パスワードの代わりになるパスキー、普及の実態と導入の見極めどころ

つくば市のホームページ制作会社

ログイン画面からパスワード入力欄が消えていく流れが、ここ数年で少しずつ現実味を帯びてきた。指紋や顔認証、あるいは端末の画面ロックだけでサインインできるパスキーという仕組みが、主要なブラウザとプラットフォームにひととおり行き渡ったからだ。ただ、身の回りの中小企業サイトを見渡すと、まだパスワード入力欄が主役のままという現場も多い。実際のところ、どこまで広がっているのか。制作者として知っておきたい現状と、導入をどう見極めるかを整理してみたい。

パスワードをやめる話が、ようやく形になってきた

パスキーは、FIDO Allianceとブラウザ標準のWebAuthnを土台にした認証方式だ。端末の中に秘密鍵を保管し、サーバーには公開鍵だけを預ける。ログイン時にはその鍵ペアで署名をやり取りするので、パスワードのように入力した文字列が盗まれたり、偽サイトに打ち込んでしまったりする余地がない。フィッシングに強いと言われるのはこのためだ。

振り返れば、パスワードの弱さを補う工夫はずっと続いてきた。SMSで送る確認コードや、認証アプリが表示する使い捨ての番号を組み合わせる二要素認証がその代表だ。ただ、これらは入力の手間が増えるうえ、SMSは横取りされる危険が指摘され、偽サイトに確認コードごと打ち込んでしまう事故も後を絶たなかった。パスキーは、そもそも打ち込む秘密を作らないという発想で、この積み重なった課題を根本から解こうとしている点が違う。

考え方そのものは2022年ごろから提唱されていたが、規格や運用の裏付けが整ってきたのはここ最近のことだ。米国のNIST(米国立標準技術研究所)は2025年7月に認証基準の改訂版であるSP 800-63-4を確定させ、パスキーを一定の保証レベルを満たす認証手段として正式に位置づけた。規制やガイドラインの側からも後押しが加わり、単なる新機能ではなく、標準的な選択肢のひとつとして扱われ始めている。

主要プラットフォームが出そろった

普及を支えているのは、利用者が特別な準備をしなくても使える環境が整った点だ。AppleのiCloudキーチェーン、GoogleのGoogleパスワードマネージャー、MicrosoftのEntra IDが、いずれも標準でパスキーに対応している。加えて1PasswordやBitwardenといったパスワード管理ソフトも受け皿になり、端末をまたいで鍵を同期できるようになった。

数年前までは、鍵を作った端末を失くしたらどうするのかという不安が導入の足かせだった。クラウド同期が当たり前になったことで、その懸念はかなり薄れている。利用者から見れば、スマートフォンの生体認証でそのままウェブサービスにログインできる感覚に近い。土台が広く共有されたことが、これまでとの大きな違いだ。

実際にどこまで広がっているのか

では、世の中のサイトはどれくらい採用しているのか。ここに興味深い調査がある。2026年のPAM(受動・能動測定)会議で発表された「State of Passkey Authentication in the Wild」という論文だ。研究チームはFidentikitという計測用のクローラーを作り、UI要素やDOM構造、WebAuthnの呼び出し、通信パターンなど43の判定基準を用意して、アクセス数上位10万サイトを一斉に調べた。

結果はどうだったか。調査対象のうち11.3%がパスキーに対応していたという。これは、人手でまとめた既存の対応サイト一覧と比べて62倍という数字で、実際の普及は想像以上に進んでいたことになる。ただし手放しでは喜べない。対応が確認できたのはアクセス数の多い人気サイトに偏っており、しかも自前で実装するのではなく、外部のIDプロバイダー経由で提供しているケースが目立った。裾野が広がったというより、大手が先行しているという構図が見えてくる。

この偏りは、制作の現場感覚とも重なる。大手のように専任の担当者や潤沢な予算があれば、外部のIDプロバイダーを組み込んだり、独自にWebAuthnを実装したりする余力がある。一方で、少人数で運用する会社サイトや小さな会員制サービスでは、既存のログイン機構に手を入れること自体が負担になりやすい。技術が広く使える状態になっても、実際に運用へ載せるかどうかは、体制や優先順位に左右される。数字の裏側には、こうした現場ごとの事情がにじんでいる。

普及を測りにくくしている「見えなさ」

この調査からもうひとつ読み取れるのは、パスキーが外から見えにくい形で埋め込まれているという事実だ。論文によれば、パスキー対応の82.3%は、JavaScriptを実行してAPIの動きを観測しないと検出できなかった。静的なHTMLを眺めるだけでは対応の有無すら判別できない、というわけだ。

実装の仕方もばらばらだ。「パスキーでサインイン」というボタンをはっきり見せるサイトもあれば、複数の手順の奥に隠しているサイト、入力欄に候補を出す条件付きの方式に頼るサイトもある。標準化された案内の入り口が存在しないため、利用者にとっても、どこでパスキーが使えるのか一目では分からない。制作の現場から見ると、この不統一さこそが、パスキーがまだ日常に溶け込みきっていない理由のひとつに思える。使える技術と、使いやすい体験は別物だということだ。

サーバーと端末のズレをそろえるSignal API

実装のつまずきどころとしてよく話題になるのが、サーバー側の登録情報と、端末やパスワード管理ソフトが覚えている鍵情報のズレだ。利用者が管理画面で鍵を削除しても、手元のパスワード管理ソフトには古い鍵が残り、ログイン画面で使えない候補が出てきてしまう。地味だが、迷わせる原因になる。

