公式情報から考えるWordPressのセキュリティへの取組み

はじめに：WordPressのセキュリティは多層防御で守られている

「WordPressはセキュリティが弱い」という声を聞くことがあります。しかし、これは正確ではありません。世界のWebサイトの40%以上で利用されているWordPressは、その巨大なシェアゆえに標的になりやすいだけで、実際には多層的なセキュリティ対策が施されています。
問題の多くは、古いバージョンのWordPressや、更新されていないプラグイン・テーマに起因します。WordPressコミュニティは、この根本的な問題に対して、技術的・組織的なアプローチで継続的に改善を重ねています。
本記事では、WordPressの公式情報をもとに、普段は見えない部分で動いているセキュリティの仕組みと、コミュニティの取り組みについて詳しく解説します。

1. 体制：複数の専門チームによる多層防御

WordPressのセキュリティは、複数の専門チームがそれぞれの領域で責任を持って守っています。

コアチーム：WordPress本体の守護者

コアチームは、WordPress本体の開発とセキュリティ修正を担当しています。彼らの重要な役割の一つが、セキュリティリリースの実施です。脆弱性が発見された場合、迅速にパッチを開発し、全世界のWordPressサイトに配信します。

特筆すべきは、2013年のWordPress 3.7から実装された自動バックグラウンド更新機能です。この革新的な機能により、サイト管理者が何もしなくても、セキュリティ修正が自動的に適用されるようになりました。現在では、セキュリティリリース後24時間以内に、全WordPressサイトの97%以上が最新版に更新されるという驚異的な実績を達成しています。

プラグインレビューチーム：60,000の拡張機能を守る門番

WordPressの魅力の一つが、60,000以上のプラグインによる拡張性です。しかし、これらすべての安全性を確保することは容易ではありません。プラグインレビューチームは、約20名のレビュワーで構成され、週に約100件の新規プラグイン申請を審査しています。

審査は自動チェックだけでなく、人の目による詳細なコードレビューが行われます。セキュリティガイドラインへの準拠、悪意のあるコードの検出、ライセンス違反のチェック、そして将来的なセキュリティリスクの評価まで、多角的な視点で審査されます。

問題が発見された場合、プラグインの公開は即座に停止され、開発者に修正を求めます。既に公開されているプラグインでも、重大な脆弱性が発見された場合は、公開が停止され、ユーザーに通知されます。

テーマレビューチーム：デザインと安全性の両立

テーマはサイトの見た目を決定するだけでなく、PHPコードを含むため、セキュリティ上極めて重要です。テーマレビューチームは、プラグイン以上に厳格な基準で審査を行います。

Theme Checkという自動化ツールによる一次審査の後、経験豊富なレビュワーが手動でチェックします。データのエスケープ処理、適切な関数の使用、セキュアなコーディング規約の遵守など、100項目以上のチェックリストに基づいて審査されます。

ホスティングチーム：インフラレベルでの連携

WordPress Hosting Teamは、主要なホスティング企業との架け橋となっています。このチームの活動により、WordPressとホスティング環境の互換性が継続的に検証されています。

Host Testという仕組みでは、参加企業が自社のインフラでWordPressのテストスイートを実行し、その結果をWordPress.orgに報告します。これにより、さまざまな環境でWordPressが正しく動作することを確認し、環境固有の問題を早期に発見できます。

この「分散ホスティングテスト」の仕組みにより、WordPressの変更がホスティング環境に意図せぬ影響を与えないことを確認できます。テストがWordPress.org環境では成功しているにもかかわらず、特定のホスティング環境で失敗した場合、該当企業には自動的に通知が送られ、調査と対応が促されます。

2. インシデント対応：見えない部分で動く多層防御システム

WordPressのセキュリティインシデント対応は、多くのユーザーが気づかないうちに機能しています。これは偶然ではなく、意図的に設計された多層防御システムの成果です。

WAFによる即座の防御

重大な脆弱性が発見された場合、WordPress本体の修正を待つまでもなく、防御が始まります。Wordfence、Sucuri、Patchstackなどのセキュリティ企業は、脆弱性情報を受け取ると即座にWAF（Web Application Firewall）のルールを更新します。

これにより、WordPress本体がまだ更新されていないサイトでも、攻撃をファイアウォールレベルでブロックできます。WAFを利用しているサイトは、ユーザーが何もしなくても、この追加の防御層によって保護されます。

ホスティング企業への事前通知システム

重大な脆弱性に対するセキュリティリリースの前に、主要なホスティング企業には事前通知が行われます。通常、リリースの24時間前には通知が送られ、各社は以下の準備を行います：

