「当ブログはアフィリエイト広告を利用しています」

「XML Sitemap Generator for Google(4.1.21)」の脆弱性とは?今すぐ更新すべき理由と代替案

ブログ運営

WordPressを利用している多くのユーザーに愛用されてきたプラグイン「XML Sitemap Generator for Google(バージョン4.1.21)において、深刻な脆弱性が報告されています。

2025年12月現在、Wordfenceなどのセキュリティ機関から警告が出ており、(4.1.21)は安全ではない状況です。最新バージョン(4.1.22)への更新か、代替えが必要です。

本記事では、この脆弱性の内容と、XMLサイトマップの重要性、そして安心して使う方法を代替案も含めて解説します。

「PR」

なぜ「XML Sitemap Generator for Google(4.1.21)」が危険なのか?

現在、このプラグインのバージョン 4.1.21 において、「権限チェックの欠如(Missing Authorization / CVE-2025-64632)」という脆弱性が確認されています。

脆弱性のリスク

  • 不正操作: 管理者以外の第三者が、サイトマップの設定を書き換えたり、再構築したりする可能性があります。
  • SEOへの悪影響: 悪意のあるサイトマップを生成されることで、検索エンジンが正しくサイトを巡回できなくなり、検索順位が下落するリスクがあります。
  • 更新の停止: このプラグインは2024年4月を最後にアップデートが止まっており、開発側による修正の見込みが立っていませんでした。
    しかし、1年以上経った2025年12月24日になって、ようやく最新バージョン(4.1.22)が公開されました。

結論として、このプラグイン「XML Sitemap Generator for Google(バージョン4.1.21)は直ちに「無効化・削除」するか、最新バージョン(4.1.22)に更新することを強く推奨します。

「PR」

そもそも「XMLサイトマップ」はなぜ必要なのか?

「プラグインを削除して、サイトマップ自体がなくなっても大丈夫なの?」と不安に思うかもしれません。まず、XMLサイトマップを利用するメリットと、利用しない場合の影響を整理しましょう。

XMLサイトマップを利用するメリット

  1. クロールの効率化: 検索エンジンのロボット(クローラー)に対して、サイト内のどのページが重要かを直接伝えることができます。
  2. 新着記事の早期インデックス: 記事を公開した直後にサイトマップが更新されるため、検索エンジンに早く見つけてもらえます。
  3. 複雑な構造のサイトをカバー: 内部リンクが少ないページでも、サイトマップに記載があれば確実に見つけてもらえます。

利用しない場合の影響

  • インデックス漏れ: クローラーが辿り着けないページが放置される可能性があります。
  • 反映の遅れ: サイト全体の更新頻度が低いと判断され、新着記事が検索結果に出るまで時間がかかるようになります。
  • 「隠れたページ」の発生: 階層が深いページが検索対象から外れてしまうリスクがあります。

最新版「XML Sitemap Generator for Google(4.1.22)」

最新版バージョン(4.1.22)へのアップデートによって、これまで指摘されていた深刻な脆弱性は修正されました。

バージョン 4.1.22 で何が変わったのか?

この最新バージョンでは、まさにWordfenceなどで警告されていた「権限チェックの欠如(CVE-2025-64632)」に対する修正パッチが適用されています。

  • 修正内容: 認証されていないユーザーがプラグインの設定を変更できないよう、適切な権限確認とセキュリティトークン(Nonce)のチェックが強制されるようになりました。
  • 安全性の判断: 少なくとも、現在報告されている「誰でも設定を操作できてしまう」という直接的な危険は回避された状態です。

そのまま使い続けても大丈夫?

「今すぐ移行しなければならない」という緊急事態は、このアップデートによりひとまず脱したと言えます。ただし、以下の2点を踏まえて判断することをお勧めします。

アップデートして使い続ける場合

もし、このプラグインの使い勝手が気に入っており、特に不満がないのであれば、4.1.22 に更新した上で利用を継続しても問題ありません。 開発者が脆弱性に対応したということは、メンテナンスが完全に放棄されたわけではないという証明でもあります。

それでも移行を検討すべき場合

前回の回答でも触れた通り、以下の懸念は依然として残ります。

  • 更新頻度の低さ: 前回の更新から1年以上空いての修正だったため、今後新しいWordPressのバージョンや別の脆弱性が出た際の対応が遅れる可能性があります。
  • 最新SEO機能の不足: 最近のSEOプラグイン(Rank MathやYoast SEOなど)に比べると、機能が非常にシンプルです。

代替プラグイン・対策の選び方

現在、XMLサイトマップを生成する方法は他にもたくさんあります。ご自身の環境に合わせて、以下のいずれかを選択してください。

SEOプラグインの機能を使う(推奨)

「Yoast SEO」「Rank Math」「All in One SEO」などの総合SEOプラグインを使っている場合、標準でXMLサイトマップ生成機能が含まれています。 これらを有効にすれば、専用のプラグインは不要です。二重に導入すると競合してエラーの原因になるため、一つに絞りましょう。

