WordPress 7.0の開発が進む中、リリース日が4月9日から5月20日に延期された。この変更は単なるスケジュール調整ではない。WordPressコア開発チームが「最も安定し、最もパフォーマンスに優れたソフトウェアを提供する」ために取った、慎重な判断だった。

昨年来のWordPress界隈の複雑な状況を踏まえ、開発陣はスケジュールよりも品質を重視する姿勢を明確にした。アーキテクチャの安定性とパフォーマンスに追加作業が必要と判断し、結果として約1ヶ月半の延期となった。制作現場で安定稼動が何より重要なWordPressにとって、これは理にかなった決断といえる。

セキュリティ強化が加速する2026年のWordPress

WordPress 7.0の延期と並行して、WordPress 6.9.2がセキュリティリリースとして公開された。修正内容を見ると、Blind SSRFの問題、HTML APIとBlock Registryの弱点、数値文字参照での正規表現DoS脆弱性など、技術的に高度な攻撃に対応している。

2026年のWordPressセキュリティ状況は、2024年に約8,000件の新しい脆弱性が発見され、2月には244件の新しい開示があり、うち80件が未修正という深刻なレベルにある。この状況を受けて、2026年のWordPressセキュリティ環境は大幅に変化し、HTML APIの強化、自動プラグインスクリーニング、認証制御の改善により、より安全な基盤を構築している。

特に注目すべきはWordPressがセキュリティアップデートを重要度別に分類し、重要なパッチは2〜4時間以内に自動デプロイされる仕組みが整備されたことだ。制作会社にとって、クライアントサイトの安全性を保つために自動アップデートの設定確認が必須の作業となっている。

プラグインエコシステムの脆弱性対策

WordPressの最大の強みであるプラグインシステムが、同時に最大のセキュリティリスクになっている現実がある。新しい脆弱性の91%がプラグインで発見され、9%がテーマ、WordPressコアでの報告はわずか6件で低優先度の問題だった。

プレミアムやフリーミアムコンポーネントで1,983件の有効な脆弱性レポートがあり、総レポートの29%を占める状況は、制作現場での慎重なプラグイン選択を求めている。12ヶ月以上アップデートされていないプラグインは代替品を探すことが推奨されており、定期的な棚卸しが重要になっている。

WooCommerceでもStore API脆弱性が52のバージョンで修正され、特定のブラウザ環境でログイン済み管理者が悪意のあるリンクを訪問した場合に管理者アカウントの作成などが実行される可能性があった。E-コマースサイトを運営する場合、こうしたアップデートへの迅速な対応が欠かせない。

WordPress 7.0が目指すコラボレーション機能

WordPress 7.0はGutenbergプロジェクトのPhase 3の決定版的ローンチであり、コラボレーションとワークフローに完全に焦点を当て、「単独エディター」モデルから共有リアルタイム創作環境への移行を目指している。

具体的には複数ユーザーが同じ投稿やページを同時編集でき、デフォルトのHTTPポーリング同期プロバイダーを搭載し、ホストやプラグインがWebSocketサポートを追加できるフック、オフライン編集の同期、Notesリアルタイム同期などが実装される予定だ。

チーム制作が主流になりつつある現在、これらの機能は特に代理店や制作会社にとって業務効率向上の要となりそうだ。ただし、リアルタイムコラボレーション機能、Web Client AI API、レスポンシブブロック表示制御は、サードパーティプラグインが拡張する領域に関わるため、事前のテストが強く推奨されている。