• 自社環境でのパッチのテスト
• WAFルールの事前準備
• サポートチームへの情報共有
• 必要に応じたリソースの確保

この事前準備により、リリース時の混乱を最小限に抑え、スムーズな更新を実現しています。

段階的ロールアウトによるリスク管理

自動更新は一斉に行われるのではなく、段階的に展開されます。まず少数のサイトで更新を行い、問題がないことを確認してから、徐々に展開範囲を広げていきます。
万が一、更新によって問題が発生した場合は、即座にロールアウトを停止し、問題の調査と修正を行います。この慎重なアプローチにより、数百万のサイトに影響を与える可能性のあるリスクを最小限に抑えています。

実際のインシデント対応フロー

典型的な重大脆弱性への対応は以下のようなタイムラインで進行します：

T-72時間：脆弱性の検証と影響範囲の特定
T-48時間：パッチの開発とテスト
T-24時間：ホスティングパートナーへの通知、WAFルールの準備
T-6時間：CDNへの配信準備
T-0：セキュリティリリースの公開
T+1時間：自動更新の段階的展開開始
T+24時間：97%以上のサイトが更新完了

この組織的な対応により、世界中のWordPressサイトが迅速かつ安全に保護されます。

3. 外部からの情報受付：オープンソースコミュニティの強み

WordPressのセキュリティは、内部チームだけでなく、世界中の開発者やセキュリティ研究者によって支えられています。オープンソースプロジェクトならではの透明性と協力体制が、強固なセキュリティを実現しています。

HackerOne：公式の脆弱性報告プラットフォーム

WordPressは、HackerOneを通じて脆弱性報告を受け付けています。これは単なる報告窓口ではなく、報奨金プログラムを伴う本格的なバグバウンティ・プラットフォームです。

• 最高報奨金：50,000ドル（クリティカルな脆弱性）
• 年間予算：約100,000ドル
• 2017年の開始以来：500件以上の脆弱性を事前に発見・修正

このプログラムにより、悪意のある攻撃者が脆弱性を悪用する前に、善意の研究者が発見し、報告するインセンティブが生まれています。

セキュリティ専門家による善意の協力

HackerOneの報奨金プログラム以外にも、世界中のセキュリティ専門家が善意でWordPressの脆弱性を報告しています。日本のWordPress開発者の中にも、実際に脆弱性を発見・報告し、修正に貢献した方々がいます。

これは報奨金目的ではなく、WordPressコミュニティへの貢献として行われることも多く、オープンソースならではの強みです。プロプライエタリなCMSでは、外部の専門家がコードを検証することすらできませんが、WordPressでは世界中の専門家が自発的にセキュリティ向上に協力してくれるのです。

実際、多くの重要な脆弱性の発見は、こうした善意の専門家によるものです。彼らは自分の時間と専門知識を使って、WordPressをより安全にすることに貢献しています。

責任ある開示（Responsible Disclosure）

WordPressは「責任ある開示」ポリシーを採用しています。これは、脆弱性の詳細を即座に公開するのではなく、以下のプロセスを踏むことを意味します：

1. 報告の受理と確認：脆弱性の存在と影響範囲を検証
2. 修正の開発：パッチの作成とテスト
3. 調整期間：影響を受ける可能性のあるプラグインやテーマの開発者への通知
4. 同時公開：修正版のリリースと脆弱性情報の公開を同時に実施

このプロセスにより、悪用のリスクを最小限に抑えながら、透明性を保っています。

修正後の情報公開による学習機会

脆弱性が修正された後、その詳細情報は公開されます。これには以下の情報が含まれます：

• 脆弱性の技術的な詳細
• 影響を受けるバージョン
• 修正方法
• 発見者のクレジット

この情報公開は、他の開発者が同様の脆弱性を作り込まないための重要な学習機会となっています。また、セキュリティコミュニティ全体の知識向上にも貢献しています。

オープンソースならではの「多くの目」

「Given enough eyeballs, all bugs are shallow」（十分な数の目があれば、すべてのバグは浅い）というリーナスの法則は、WordPressにも当てはまります。
世界中の開発者がコードを読み、レビューし、改善提案を行うことで、単一の組織では不可能なレベルのコード品質とセキュリティを実現しています。これはプロプライエタリなCMSでは決して得られない、オープンソースの大きな強みです。

