Googleの2026年版Core Web Vitals、厳格化されたパフォーマンス評価でウェブ制作現場が変わる

つくば市のホームページ制作会社

2026年3月のGoogleコアアップデートで、ウェブサイトの検索ランキングに大きな変動が起きています。3月27日から4月8日まで12日間にわたって展開されたこのアップデートは、これまでの単純なパフォーマンス測定を超えて、サイト全体のユーザー体験を重視する方向性を明確に打ち出しました。

トラフィックを失ったサイトに共通しているのはCore Web Vitalsの問題で、個別のページがCore Web Vitalsをクリアしていても、サイト全体が遅い場合は今や検索順位に影響を受けるようになったという根本的な変化が起きています。日本のウェブ制作現場にとって、これは技術的なアプローチを見直す重要な転換点といえるでしょう。

基準値の厳格化で見えてきた現実

2026年版のCore Web Vitalsでは、従来の基準が軒並み厳しくなりました。Largest Contentful Paint(LCP)の「良い」とされる基準が2.5秒から2.0秒に引き下げられ、以前なら合格していた2.0〜2.5秒の範囲は「改善が必要」とマークされるようになっています。

Interaction to Next Paint(INP)の基準も200msから150msに短縮され、サードパーティスクリプト、アナリティクストラッカー、チャットウィジェット、未圧縮のJavaScriptが多用されているサイトでは、この差が合格と不合格の分かれ目となっています。中小企業サイトでよく見られる「便利ツールの詰め込み」が、実は検索順位を下げる要因になっているのが現状です。

さらに注目すべきは、新しく導入されたSmooth Visual Transitions(SVT)という指標で、ページ読み込み中の視覚要素の滑らかさを測定し、Googleは単なる速度ではなく体験の質を評価するようになった点です。ヒーロー画像の遅れた表示、フォント読み込み時のテキストの動き、広告表示による要素の位置移動などが、これまで以上に厳しく評価されています。

WordPressサイトが直面している課題

統計データから見えてくる現実は深刻です。WebflowやDudaなどの管理型プラットフォームがCore Web Vitalsの合格率65〜85%を記録している一方、WordPressはモバイルで45%程度にとどまっており、静的サイトが95%以上の合格率を達成できるのに対して、大きな差が生まれているのが実情です。

WordPressサイトの多くは、プラグインの組み合わせやテーマの重さ、未最適化の画像などが複合的に作用してパフォーマンスを低下させています。特に日本の制作現場でよく使われる多機能テーマやSEOプラグイン、問い合わせフォームなどを組み合わせると、知らないうちに評価基準を下回ってしまうケースが頻発しています。

2026年のアップデートで特に重要なのは、Visual Stability Index(VSI)という新指標で、初期ページ読み込みだけでなくユーザーのセッション全体を通じた安定性、スクロールや操作時の変化、予期できる変化と予期できない変化の区別を評価することです。これまでのCumulative Layout Shiftが初回読み込み時のみを対象としていたのに対し、VSIは継続的な使いやすさを測定する点で大きな進歩といえます。

モバイルファーストの加速と対策の方向性

2026年はモバイルファーストブラウジングがさらに主流となり、GoogleはCore Web Vitalsの評価においてモバイルデバイスのスコアにより多くの重みを置き、ウェブトラフィックの60%以上がモバイルデバイスから来ている現状に対応しています。

実践的な改善アプローチとしては、まず現状把握から始めることが重要です。Google PageSpeed Insightsでモバイルパフォーマンススコアが80未満なら改善が必要、60未満なら緊急対応が必要と考えるべきでしょう。多くの中小企業サイトで効果的な対策は、WebPやAVIF形式への画像変換、レンダリングをブロックするJavaScriptの削減、適切な遅延読み込みの実装、高速ホスティングへの移行、画像サイズ指定によるレイアウトシフトの防止などです。

