【2026年3月版】Limit Login Attempts Reloadedのバージョンと脆弱性情報

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

本記事はLimit Login Attempts Reloadedのバージョンと脆弱性への対応状況についてまとめたもので、2026年3月11日に執筆しています。

Limit Login Attempts Reloadedは、WordPressのログイン試行回数を制限して総当たり攻撃を抑止するセキュリティプラグインであり、Atlantic Silicon Inc. （WordPress.org 表示名: WPChef）によって開発・サポートされています。

WordPressのPlugin Directoryの統計情報によると、アクティブインストールは200万以上、総ダウンロード数は7934万回以上を計測しており、世界的にも人気のあるプラグインの一つと言ってよいでしょう。

一方で、人気が高いほど攻撃対象になるリスクもあるため、脆弱性への適切な対応が重要になります。
実際にLimit Login Attempts Reloadedの脆弱性は過去見つかっており、迅速に対応されています。

この記事では、企業のWeb担当の皆様に向けて、Limit Login Attempts Reloadedの概要並びに、脆弱性及びその対応状況をご紹介することで、Limit Login Attempts Reloaded自体については安心して使用していただけるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

前述の通り、Limit Login Attempts Reloadedは、WordPressのログイン試行回数を制限して総当たり攻撃を抑止するオープンソースのログイン防御プラグインです。

標準ログインに加え、XML-RPC、WooCommerce、カスタムログインページも保護し、ロックアウト通知機能、失敗試行ログ、IP・ユーザー名のセーフリスト・拒否リスト機能など、実運用で使いやすい防御機能を備えていことから、世界的にも人気のあるプラグインとなっています。

一方で、利用者の多いプラグインは、攻撃のターゲットにされる可能性があるため、当社では、脆弱性に対する対応が遅い、もしくは対応しないプラグインは、クライアントにお勧めしていません。

Limit Login Attempts Reloadedについては、最新バージョンリリース以降脆弱性は見つかっていないこと、過去脆弱性が見つかった際には迅速に対応されていることから、2026年3月11日現在、最新バージョンを使用していればセキュリティ面でのリスクは少ないと考えております。

通常のオープンソースソフトウェアでは、公式のサポート（新機能の追加、不具合の改修、セキュリティパッチの提供）対象は最新パッチバージョンのみであり、最新パッチバージョンへのアップデートを推奨いたします。

2026年3月11日現在での、Limit Login Attempts Reloadedのバージョン情報は次の通りです。

※各バージョンのリリース日については、WordPress公式サイトの開発ログの情報に基づいています。
※上記の内容は、バージョン2.25.25までを掲載しています。また、それ以前のバージョンについては、下記脆弱性が修正されたバージョンを記載しています。
※バージョン2.25.26以下には既知の脆弱性が存在するため、グレーにしています。

Limit Login Attempts Reloadedの最新バージョンは2.26.28であり、当社が把握している全ての脆弱性に修正対応済みとなっています。

また、Limit Login Attempts Reloaded 2.25.26以下のバージョンをご使用の場合には、既知の脆弱性が存在する可能性がありますので、最新バージョンへとアップデートをしてください。

Limit Login Attempts Reloaded自体に関する脆弱性情報で、当社が把握しているものは次の通りです。

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures（本記事では「CVE」とします）の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急（9.0～10.0）、重要（7.0～8.9）、警告（4.0～6.9）に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。
※深刻度の数値はJapan Vulnerability Notes（本記事では「JVN」とします）及び、JVNが評価を合わせている米国国立標準技術研究所（NIST）が運営する脆弱性データベースであるNational Vulnerability Database（以下「NVD」）に準拠しています。JVN、NVDにてスコアリングされていない脆弱性情報についてはWordFenceのスコアに準拠しています。
※CVE-2020-35589については、影響範囲について、データベース間で差異がありますが、NVDの情報を正として記載しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

前述のように、Limit Login Attempts Reloadedは世界的にも人気のあるプラグインであり、Web制作の現場でWordPressを利用する場合には、お世話になる確率が高いプラグインです。

しかしながら、Limit Login Attempts Reloaded自体のバージョンアップをしようと思っても、WordPressやPHPのバージョンアップが必要であったり、設定が複雑であるなどの問題に直面することもあるかと思います。