これを解消するために用意されたのがWebAuthn Signal APIだ。Chromeではバージョン132以降のデスクトップとAndroidで使える。サーバー側の状態を鍵の保管側に伝えるための仕組みで、大きく三つの手段がある。無効になった鍵を知らせるsignalUnknownCredential、有効な鍵の一覧をまとめて送るsignalAllAcceptedCredentials、そして利用者名や表示名の更新を伝えるsignalCurrentUserDetailsだ。これらを使えば、Googleパスワードマネージャーのような対応済みの保管側が、実体に合わせて古い候補を消したり整えたりできる。地味な機能だが、こうした細部の詰めが、実際の使い勝手を左右する。

中小企業サイトはどう構えるか

では、規模の大きくないサイトを預かる制作者はどう向き合えばよいか。まず、いますぐ全面移行を迫られる話ではない、というのが率直なところだ。調査が示すとおり、先行しているのは大手であり、一般的な会員サイトや小規模なサービスでは、パスワードと併用しながら段階的に取り入れる形が現実的だろう。

取り入れる場合のコツも見えてきている。既存のパスワードでログインした直後に「パスキーを作りませんか」と促す自動移行の流れを用意すると、利用者はほとんど手間を感じずに登録できる。導入例では、こうした案内がなめらかなサイトで、半年のうちに5割から7割の利用者が自発的にパスキーへ切り替えたという報告もある。押しつけずに、自然な導線として置くことが鍵になる。

RESONIXでもウェブ制作の現場で認証まわりの相談を受けることがあるが、パスキーはまだ「知っておくべき次の選択肢」という段階だと感じている。無理に急ぐ必要はない一方で、大手サービスで当たり前になれば、利用者の期待値も追いついてくる。仕組みの成り立ちと、いまの普及の偏り、そして実装の細かな落とし穴をおさえておけば、いざ必要になったときに落ち着いて向き合える。パスワードのない世界は、まだ地平線の向こうにあるが、確実に近づいてきている。

パッチ公開後に攻撃が急増したメール送信プラグインの脆弱性

つくば市のホームページ制作会社

ウェブサイトのお問い合わせフォームや会員登録の通知メールを確実に届けるために使われるのが、メール送信系のプラグインです。今回、その代表的なひとつであるGravity SMTPに、設定情報がまるごと外部から読み取れてしまう脆弱性が見つかり、世界中で攻撃が観測されました。約10万サイトが利用していたこと、そして修正版が出た後に攻撃が急増したことから、更新を後回しにしているサイトにとって他人事ではない事例になっています。

ひとつのリクエストで設定情報が丸見えになる仕組み

問題の脆弱性はCVE-2026-4020として公開されました。深刻度は中程度とされていますが、実際の影響は小さくありません。原因は、プラグインが用意していたREST APIの入り口にありました。本来は管理者だけがアクセスできるべきテスト用のエンドポイントが、アクセス権のチェックを常に許可で返す設定になっていたのです。

その結果、ログインしていない誰でも特定のURLを叩くだけで、サイトの設定内容をまとめた診断レポートを受け取れてしまいました。レポートには、メール配信サービスと連携するためのAPIキーやシークレット、OAuthトークンといった、本来は決して外に出してはいけない資格情報が含まれていました。攻撃者から見れば、鍵の束が置かれた扉が開けっ放しになっていたようなものです。しかも返ってくるレポートは数百キロバイトに及ぶ大きなもので、そこに並ぶ項目を眺めるだけで、どこを突けばよいかがひと目で分かってしまいます。

漏れるのはメールの設定だけではない

今回の脆弱性で特に厄介なのは、露出する情報がそのサイトの中だけにとどまらない点です。Gravity SMTPはAmazon SESやGoogle、Mailjet、Resend、Zohoなど外部のメール配信サービスと連携します。つまり漏れた資格情報は、そうした外部サービスのアカウントを操作するための鍵でもあります。

これを手に入れた攻撃者は、正規のサイトになりすまして大量のメールを送りつけたり、迷惑メールの踏み台にしたりできます。送信元が本物のドメインなので受け取った側は見抜きにくく、ブランドの信用にも傷がつきます。診断レポートには利用中のプラグインやテーマ、各種バージョン情報も含まれるため、次の攻撃の下調べにも使われます。ひとつの穴が連鎖的に別の被害へつながっていく構図です。

修正版が出た後に攻撃が急増した

見逃せないのは時間の流れです。開発元はこの問題を修正したバージョン2.1.5を3月に公開していました。ところが攻撃が本格化したのは、それから2か月以上たった5月末から6月にかけてでした。セキュリティ企業のWordfenceは、この脆弱性を狙った攻撃を合計で1700万件以上ブロックしたと報告しています。

なぜ修正後に攻撃が増えるのか。脆弱性の詳細が公開されると、その情報をもとに攻撃を自動化するツールが作られ、更新していないサイトを一斉に探し始めるからです。パッチが出た瞬間が安全の到達点ではなく、むしろ攻撃者にとっての号砲になることもあります。この順序は、規模の大小を問わずすべてのサイト運営者が意識しておきたいところです。

中小規模のサイトが取るべき現実的な対応

まず基本は、プラグインを最新版に保つことです。自動更新を有効にしておけば、修正版が出てから狙われるまでの時間差をかなり縮められます。管理画面を毎日見られない運用でも、更新だけは自動に任せる価値があります。

そして今回のように資格情報が漏れうる脆弱性では、更新だけでは不十分です。すでに露出していた可能性がある以上、連携先サービスのAPIキーやトークンを作り直す、いわゆる再発行が欠かせません。古い鍵を無効にして初めて、盗まれた情報が使えなくなります。地方の制作現場でクライアントのサイトを預かっている場合は、この鍵の入れ替えまでを一連の作業として案内できると安心です。