地方のウェブ制作会社やフリーランサーにとって、この変化は新しいビジネス機会でもあります。WordPressサイトと競合している業界で、静的で高速なサイトを提供できれば構造的に有利になり、Googleは明確にこの方向を評価しているからです。単に見た目の良いサイトを作るだけでなく、パフォーマンスの技術的な裏付けがある制作会社が、今後はクライアントから選ばれる時代になっていくでしょう。

長期的な視点で考えるウェブ制作の変化

Core Web Vitalsを軽視していると深刻な機会損失を招き、総合的な最適化により12〜20%のオーガニックトラフィック増加が一般的になっている現在、パフォーマンス最適化は選択肢ではなく必須の要件となりました。

重要なのは、GoogleのSearch Consoleが28日間のローリングデータを使用しているため、改善効果が見えるまで通常4〜8週間かかるという点です。つまり、今から対策を始めても結果が見えるまで時間がかかるということで、早期の対応がより重要になっています。

ウェブ制作者としては、新規案件では最初からパフォーマンスを意識した設計を心がけ、既存のクライアントには段階的な改善提案をしていく姿勢が求められます。2026年のCore Web Vitalsアップデートは単なる技術的な変更ではなく、ユーザー体験を重視するウェブの方向性を明確に示したものといえるでしょう。

WordPressセキュリティの転換点、バーチャルパッチングが守る新しい時代

つくば市のホームページ制作会社

2026年4月のWordPressセキュリティ情勢を見ると、ひとつの明確な変化が起きている。従来の「脆弱性が発覚したら慌ててアップデートする」という後手に回る対応から、「脆弱性の公開前から自動的に攻撃をブロックする」バーチャルパッチングが主流になりつつあるのだ。この転換点で、WordPressサイト運営の考え方そのものが変わろうとしている。

WordPressサイトが直面する現実的な脅威

4月だけでWordPressエコシステムには毎週100件を超える脆弱性が新たに発見されている。この規模感は尋常ではない。発見された脆弱性のうち多数が未パッチのまま放置され、サイト運営者が手動でアップデートするまでの間、攻撃者にとって格好の標的となっている。

特に深刻なのは、プラグインの所有権が密かに変更され、8か月間休眠状態を保った後にバックドアが仕込まれた事例が4月に発覚したことだ。WordPressはプラグインの所有者変更をユーザーに通知しないため、信頼していたプラグインが攻撃者の手に渡っても気づくことができない。この供給チェーン攻撃は、従来のセキュリティ対策では防げない新しいタイプの脅威として注目されている。

WordPressの脆弱性は前年比68%増加し、そのうち96-97%がプラグインに起因している。この数字が示すのは、WordPressコア自体は比較的安全であるものの、豊富なプラグインエコシステムがかえって攻撃面を広げているという現実だ。

バーチャルパッチングという新しい防御手法

この混沌とした状況に対する回答として注目されているのが、バーチャルパッチングだ。Patchstackは脆弱性の公開より最大48時間前から攻撃をブロックできると発表している。これは画期的な変化で、従来の「発覚→パッチ待ち→アップデート」という受動的な流れから、「発覚→即座に保護」という能動的な対応への転換を意味する。

バーチャルパッチングは、WordPressアプリケーションへの完全な可視性を持つことで、サイトに存在する脆弱性に対して自動的に適切な緩和ルールを展開する。重要なのは、コード変更、パフォーマンス低下、誤検知を発生させることなくこれを実現する点だ。

現在Patchstackは10,000を超える脆弱性に対応するバーチャルパッチを提供しており、毎日新しいルールを追加している。この規模は、従来のWebアプリケーションファイアウォールとは次元の異なる専門性を示している。

従来のセキュリティ手法の限界

なぜバーチャルパッチングが必要になったのか。従来の多層防御がなぜ機能しないのか。その答えは大規模なペネトレーションテストの結果にある。人気ホスティング会社への攻撃テストでは、従来のネットワークやサーバー層のセキュリティツールが脆弱性攻撃の26%しか阻止できなかったという衝撃的な結果が出ている。

