁿 ### 󠀁[プラグインの自動アップデートをリクエストするには ?](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e3%83%97%e3%83%a9%e3%82%b0%e3%82%a4%e3%83%b3%e3%81%ae%e8%87%aa%e5%8b%95%e3%82%a2%e3%83%83%e3%83%97%e3%83%87%e3%83%bc%e3%83%88%e3%82%92%e3%83%aa%e3%82%af%e3%82%a8%e3%82%b9%e3%83%88%e3%81%99%e3%82%8b)󠁿 あなたのプラグインに十分なユーザーベースがあるか、課題が非常に重要であると感じる 場合は、コードをプッシュする **前に** `plugin@wordpress.org` にメールを送ってくだ さい。メールにはレビュー用の変更パッチを添付し、なぜ自動化する必要があるのかを説明 してください。 ### 󠀁[自動アップデートの対象に、セキュリティ関連以外の変更を含めることは可能ですか ?](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e8%87%aa%e5%8b%95%e3%82%a2%e3%83%83%e3%83%97%e3%83%87%e3%83%bc%e3%83%88%e3%81%ae%e5%af%be%e8%b1%a1%e3%81%ab%e3%80%81%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3%e9%96%a2%e9%80%a3%e4%bb%a5)󠁿 一部の例外を除いては、そうではありません。セキュリティ・プッシュはセキュリティに「 だけ」関連すべきです。私たちは、セキュリティの課題「だけ」を修正し、最小限のコード 変更で、関連性のない変更を含まないプラグインのリリースを好みます (そして、多くの 場合、それを要求します)。 こうすることで、誰もが変更点をすばやく確認し、はるかに自信を持つことができます。 また、ユーザー側の混乱も最小限に抑えられます。 ### 󠀁[プラグイン A には自動アップデートが適用され、プラグイン B には適用されないのはなぜですか ?](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e3%83%97%e3%83%a9%e3%82%b0%e3%82%a4%e3%83%b3-a-%e3%81%ab%e3%81%af%e8%87%aa%e5%8b%95%e3%82%a2%e3%83%83%e3%83%97%e3%83%87%e3%83%bc%e3%83%88%e3%81%8c%e9%81%a9%e7%94%a8%e3%81%95%e3%82%8c%e3%80%81)󠁿 WordPress.org のバイアスではなく、これまでの手動プロセスに戻っただけです。もし私 たちが課題に対して警告を受けたら、それに応えようと努力します。数日後に問題が発覚 した場合、通常、修正プログラムを展開する機会は過ぎており、自動アップデートを実施 してもそれほど効果的ではありません。 ### 󠀁[自動アップデートを無効にするには ?](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e8%87%aa%e5%8b%95%e3%82%a2%e3%83%83%e3%83%97%e3%83%87%e3%83%bc%e3%83%88%e3%82%92%e7%84%a1%e5%8a%b9%e3%81%ab%e3%81%99%e3%82%8b%e3%81%ab%e3%81%af)󠁿 この機能を無効にするにはいくつかのオプションがあります。[コアの自動アップデートを無効にする](https://make.wordpress.org/core/2013/10/25/the-definitive-guide-to-disabling-auto-updates-in-wordpress-3-7/) の記事がこれに当てはまります。すべての自動更新機能を無効にすると、プラグインの更新 ができなくなります。プラグインの更新だけを無効にしたい場合は、すべてのプラグイン であれ、単一のプラグインであれ、1回のフィルター呼び出しで可能です。 ### 󠀁[自分のコードを修正できない (あるいは修正したくない) 場合は ?](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e8%87%aa%e5%88%86%e3%81%ae%e3%82%b3%e3%83%bc%e3%83%89%e3%82%92%e4%bf%ae%e6%ad%a3%e3%81%a7%e3%81%8d%e3%81%aa%e3%81%84-%e3%81%82%e3%82%8b%e3%81%84%e3%81%af%e4%bf%ae%e6%ad%a3%e3%81%97%e3%81%9f%e3%81%8f)󠁿 その必要はありません。あなたのプラグインはクローズされたままとなり、2、3ヵ月後に プラグインのページに、セキュリティの課題でクローズされたことが報告されます。プラグ インをクローズしたまま修正をプッシュしたい場合、私たちはそれも可能です。メールに 返信して、私たちにご相談ください。 ### 󠀁[報告された課題だけを修正すればいいですか ?](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e5%a0%b1%e5%91%8a%e3%81%95%e3%82%8c%e3%81%9f%e8%aa%b2%e9%a1%8c%e3%81%a0%e3%81%91%e3%82%92%e4%bf%ae%e6%ad%a3%e3%81%99%e3%82%8c%e3%81%b0%e3%81%84%e3%81%84%e3%81%a7%e3%81%99%e3%81%8b)󠁿 Yes でもあり No でもあります。報告された課題は、**修正しなければなりません** が、 それが終わるとプラグインが再レビューされ、さらに課題が見つかった場合は、それらも 修正する必要があります。最終的な目標は、再開されたプラグインが安全であることを確認 することです。 ### 󠀁[ガイドラインに課題がある場合は ?](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/?output_format=md#%e3%82%ac%e3%82%a4%e3%83%89%e3%83%a9%e3%82%a4%e3%83%b3%e3%81%ab%e8%aa%b2%e9%a1%8c%e3%81%8c%e3%81%82%e3%82%8b%e5%a0%b4%e5%90%88%e3%81%af)󠁿 これは、jQuery の独自のコピーを入れたり、ドキュメント化されていない外部サービスを 呼び出したりするなど、他のガイドラインを破っている場合に発生します。他の課題の重大 性に拠ります。あなた自身の jQuery だけであれば、私たちはおそらくその課題を再開さ せ、あなた自身のペースで修正することを許可するでしょう。プラグインのすべてのインストール を記録している場合は、プラグインを再開する前に修正する必要があります。 [原文](https://developer.wordpress.org/plugins/wordpress-org/plugin-security/) / [日本語訳](https://github.com/jawordpressorg/developer-plugins-handbook/blob/main/wordpress-org/plugin-security/index.md) 公開日 2025年5月9日 最終更新 2025年5月11日 [ 前へ: プラグインアセットの仕組み](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-assets/) [ 次へ: プラグインのセキュリティ課題を報告する](https://ja.wordpress.org/team/handbook/plugin-development/wordpress-org/plugin-security/reporting-plugin-security-issues/)