もう少し長い目で見れば、プラグインを選ぶ段階での目配りも効いてきます。更新の頻度や、脆弱性が報告されたときの対応の速さは、公開されている更新履歴からある程度読み取れます。必要以上に多機能なプラグインを詰め込まないこと、使わなくなったものはこまめに削除することも、攻撃の入り口を減らす地道な守りになります。あわせて、被害に早く気づく備えも役立ちます。連携先サービスの送信履歴や請求額に不自然な急増がないかを時々見ておくと、万一鍵が悪用された場合でも初動を早められます。RESONIXでもサイトを預かる際は、動かすことと同じくらい、こうした更新と権限の設計を大切にしています。

公開直後に悪用されるWordPressプラグイン脆弱性、EUが義務化する開示制度

つくば市のホームページ制作会社

WordPressのセキュリティをめぐる状況が、数字でみると想像以上に厳しい。Patchstackが2026年に公開したセキュリティホワイトペーパーによると、2025年に発見されたWordPressエコシステムの新しい脆弱性は11,334件にのぼり、前年比42%増となった。しかも2025年に見つかった深刻度の高い脆弱性の数は、その前の2年分を合計した数を上回っている。問題は件数だけではない。

脆弱性が公開されてから最初に悪用されるまでの中央値が5時間という数字だ。重大な脆弱性の20%は開示後6時間以内に攻撃に使われており、45%は24時間以内、70%は7日以内に悪用されている。「パッチが出たら更新する」という従来の対処では、悪用のスピードに追いつかない現実がある。同レポートでは、標準的なホスティング環境の防御機能がブロックできる攻撃は全体の26%にとどまると指摘しており、残り74%はホスト側の仕組みだけでは防ぎきれないとされている。

もうひとつ気になるのは、52%のプラグイン開発者が脆弱性を外部に公開する前にパッチを用意できていないという現状だ。開示と悪用がほぼ同時に起きる状況が珍しくなくなっており、運営するサイトに不審な動きがなくても、使っているプラグインやテーマが攻撃の対象になっている可能性がある。WordPressサイトの保守を受け持つ制作会社にとって、この数字は改めて自動更新やセキュリティプラグインの有効性を見直す契機になるだろう。

EUが義務化する脆弱性開示プログラム

こうした状況を背景に、EU(欧州連合)がサイバーレジリエンス法(Cyber Resilience Act、CRA)の要件として、2026年9月から商業目的のWordPressプラグインとテーマに脆弱性開示プログラム(VDP)の設置を義務付ける。対象は開発者がEUのユーザーに販売・提供するもので、WordPress.orgやCodeCanyonを通じた配布も含まれる。脆弱性を把握してから24時間以内に当局へ速報、72時間以内に正式報告、是正措置後14日以内に最終報告という対応期限が定められており、重大な違反には最大で売上高の2.5%または1,500万ユーロ相当の制裁金が科される。

Patchstackはこの義務化に先立ち、プラグイン・テーマ開発者向けに無償の脆弱性開示プラットフォームを提供しており、すでに650以上のプラグインが参加している。ElementorやWP Rocketもその中に含まれる。義務化によってWordPressエコシステム全体でセキュリティプロセスを形式化する流れが加速しており、開発者と利用者の双方にとって脆弱性情報の透明性が高まることが期待されている。

制作現場の視点では、プラグインの選定基準に「VDPが整備されているか」という軸が加わりそうだ。更新が止まったプラグインや、脆弱性の対応履歴が公開されていないものは、今後EUマーケットから実質的に排除されていく可能性がある。日本のサイトを運営する場合でも、採用するプラグインが国際的なセキュリティ基準を満たしているかを確認しておくことが、長期的な保守コスト削減につながる。

ウェブ制作現場で知るべきセキュリティリスク、アップデートとプラグイン脆弱性の現実

つくば市のホームページ制作会社

6月はウェブ制作現場にとって、セキュリティの現実を改めて直視する月になりました。大規模なセキュリティアップデートと相次ぐプラグイン脆弱性の発覚により、Microsoftの6月パッチでは史上最大の200を超える脆弱性が修正され、WordPressプラグイン界隈では複数の重大な脆弱性が同時期に報告されるという状況が生まれています。制作現場でどのようなセキュリティリスクに注意すべきか、最新動向を整理してみましょう。

大規模セキュリティパッチが示す脅威の拡大

2026年6月のMicrosoftパッチチューズデーは208個のCVEを含む史上最大規模となり、そのうち33個が重要度「Critical」、3つがゼロデイ脆弱性として修正されました。特に注目すべきはCVE-2026-45657という「ワーム可能」な脆弱性で、認証なしでリモートからシステム管理者権限のコード実行が可能という点です。

ウェブ制作で使用するWindowsサーバーやIISを運用している場合、HTTP/2プロトコルの「HTTP/2 Bomb」攻撃によるサービス拒否脆弱性も修正対象に含まれており、認証なしでネットワーク経由からサービス停止が可能でした。これらの脆弱性は制作現場のインフラ全体に影響するため、優先的な対処が求められます。

WordPressプラグイン脆弱性の連鎖的発生

同じ時期にWordPressプラグインでも深刻な脆弱性が相次いで報告されています。Kirkiプラグインのアカウント乗っ取り脆弱性(CVE-2026-8206)は、認証なしで管理者アカウントを奪取可能な重要度9.8の脆弱性として公開されました。

Burst Statisticsプラグインでも認証回避の脆弱性が発見され、20万サイトが影響を受ける可能性があり、AIによる脆弱性発見から修正まで15日という短期間で対応が完了しています。このような迅速な発見・修正サイクルは、攻撃者もAIを使った自動化により脆弱性公開から実際の攻撃まで24時間以内という状況を反映しています。