実際のインシデントでも、WordPressの人気テーマBricks Builderに脆弱性が発覚した際、一般的なWebアプリケーションファイアウォールは攻撃を防げなかったが、Patchstackの顧客は自動的に保護された。この差は、ネットワークレベルのファイアウォールがWordPressアプリケーションの内部構造を理解できないために生じている。

攻撃者が新しい脆弱性を数時間で武器化する現在、定期的なプラグインアップデートでは防御が間に合わない。この時間差を埋めるのが、バーチャルパッチングの真価なのだ。

CSSサブグリッドから見るウェブ技術の成熟

WordPressセキュリティの話から一見離れるが、同時期に起きているCSS技術の成熟も重要な文脈を提供している。2026年現在、CSSサブグリッドは主要ブラウザで97%のグローバルカバレッジを達成し、フォールバック不要で実用可能になった。

CSSサブグリッドは2023年9月に全主要ブラウザで実装完了し、2026年3月15日にBaseline Widely Availableとして正式に製品利用可能となった。この変化は、WordPressなどのCMSが出力する複雑なHTMLブロックパターンでも、サブグリッドを使うことで内容を美しく整列させられることを意味する。

この技術の成熟は、ウェブ制作における「待つ時間」の短縮化を象徴している。従来は「ブラウザサポートを待つ」「フォールバックを用意する」という慎重なアプローチが主流だったが、現在はより迅速に新技術を採用できる環境が整ってきた。

脆弱性管理の新しいパラダイム

2026年には、商用WordPressプラグインはEUユーザー向けに提供するため、法的にVDP(脆弱性開示プログラム)の設置が義務化される。これは単なる法的要件ではなく、セキュリティ業界全体のプロフェッショナル化を示している。

Wordfenceのバグバウンティプログラムでは、脆弱性一件につき最大31,200ドルの報酬を提供しており、セキュリティ研究者の積極的な参加を促している。これは脆弱性発見の「民主化」であり、より多くの目がWordPressエコシステムの安全性をチェックしていることを意味する。

しかし2024年の調査では、Patchstackが報告した脆弱性の半数以上について、プラグイン開発者が公式開示前にパッチを提供しなかったという懸念すべき結果も出ている。これは法規制への対応準備が不十分な開発者が多いことを示唆している。

未来への展望と制作現場への影響

2026年において、すべての組織は自分のウェブサイトが何で構成されているかを深く把握し、新しい脆弱性に対して5時間以内に自動化されたセキュリティ対策を講じる必要がある。この要求水準は、個人サイト運営者にとっては現実的ではないが、専門サービスの活用により達成可能だ。

サイト運営者は即座のバーチャルパッチング、迅速なパッチ適用、厳格なアクセス制御、包括的な復旧準備を組み合わせた多層セキュリティ体制を採用する必要がある。これは、セキュリティが「あればよい」オプションから「必須の基盤」へと位置づけが変わったことを意味している。

ウェブ制作の現場では、セキュリティ対策の自動化と専門化が進んでいる。従来のように「WordPressを設置して終わり」ではなく、継続的な監視と保護が前提となる制作フローへの転換が求められている。幸い、バーチャルパッチングのようなサービスにより、専門知識のない制作者でも企業レベルのセキュリティ対策を提供できるインフラが整いつつある。これは制作者にとって負担増というよりも、より価値の高いサービス提供の機会と捉えるべきだろう。

WordPress 7.0の延期が明かす、セキュリティ最優先の開発哲学

つくば市のホームページ制作会社

WordPress 7.0の開発が進む中、リリース日が4月9日から5月20日に延期された。この変更は単なるスケジュール調整ではない。WordPressコア開発チームが「最も安定し、最もパフォーマンスに優れたソフトウェアを提供する」ために取った、慎重な判断だった。

昨年来のWordPress界隈の複雑な状況を踏まえ、開発陣はスケジュールよりも品質を重視する姿勢を明確にした。アーキテクチャの安定性とパフォーマンスに追加作業が必要と判断し、結果として約1ヶ月半の延期となった。制作現場で安定稼動が何より重要なWordPressにとって、これは理にかなった決断といえる。

