2026年に入り、WordPressエコシステムのセキュリティ状況が厳しい局面を迎えている。2026年、すべての人が自分のウェブサイトが何でできているかを深く知り、5時間以内に新しいセキュリティ脆弱性を軽減する自動化されたセキュリティ対策を講じる必要があると、セキュリティ専門家らが警告を発している。

最新のデータは、この警告の深刻さを裏付けている。2026年1月の週次脆弱性開示率：1月7日の週：333件の新しい脆弱性（253件がプラグイン）、12月24日の週：293件の新しい脆弱性（274件がプラグイン）、12月31日の週：150件の新しい脆弱性（140件がプラグイン）、平均：週250件以上のプラグイン脆弱性が開示されている。つまり毎日36件の新しいプラグイン脆弱性が報告されている状況だ。

さらに深刻なのは、Patchstackの2026年レポートによると、Patchstackが脆弱性を報告したプラグイン開発者の半数以上が公式開示前にその問題を修正しなかったという現実だ。これは単なる技術的な問題ではなく、WordPress制作現場にとって構造的な危機を意味している。

制作現場を脅かす新たな攻撃手法

2026年の攻撃者は、従来の手法を超えた戦術を展開している。バックドアは、新しい企業オーナーがこれらのプラグインを購入した後に発見された。昨年、誰かがEssential Pluginを購入し、その後すぐにプラグインのソースコードにバックドアが追加されたというサプライチェーン攻撃が実際に発生している。

約100万インストールを持つプレミアムWordPressプラグインGravity Formsが、サプライチェーン攻撃で侵害された。攻撃者はベンダーのインフラにアクセスし、公式ウェブサイトからの手動インストーラーにバックドアを感染させた事例もあり、プレミアムプラグインでさえ安全ではないことが判明している。

最近では2026年、すべての商業WordPress プラグインは、ヨーロッパのユーザーにソフトウェアを提供するために法律により脆弱性開示プログラム(VDP)を設置する必要があるという規制の動きもあるが、現実的な対策が追いついていない状況だ。

地方のウェブ制作会社や中小企業サイトでは、こうした脅威に対する認識と対策が十分でないケースが多い。WordPressのセキュリティリスクは主にプラグインやテーマから来ており、コアシステムからではない。一般的な保護は、最も弱いリンクではなくプラットフォーム自体をターゲットにしている。これにより、安全に見えるにもかかわらず多くのサイトが露出しているのが現状だ。

制作現場では、プラグインの選定と管理方法を根本的に見直す時期に来ている。単純にアップデートを適用するだけでなく、使用するプラグインの開発体制やセキュリティ対応状況を事前に調査し、必要最小限のプラグイン構成でサイトを運営することが求められている。また、攻撃者は、認証されていないアクセス、弱い能力チェック、SQLインジェクション、クロスサイトスクリプティングなどの比較的単純な問題を連鎖させて、完全なサイト乗っ取りやバックドアに発展させ続けている現実を踏まえ、多層防御の仕組みを構築することが不可欠になっている。