制作現場で実装すべき防御策

これらの脅威に対する制作現場での対策として、複数の防御層を組み合わせた戦略が重要です。多要素認証(MFA)の実装、集約的なID管理、ゼロトラストセキュリティ原則に基づく各リクエストの検証が基本となります。

HTTPセキュリティヘッダーの設定も効果的で、特にContent-Security-Policy(CSP)はHTTPレイヤーでの最強のXSS対策であり、スクリプト、スタイル、画像などのリソース読み込み元を明示的に指定できます。実装は比較的簡単ながら、本番環境のウェブアプリケーションの多くが重要なセキュリティヘッダーを欠いているのが現状です。

WordPressサイト運用の新しい課題

WordPressを使用したサイト制作では、標準的なネットワーク・サーバー層のセキュリティツールでは26%の脆弱性攻撃しかブロックできず、プラグインの定期更新も攻撃者が数時間で悪用を開始するため実用的な防御にならないという厳しい現実があります。

Patchstackの2026年レポートによると、脆弱性報告を受けたプラグイン開発者の52%が公開前に修正を行わず、セキュリティホールを認識しながらも修正しないケースが半数以上に達しています。この状況は制作者側での積極的な対策が不可欠であることを示しています。

継続的なセキュリティ管理の必要性

2026年の脅威環境では、自律的なAIボットが数分でゼロデイ脆弱性を発見し複数の攻撃を組み合わせる「機械対機械」の攻撃が現実化しています。これに対応するため、年1回のペネトレーションテストでは不十分で、毎日コードを配信するアプリケーションには継続的なセキュリティテストプログラムが必要です。

制作現場では、最低でも四半期ごとのセキュリティ監査と、大規模アップデートやプラグイン変更後の即座チェック、監査間の継続的自動脆弱性スキャンを継続的プロセスとして実施することが求められます。つくばでも多くの制作会社がこのような体制整備を進めているように、セキュリティは一度の対策ではなく継続的な取り組みとして位置づける必要があります。

制作現場が知るべき2026年のウェブ技術、セキュリティ強化とパフォーマンス最適化の必須項目

つくば市のホームページ制作会社

2026年に入り、ウェブ制作現場では新たな技術課題と向き合う局面を迎えています。WordPressエコシステムでは過去最大規模の脆弱性報告が相次ぎ、一方でGoogleはCore Web Vitalsの基準をより厳格化しています。これらの変化は単なる技術動向ではなく、制作者が実務で対処すべき具体的な要求です。制作現場で押さえるべき主要な変化を整理し、実践的な対応策を確認していきましょう。

WordPressセキュリティの新しい現実

2026年のWordPressセキュリティ環境は、これまでにない厳しい状況を迎えています。2025年には過去2年間を合わせた数を上回る重大脆弱性が発見され、プラグインの91%、テーマの9%に問題が見つかりました。特に注目すべきは、脆弱性情報の公開から実際の攻撃までの時間が極めて短縮されている点です。

直近の事例では、Kiriプラグインの脆弱性が2026年6月2日に公開されてから24時間以内に222件の攻撃試行がWordfenceによって確認されています。また、2026年にはEU地域のユーザーに向けてソフトウェアを提供する商用WordPressプラグインは、法的要件として脆弱性開示プログラムの設置が義務付けられます。

Wordfenceの報告によると、2024年と比較して脆弱性は68%増加し、プラグインが全体の96%を占めています。最大の脅威はクロスサイトスクリプティング(XSS)で数十億の攻撃がブロックされ、SQLインジェクション攻撃がそれに続いています。制作現場では、プラグインの選定時に最終更新日と既知の脆弱性を事前確認し、定期的な更新スケジュールを確立することが必須となっています。

CSS機能の大幅な進化

2026年のCSS環境は、JavaScriptに依存していた多くの機能をブラウザ標準で実現できる段階に到達しています。Chrome 147ベータでは、引数の色に対して最も高いコントラストを提供する黒または白を返すcontrast-color()機能、border-shape、要素スコープのビュートランジションが導入されました。

特に実用性が高いのがCSSカルーセル機能です。::scroll-button()と::scroll-marker()の新しい擬似要素により、JavaScriptを使わずに数行のCSSでネイティブでアクセシブルな高パフォーマンスカルーセルを作成できるようになります。これにより、ライブラリへの依存を減らしながら、より軽量で高速なインターフェースを構築可能です。

コンテナクエリも重要な進歩を見せています。コンポーネントが自分自身のサイズに応じて反応できるため、UIを真にモジュラーで適応性のあるものにします。2026年時点でChrome、Firefox、Edge、Safariを含む全ての主要ブラウザでサポートされており、メディアクエリではカバーできなかった複雑なレイアウト要件を、より直感的に解決できるようになりました。

Core Web Vitalsの基準強化

Googleは2026年、多くのウェブサイトが過負荷で低速になったため基準を厳格化し、開発者により軽量なアーキテクチャに向かうよう推進しています。INP(Interaction to Next Paint)がFID(First Input Delay)の応答性指標として完全に定着し、ページライフサイクル全体の応答性を反映するため、最初のインタラクションだけでなく全体的な体験を測定します。

2026年にGoogleはLCPの閾値を2.0秒に引き締め、INPを主要なランキングシグナルとしました。3月2026年のコアアップデート後、LCPまたはINPスコアが悪いサイトは競争力のあるクエリで0.8から4位のランキング低下を経験しています。これは単なる技術指標ではなく、実際のビジネス成果に直結する要素となっています。