セキュリティ強化が加速する2026年のWordPress

WordPress 7.0の延期と並行して、WordPress 6.9.2がセキュリティリリースとして公開された。修正内容を見ると、Blind SSRFの問題、HTML APIとBlock Registryの弱点、数値文字参照での正規表現DoS脆弱性など、技術的に高度な攻撃に対応している。

2026年のWordPressセキュリティ状況は、2024年に約8,000件の新しい脆弱性が発見され、2月には244件の新しい開示があり、うち80件が未修正という深刻なレベルにある。この状況を受けて、2026年のWordPressセキュリティ環境は大幅に変化し、HTML APIの強化、自動プラグインスクリーニング、認証制御の改善により、より安全な基盤を構築している。

特に注目すべきはWordPressがセキュリティアップデートを重要度別に分類し、重要なパッチは2〜4時間以内に自動デプロイされる仕組みが整備されたことだ。制作会社にとって、クライアントサイトの安全性を保つために自動アップデートの設定確認が必須の作業となっている。

プラグインエコシステムの脆弱性対策

WordPressの最大の強みであるプラグインシステムが、同時に最大のセキュリティリスクになっている現実がある。新しい脆弱性の91%がプラグインで発見され、9%がテーマ、WordPressコアでの報告はわずか6件で低優先度の問題だった。

プレミアムやフリーミアムコンポーネントで1,983件の有効な脆弱性レポートがあり、総レポートの29%を占める状況は、制作現場での慎重なプラグイン選択を求めている。12ヶ月以上アップデートされていないプラグインは代替品を探すことが推奨されており、定期的な棚卸しが重要になっている。

WooCommerceでもStore API脆弱性が52のバージョンで修正され、特定のブラウザ環境でログイン済み管理者が悪意のあるリンクを訪問した場合に管理者アカウントの作成などが実行される可能性があった。E-コマースサイトを運営する場合、こうしたアップデートへの迅速な対応が欠かせない。

WordPress 7.0が目指すコラボレーション機能

WordPress 7.0はGutenbergプロジェクトのPhase 3の決定版的ローンチであり、コラボレーションとワークフローに完全に焦点を当て、「単独エディター」モデルから共有リアルタイム創作環境への移行を目指している。

具体的には複数ユーザーが同じ投稿やページを同時編集でき、デフォルトのHTTPポーリング同期プロバイダーを搭載し、ホストやプラグインがWebSocketサポートを追加できるフック、オフライン編集の同期、Notesリアルタイム同期などが実装される予定だ。

チーム制作が主流になりつつある現在、これらの機能は特に代理店や制作会社にとって業務効率向上の要となりそうだ。ただし、リアルタイムコラボレーション機能、Web Client AI API、レスポンシブブロック表示制御は、サードパーティプラグインが拡張する領域に関わるため、事前のテストが強く推奨されている。

実務での対応方針

WordPress 7.0への移行準備として、最小PHPバージョンが7.4に引き上げられ、PHP 7.2と7.3のサポートが正式に廃止、最適なパフォーマンスとセキュリティのためPHP 8.3以上が推奨される。つくば周辺の制作者も含め、レンタルサーバーのPHP環境確認は早めに済ませておきたい。

延期によりRC 3(新Beta 1)が5月8日、5月20日の正式版まで最終テスト期間が設けられた。この期間を活用して、使用中のテーマやプラグインの互換性を入念にチェックし、本格導入は正式リリース後2〜4週間の安全期間を置くのが現実的だろう。

セキュリティ脅威が多様化し高度化する中で、WordPressは単なる機能追加よりも安定性と安全性を重視する方向性を明確にした。延期という判断にも表れているように、制作現場の実務を支える基盤としての責任を果たそうとするその姿勢は、長期的にはユーザーにとってプラスになるはずだ。