単体プラグイン「XML Sitemap & Google News」に乗り換える

SEOプラグインを入れていない、あるいはサイトマップ機能だけをシンプルに使いたい場合は、以下のプラグインが現在の主流です。

2025年12月時点

設定が簡単で、動作も軽く、現在も頻繁に更新されています。

設定方法

  • プラグインの設定をクリックする
  • 「表示設定」の画面にアクセス
  • 「XML サイトマップを有効化」の設定をクリック
  • 設定画面が表示されたら、上部タブのタクソノミーをクリック
  • タクソノミー」の「カテゴリー」と「タグ」にチェックを入れて、変更を保存
  • URL:「https://〇〇〇(ドメイン名)/sitemap.xml」でサイトマップを確認
  • URLにアクセスして、サイトマップが確認できれば完了
  • このURLでGoogleサーチコンソールへの登録

③ WordPress標準のサイトマップ機能を使う

「余計なプラグインを増やしたくない」という方には、WordPress 5.5から搭載された標準機能を利用するのが最も安全な選択です。

標準機能のメリット

  • プラグイン不要: 脆弱性の心配がなく、サイトが重くなる原因にもなりません。
  • メンテナンスフリー: WordPress本体のアップデートに合わせて自動で保守されます。

利用・確認の手順

特別な設定画面はありません。以下の手順で正しく動作しているか確認するだけでOKです。

  1. 既存のプラグインを停止・削除する 「XML Sitemap Generator for Google」などのプラグインが有効な間は、標準機能が自動でオフになっている場合があります。まずは古いプラグインを削除してください。
  2. 専用URLにアクセスする ブラウザのURL入力欄に以下を入力してアクセスしてみてください。 https://〇〇〇(ドメイン名)/wp-sitemap.xml
  3. 表示を確認する XML形式のリスト(投稿、固定ページ、カテゴリーなどのリンク)が表示されれば、正常に動作しています。

注意点とGoogleへの登録

WordPress標準機能のサイトマップは、カスタマイズ性が低い(特定の記事を隠すなどの設定に専門知識が必要)という弱点があります。

正常に表示されることが確認できたら、Google Search Console(サーチコンソール)にログインし、新しいサイトマップURL(wp-sitemap.xml)を送信し直すことを忘れないようにしましょう。

【仕上げ】Googleサーチコンソールへの再登録手順

サイトマップの生成方法(プラグインまたは標準機能)を変更したら、Googleに対して「新しいサイトマップはこれですよ!」と教えてあげる必要があります。

ステップ1:新しいサイトマップURLを確認する

選んだ方法によって、登録するURLが異なります。まずは自分のURLがどれになるか確認しましょう。

  • WordPress標準機能の場合: wp-sitemap.xml
  • 主要なSEOプラグイン(Yoast, Rank Math等)の場合: sitemap_index.xml
  • XML Sitemap & Google Newsの場合: sitemap.xml

ステップ2:古いサイトマップを削除する

以前のプラグイン(XML Sitemap Generator for Google)が生成していた古い情報を一度リセットします。

  1. Google Search Consoleにログインします。
  2. 左メニューの「インデックス」「サイトマップ」をクリックします。
  3. 「送信されたサイトマップ」の一覧にある、以前のサイトマップ(例:sitemap.xmlなど)をクリックします。
  4. 右上の「︙(3点ドット)」アイコンをクリックし、「サイトマップの削除」を選択します。

ステップ3:新しいサイトマップを送信する

いよいよ新しいURLを登録します。

  1. 同じく「サイトマップ」画面の「新しいサイトマップの追加」欄を見ます。
  2. 自分のサイトのURLに続く空欄に、ステップ1で確認したURL(例:wp-sitemap.xml)を入力します。
  3. 「送信」ボタンをクリックします。

ステップ4:ステータスを確認する

送信後、ステータスが「成功しました」と表示されれば完了です!

【注意】 送信直後は「取得できませんでした」と表示されることがありますが、数分〜数時間後に再読み込みすると正常に処理されることがほとんどです。焦らず少し時間を置いて確認してみましょう。

「XML Sitemap & Google News」に乗り換えてみた

当記事を書いている間に、最新版「XML Sitemap Generator for Google(4.1.22)」への更新のお知らせがWordPress管理画面に表示されました。

Wordfenceに警告が出てから、更新されるまで時間がかかったことから、利用を止めて、新たに「XML Sitemap & Google News」に乗り換えてみました。

当記事で説明した手順で、インストールして設定が完了するまで10分程度で、簡単に完了しました。

ただし、Googleサーチコンソールにサイトマップを追加すると、その時点ではまだ認知されていませんでしたが、数分後に再読み込みすると、成功しました。

非常に軽くシンプルなので、使い勝手はいいと実感しています。

まとめ

セキュリティ脆弱性を放置することは、サイトの信頼性だけでなく、積み上げてきたSEO評価を失うことにも繋がりかねません。

「長年使っていたから」と使い続けず、2025年の最新基準に合わせた安全なプラグインへの移行を行いましょう。

タイトルとURLをコピーしました