パフォーマンス最適化の実務対応

業界は「より少なく、しかしより賢い」フロントエンド工学に向かっており、肥大化した低速でJavaScript重視のウェブサイトの時代は、新しいパフォーマンス第一の考え方に挑戦されています。現場レベルでは、Third-partyスクリプトの影響を最小化し、重要でないリソースの遅延読み込みを実装し、画像の最適化を徹底することが求められます。

ホスティング環境がパフォーマンス向上の上限を決定する重要な要因となっています。5年前は十分だった共有ホスティングプランは現在、フロントエンド最適化では克服できないボトルネックを作り出します。制作会社としては、プロジェクト初期段階でのホスティング選定とパフォーマンス予算の設定が、後工程での最適化作業を大幅に左右する要素になります。

制作ワークフローの変化

ブラウザがライブラリを必要としていた機能を吸収するパターンが明確になっています。CSSに移行するすべての機能は、より高速(解釈されるJavaScriptではなくネイティブコード)、より小さく(ゼロバンドル影響)、より信頼性が高く(ライブラリメンテナンスではなくブラウザテスト済み)動作します。

つくばを含む地方の制作環境では、これらの新技術を段階的に導入しながら、クライアントの既存システムとの互換性を維持する現実的なアプローチが求められます。これらの新機能の多くは完全なベースラインサポートまで時間がかかるため、web.devブログなどで最新の変更を追跡し、内部ツールでの実験を行い、サポートが安定するまで本番環境への展開は慎重に進めることが推奨されます。

制作現場では、セキュリティ対策の強化とパフォーマンス最適化の両立が求められる局面を迎えています。新しいCSS機能を活用してJavaScript依存を減らし、厳格化されたCore Web Vitals基準に対応する技術選択が、今後のウェブ制作の競争力を左右する重要な要素となるでしょう。

ウェブ制作現場の新しい選択肢、WordPressセキュリティからCSS機能まで制作者が知るべき動向

つくば市のホームページ制作会社

ウェブ制作の現場では、セキュリティ対策からレイアウト技術まで、複数の分野で新しい選択肢が生まれています。2026年5月のWordPressセキュリティ動向では、Burst Statistics認証回避バグや100万インストールのAvada Builder SQLインジェクション、MonsterInsightsのOAuthトークン盗取が問題となる一方、ウェブアクセシビリティ分野では分析対象100万サイトの94.8%でWCAG違反が検出され、低コントラストテキストが79.1%のページで見つかっています。CSS技術では、Subgridが2026年には全主要ブラウザで実用段階に達し、コンテナクエリと組み合わせることで従来の制約を乗り越える新しいレイアウト手法が広がりつつあります。

WordPressセキュリティ:3つの深刻な脆弱性と対策の現状

2026年5月に発見された重要な脆弱性のうち、最も深刻なのがBurst Statistics プラグインの認証回避問題(CVE-2026-8181、CVSSスコア9.8)で、20万サイト以上が影響を受けました。この脆弱性は4月23日にコードが出荷されてから5月12日にパッチが公開されるまで19日間の短期間で、WordfenceのPRISMプラットフォームが15日目に発見したという点が注目されます。

Avada Builderでは100万インストールを超える人気プラグインで任意ファイル読み取りとSQLインジェクションの脆弱性が見つかり、パスワードハッシュなどの機密データ流出のリスクが生じました。特にSQLインジェクションの悪用にはWooCommerceが一度インストールされてから無効化された環境が条件となり、WooCommerceを一度も使ったことがないサイトはこの攻撃の対象外となっています。

月間90件を超える脆弱性開示に対して手動での追跡管理は現実的ではなく、MonsterInsightsの脆弱性によってGoogle広告トークンが漏洩し予算が消耗する事例のように、忘れられたサイトで問題が発生するケースが指摘されています。

ウェブアクセシビリティ:法的要件の厳格化と現実的課題

WebAIM Million 2025レポートによると、上位100万サイトの95.9%が基本的なWCAG 2.2標準を満たしておらず、実質的にアクセシブルと言えるのは100サイト中わずか4サイトという状況です。ただし1ページあたりの平均エラー数は56.8から51に減少しており、進歩は緩やかながら進んでいることがわかります。

法的要件では、DOJ規則によってWCAG 2.1レベルAAが技術標準として設定され、5万人以上を対象とする政府機関は2026年4月24日、小規模政府機関は2027年4月26日がコンプライアンス期限となっています。欧州アクセシビリティ法は2025年6月にEU全加盟国で義務化され、もはや政府ウェブサイトに限定されず、銀行アプリやeコマースプラットフォーム、電子書籍、社内ツールまで対象となりました。

最も多い問題は低コントラストテキスト(79.1%のページで平均29.6箇所)で、代替テキスト不備は55.5%のページに影響し、そのうち44%がリンク画像に関わる問題で、スクリーンリーダーユーザーのナビゲーションを完全に阻害しています。

CSS新機能:コンテナクエリとSubgridの実用化

コンテナクエリはGrid以来最も重要なCSS レイアウト機能の追加で、コンポーネントがビューポートではなく親コンテナのサイズに応じて動作することで、どんな文脈にも適応する真に再利用可能なコンポーネントを可能にします。同一のカードコンポーネントが配置場所(サイドバー、メインコンテンツ、フルワイドヒーロー)に応じて縦型・横型レイアウトを自動切り替えでき、JavaScriptやコンテキスト専用CSSクラスが不要になります。

Subgridは2019年Firefox、2022年Safari、2023年9月Chrome 117で実装が完了し、2026年には機能検出なしで主流ユーザーに対して直接利用できる安定した技術となりました。従来のline-clamp: 1による1行制限やmin-height: 4remでの固定高さ指定といったハック的手法を削除でき、Subgridがコンテンツクリッピングや任意のピクセル値への固定なしに整列問題を解決します。

色彩処理では、2026年にはバリエーション毎の16進コードリストを維持する必要がなくなり、CSS Color Level 5の相対色構文を使って、fromキーワードでベースブランド色から任意のバリエーション(明度・彩度・透明度)をCSS内で直接生成できるようになっています。

制作環境の変化:AI影響下での品質管理

WebAIM 2026年版調査では上位100万ホームページの95.9%でWCAG違反が検出され、前年94.8%から悪化し、1ページあたりの平均エラー数も56.1件と12ヶ月で10.1%増加しています。この後退の構造的要因として、ページ複雑性の前年比22.5%増加とARIA使用量の27%増加(多くが不適切な実装)が挙げられています。

2026年にはAIがウェブサイト作成の主要エンジンとなり、レイアウト生成、コンポーネント組み立て、コンテンツ制作、デプロイ加速を人間チームでは追従できないペースで実行しています。ユーザーがブラウザで実際に体験するものはソースコード意図と大きく異なることが多く、現代のウェブサイトはCMSプラットフォーム、AI生成コンテンツ、サードパーティツール、パーソナライゼーションレイヤーなど多数のソースから組み立てられています。

2026年の実質的な変化はAIのワークフロー効率への貢献であり、スマートツールと知識豊富な人間レビューアーの組み合わせがスピードと一貫性を向上させる一方、AIに全てを任せる組織は従来より高速に重要なバリアを見落とし続けることになります。

WordPress脆弱性報告が大幅改善への転機、バーチャルパッチングで守る新時代

つくば市のホームページ制作会社

WordPressのセキュリティ環境が大きな転換点を迎えている。2025年にWordPressエコシステムで発見された重大な脆弱性は過去2年間を合わせた数よりも多く、1年間で約8,000件、1日平均22件のペースで報告された状況が続いているが、同時に新しい防御手法も整備されつつある。

WordPress 6.9.2は10の脆弱性修正を含むセキュリティリリースとして3月に公開されたが、実はより深刻な問題も浮き彫りになった。このセキュリティリリースでは一部のサイトがクラッシュする問題が発生し、修正が不完全だった脆弱性への対処として6.9.4が追加リリースされた。こうした事態は、単純な修正パッチでは対応しきれない現状を示している。

注目すべきは、従来の修正待ちというアプローチから脱却する動きが加速していることだ。標準的なアプリケーションファイアウォールでは見逃すWordPressプラグイン特有の攻撃ベクトルに対し、アプリケーション層でバーチャルパッチや即座の対策を適用するセキュリティレイヤーの活用が重要になっている。

この背景には、プラグインが脆弱性全体の約96%を占め、新しい脆弱性の30%以上が積極的に悪用可能な状態にある現実がある。2026年2月の週次データでは244件の新規開示があり、そのうち80件が未修正のままという状況は、修正を待つだけでは不十分であることを物語っている。

2026年には5時間以内に新しいセキュリティ脆弱性を緩和する自動化されたセキュリティ対策が必要とされる中、つくばのような地方都市で活動する制作者にとっても、こうした新しい防御手法の理解は欠かせない。バーチャルパッチングは修正プラグインの公開を待たずに攻撃を防ぐ技術で、サイト運営の継続性を保ちながらセキュリティを向上させる現実的な選択肢として注目されている。

WordPressプラグインで週250件の脆弱性開示、2026年のセキュリティ危機が深刻化

つくば市のホームページ制作会社

2026年に入り、WordPressエコシステムのセキュリティ状況が厳しい局面を迎えている。2026年、すべての人が自分のウェブサイトが何でできているかを深く知り、5時間以内に新しいセキュリティ脆弱性を軽減する自動化されたセキュリティ対策を講じる必要があると、セキュリティ専門家らが警告を発している。

最新のデータは、この警告の深刻さを裏付けている。2026年1月の週次脆弱性開示率:1月7日の週:333件の新しい脆弱性(253件がプラグイン)、12月24日の週:293件の新しい脆弱性(274件がプラグイン)、12月31日の週:150件の新しい脆弱性(140件がプラグイン)、平均:週250件以上のプラグイン脆弱性が開示されている。つまり毎日36件の新しいプラグイン脆弱性が報告されている状況だ。

さらに深刻なのは、Patchstackの2026年レポートによると、Patchstackが脆弱性を報告したプラグイン開発者の半数以上が公式開示前にその問題を修正しなかったという現実だ。これは単なる技術的な問題ではなく、WordPress制作現場にとって構造的な危機を意味している。

制作現場を脅かす新たな攻撃手法

2026年の攻撃者は、従来の手法を超えた戦術を展開している。バックドアは、新しい企業オーナーがこれらのプラグインを購入した後に発見された。昨年、誰かがEssential Pluginを購入し、その後すぐにプラグインのソースコードにバックドアが追加されたというサプライチェーン攻撃が実際に発生している。

約100万インストールを持つプレミアムWordPressプラグインGravity Formsが、サプライチェーン攻撃で侵害された。攻撃者はベンダーのインフラにアクセスし、公式ウェブサイトからの手動インストーラーにバックドアを感染させた事例もあり、プレミアムプラグインでさえ安全ではないことが判明している。

最近では2026年、すべての商業WordPress プラグインは、ヨーロッパのユーザーにソフトウェアを提供するために法律により脆弱性開示プログラム(VDP)を設置する必要があるという規制の動きもあるが、現実的な対策が追いついていない状況だ。

地方のウェブ制作会社や中小企業サイトでは、こうした脅威に対する認識と対策が十分でないケースが多い。WordPressのセキュリティリスクは主にプラグインやテーマから来ており、コアシステムからではない。一般的な保護は、最も弱いリンクではなくプラットフォーム自体をターゲットにしている。これにより、安全に見えるにもかかわらず多くのサイトが露出しているのが現状だ。

制作現場では、プラグインの選定と管理方法を根本的に見直す時期に来ている。単純にアップデートを適用するだけでなく、使用するプラグインの開発体制やセキュリティ対応状況を事前に調査し、必要最小限のプラグイン構成でサイトを運営することが求められている。また、攻撃者は、認証されていないアクセス、弱い能力チェック、SQLインジェクション、クロスサイトスクリプティングなどの比較的単純な問題を連鎖させて、完全なサイト乗っ取りやバックドアに発展させ続けている現実を踏まえ、多層防御の仕組みを構築することが不可欠になっている。

WordPressセキュリティの転換点、バーチャルパッチングが守る新しい時代

つくば市のホームページ制作会社

2026年4月のWordPressセキュリティ情勢を見ると、ひとつの明確な変化が起きている。従来の「脆弱性が発覚したら慌ててアップデートする」という後手に回る対応から、「脆弱性の公開前から自動的に攻撃をブロックする」バーチャルパッチングが主流になりつつあるのだ。この転換点で、WordPressサイト運営の考え方そのものが変わろうとしている。

WordPressサイトが直面する現実的な脅威

4月だけでWordPressエコシステムには毎週100件を超える脆弱性が新たに発見されている。この規模感は尋常ではない。発見された脆弱性のうち多数が未パッチのまま放置され、サイト運営者が手動でアップデートするまでの間、攻撃者にとって格好の標的となっている。

特に深刻なのは、プラグインの所有権が密かに変更され、8か月間休眠状態を保った後にバックドアが仕込まれた事例が4月に発覚したことだ。WordPressはプラグインの所有者変更をユーザーに通知しないため、信頼していたプラグインが攻撃者の手に渡っても気づくことができない。この供給チェーン攻撃は、従来のセキュリティ対策では防げない新しいタイプの脅威として注目されている。

WordPressの脆弱性は前年比68%増加し、そのうち96-97%がプラグインに起因している。この数字が示すのは、WordPressコア自体は比較的安全であるものの、豊富なプラグインエコシステムがかえって攻撃面を広げているという現実だ。

バーチャルパッチングという新しい防御手法

この混沌とした状況に対する回答として注目されているのが、バーチャルパッチングだ。Patchstackは脆弱性の公開より最大48時間前から攻撃をブロックできると発表している。これは画期的な変化で、従来の「発覚→パッチ待ち→アップデート」という受動的な流れから、「発覚→即座に保護」という能動的な対応への転換を意味する。

バーチャルパッチングは、WordPressアプリケーションへの完全な可視性を持つことで、サイトに存在する脆弱性に対して自動的に適切な緩和ルールを展開する。重要なのは、コード変更、パフォーマンス低下、誤検知を発生させることなくこれを実現する点だ。

現在Patchstackは10,000を超える脆弱性に対応するバーチャルパッチを提供しており、毎日新しいルールを追加している。この規模は、従来のWebアプリケーションファイアウォールとは次元の異なる専門性を示している。

従来のセキュリティ手法の限界

なぜバーチャルパッチングが必要になったのか。従来の多層防御がなぜ機能しないのか。その答えは大規模なペネトレーションテストの結果にある。人気ホスティング会社への攻撃テストでは、従来のネットワークやサーバー層のセキュリティツールが脆弱性攻撃の26%しか阻止できなかったという衝撃的な結果が出ている。

実際のインシデントでも、WordPressの人気テーマBricks Builderに脆弱性が発覚した際、一般的なWebアプリケーションファイアウォールは攻撃を防げなかったが、Patchstackの顧客は自動的に保護された。この差は、ネットワークレベルのファイアウォールがWordPressアプリケーションの内部構造を理解できないために生じている。

攻撃者が新しい脆弱性を数時間で武器化する現在、定期的なプラグインアップデートでは防御が間に合わない。この時間差を埋めるのが、バーチャルパッチングの真価なのだ。

CSSサブグリッドから見るウェブ技術の成熟

WordPressセキュリティの話から一見離れるが、同時期に起きているCSS技術の成熟も重要な文脈を提供している。2026年現在、CSSサブグリッドは主要ブラウザで97%のグローバルカバレッジを達成し、フォールバック不要で実用可能になった。

CSSサブグリッドは2023年9月に全主要ブラウザで実装完了し、2026年3月15日にBaseline Widely Availableとして正式に製品利用可能となった。この変化は、WordPressなどのCMSが出力する複雑なHTMLブロックパターンでも、サブグリッドを使うことで内容を美しく整列させられることを意味する。

この技術の成熟は、ウェブ制作における「待つ時間」の短縮化を象徴している。従来は「ブラウザサポートを待つ」「フォールバックを用意する」という慎重なアプローチが主流だったが、現在はより迅速に新技術を採用できる環境が整ってきた。

脆弱性管理の新しいパラダイム

2026年には、商用WordPressプラグインはEUユーザー向けに提供するため、法的にVDP(脆弱性開示プログラム)の設置が義務化される。これは単なる法的要件ではなく、セキュリティ業界全体のプロフェッショナル化を示している。

Wordfenceのバグバウンティプログラムでは、脆弱性一件につき最大31,200ドルの報酬を提供しており、セキュリティ研究者の積極的な参加を促している。これは脆弱性発見の「民主化」であり、より多くの目がWordPressエコシステムの安全性をチェックしていることを意味する。

しかし2024年の調査では、Patchstackが報告した脆弱性の半数以上について、プラグイン開発者が公式開示前にパッチを提供しなかったという懸念すべき結果も出ている。これは法規制への対応準備が不十分な開発者が多いことを示唆している。

未来への展望と制作現場への影響

2026年において、すべての組織は自分のウェブサイトが何で構成されているかを深く把握し、新しい脆弱性に対して5時間以内に自動化されたセキュリティ対策を講じる必要がある。この要求水準は、個人サイト運営者にとっては現実的ではないが、専門サービスの活用により達成可能だ。

サイト運営者は即座のバーチャルパッチング、迅速なパッチ適用、厳格なアクセス制御、包括的な復旧準備を組み合わせた多層セキュリティ体制を採用する必要がある。これは、セキュリティが「あればよい」オプションから「必須の基盤」へと位置づけが変わったことを意味している。

ウェブ制作の現場では、セキュリティ対策の自動化と専門化が進んでいる。従来のように「WordPressを設置して終わり」ではなく、継続的な監視と保護が前提となる制作フローへの転換が求められている。幸い、バーチャルパッチングのようなサービスにより、専門知識のない制作者でも企業レベルのセキュリティ対策を提供できるインフラが整いつつある。これは制作者にとって負担増というよりも、より価値の高いサービス提供の機会と捉えるべきだろう。

WordPress 7.0の延期が明かす、セキュリティ最優先の開発哲学

つくば市のホームページ制作会社

WordPress 7.0の開発が進む中、リリース日が4月9日から5月20日に延期された。この変更は単なるスケジュール調整ではない。WordPressコア開発チームが「最も安定し、最もパフォーマンスに優れたソフトウェアを提供する」ために取った、慎重な判断だった。

昨年来のWordPress界隈の複雑な状況を踏まえ、開発陣はスケジュールよりも品質を重視する姿勢を明確にした。アーキテクチャの安定性とパフォーマンスに追加作業が必要と判断し、結果として約1ヶ月半の延期となった。制作現場で安定稼動が何より重要なWordPressにとって、これは理にかなった決断といえる。

セキュリティ強化が加速する2026年のWordPress

WordPress 7.0の延期と並行して、WordPress 6.9.2がセキュリティリリースとして公開された。修正内容を見ると、Blind SSRFの問題、HTML APIとBlock Registryの弱点、数値文字参照での正規表現DoS脆弱性など、技術的に高度な攻撃に対応している。

2026年のWordPressセキュリティ状況は、2024年に約8,000件の新しい脆弱性が発見され、2月には244件の新しい開示があり、うち80件が未修正という深刻なレベルにある。この状況を受けて、2026年のWordPressセキュリティ環境は大幅に変化し、HTML APIの強化、自動プラグインスクリーニング、認証制御の改善により、より安全な基盤を構築している。

特に注目すべきはWordPressがセキュリティアップデートを重要度別に分類し、重要なパッチは2〜4時間以内に自動デプロイされる仕組みが整備されたことだ。制作会社にとって、クライアントサイトの安全性を保つために自動アップデートの設定確認が必須の作業となっている。

プラグインエコシステムの脆弱性対策

WordPressの最大の強みであるプラグインシステムが、同時に最大のセキュリティリスクになっている現実がある。新しい脆弱性の91%がプラグインで発見され、9%がテーマ、WordPressコアでの報告はわずか6件で低優先度の問題だった。

プレミアムやフリーミアムコンポーネントで1,983件の有効な脆弱性レポートがあり、総レポートの29%を占める状況は、制作現場での慎重なプラグイン選択を求めている。12ヶ月以上アップデートされていないプラグインは代替品を探すことが推奨されており、定期的な棚卸しが重要になっている。

WooCommerceでもStore API脆弱性が52のバージョンで修正され、特定のブラウザ環境でログイン済み管理者が悪意のあるリンクを訪問した場合に管理者アカウントの作成などが実行される可能性があった。E-コマースサイトを運営する場合、こうしたアップデートへの迅速な対応が欠かせない。

WordPress 7.0が目指すコラボレーション機能

WordPress 7.0はGutenbergプロジェクトのPhase 3の決定版的ローンチであり、コラボレーションとワークフローに完全に焦点を当て、「単独エディター」モデルから共有リアルタイム創作環境への移行を目指している。

具体的には複数ユーザーが同じ投稿やページを同時編集でき、デフォルトのHTTPポーリング同期プロバイダーを搭載し、ホストやプラグインがWebSocketサポートを追加できるフック、オフライン編集の同期、Notesリアルタイム同期などが実装される予定だ。

チーム制作が主流になりつつある現在、これらの機能は特に代理店や制作会社にとって業務効率向上の要となりそうだ。ただし、リアルタイムコラボレーション機能、Web Client AI API、レスポンシブブロック表示制御は、サードパーティプラグインが拡張する領域に関わるため、事前のテストが強く推奨されている。

実務での対応方針

WordPress 7.0への移行準備として、最小PHPバージョンが7.4に引き上げられ、PHP 7.2と7.3のサポートが正式に廃止、最適なパフォーマンスとセキュリティのためPHP 8.3以上が推奨される。つくば周辺の制作者も含め、レンタルサーバーのPHP環境確認は早めに済ませておきたい。

延期によりRC 3(新Beta 1)が5月8日、5月20日の正式版まで最終テスト期間が設けられた。この期間を活用して、使用中のテーマやプラグインの互換性を入念にチェックし、本格導入は正式リリース後2〜4週間の安全期間を置くのが現実的だろう。

セキュリティ脅威が多様化し高度化する中で、WordPressは単なる機能追加よりも安定性と安全性を重視する方向性を明確にした。延期という判断にも表れているように、制作現場の実務を支える基盤としての責任を果たそうとするその姿勢は、長期的にはユーザーにとってプラスになるはずだ。