4. WordPressコアの技術的な取り組み

WordPressは、技術的な側面からもセキュリティの向上に継続的に取り組んでいます。これらの取り組みは、ユーザーが意識することなくセキュリティを向上させることを目指しています。

自動更新機能の進化：セキュリティの民主化

自動更新機能は、WordPressのセキュリティ戦略の中核を成しています。その進化の歴史を見ると、段階的かつ慎重なアプローチが取られていることがわかります。

2008年 WordPress 2.8：自動アップグレード機能の基礎実装
2013年 WordPress 3.7：マイナーバージョンとセキュリティ修正の自動バックグラウンド更新
2015年 WordPress 4.2：プラグインの更新通知強化
2020年 WordPress 5.5：プラグインとテーマの選択的自動更新
2024年 WordPress 6.5：プラグイン依存関係のチェック機能

この進化により、技術的な知識が限られたユーザーでも、常に最新のセキュリティ修正が適用された状態を維持できるようになりました。現在、97%のサイトが24時間以内に更新されるという実績は、この戦略の成功を物語っています。

Site Health：セキュリティ状態の可視化

WordPress 5.2で導入されたSite Health機能は、サイトのセキュリティ状態を簡単に把握できるツールです。WordPress 5.9以降、この機能は大幅に強化され、以下のようなチェックを自動的に行います：

• PHPバージョンの確認（古いバージョンの警告）
• SSL証明書の状態
• デバッグモードの設定確認
• 自動更新の状態
• プラグインとテーマの更新状況
• データベースの状態

各項目は「クリティカル」「推奨」「良好」の3段階で評価され、改善が必要な項目については具体的な対処方法が提示されます。これにより、専門知識がなくても、サイトのセキュリティ状態を把握し、改善できるようになっています。

長期的な後方互換性とセキュリティバックポート

WordPressの真の強みは、異常なまでに長い期間にわたって後方互換性を維持し、古いバージョンにもセキュリティパッチを提供し続けていることです。

セキュリティパッチのバックポート

WordPressは現在、WordPress 4.7以降のすべてのバージョンにセキュリティパッチを提供しています（2025年7月に4.1〜4.6のサポートが終了）。WordPress 4.7は2016年12月にリリースされたバージョンです。つまり、約9年前のバージョンにも重要なセキュリティ修正が適用され続けているのです。

重要なのは、これらの旧バージョンを使用しているサイトは全体の1%未満という事実です。99%以上のサイトがより新しいバージョンを使用しており、自動更新機能が効果的に機能していることを示しています。

後方互換性の維持

多くのソフトウェアが数年で旧バージョンのサポートを打ち切る中、WordPressは可能な限り後方互換性を維持します。これにより、古いプラグインやテーマも動作し続け、急な移行を強制されることがありません。

段階的な移行支援

PHPの最新バージョンへの移行も、急激な変更ではなく段階的に行われます。Site Health機能で古いPHPバージョンの使用を警告しつつも、すぐに動作しなくなることはありません。この余裕により、サイト運営者は計画的に移行を進めることができます。

この「長期サポート」の姿勢は、企業にとって大きな安心材料です。急な仕様変更でサイトが動かなくなるリスクが極めて低く、長期的な運用計画を立てやすいのです。

最新技術への対応

WordPressは常に最新のWeb技術に対応し、それに伴うセキュリティリスクにも対処しています。例えば、モダンなWebアプリケーション開発で使用されるREST APIも、導入当初から継続的にセキュリティが強化され、現在では安全に利用できる機能となっています。

まとめ：見えない努力が支える安全性

WordPressのセキュリティは、華やかな機能や目立つチームによってではなく、地道で継続的な取り組みによって支えられています。

専門チームの責任体制により、各チームがそれぞれの領域でセキュリティを確保し、多層防御システムにより、一つの対策が破られても次の防御線が機能します。オープンソースの透明性により、世界中の開発者が協力してセキュリティを向上させ、技術的な自動化により、ユーザーの知識レベルに関係なく安全性が確保されます。

「WordPressは危険」という誤解の多くは、古いバージョンを使い続けることに起因します。しかし、WordPressコミュニティは、自動更新をはじめとする革新的な仕組みで、この根本的な問題に対処し続けています。

適切に管理されたWordPressサイトは、エンタープライズレベルのセキュリティ要件にも対応できます。重要なのは、WordPressが提供するセキュリティ機能を理解し、適切に活用することです。定期的な更新、公式ディレクトリからのプラグイン・テーマの選択、Site Health機能の活用など、基本的な運用を守ることで、安全なWebサイト運営が実現できます。

この記事で紹介した取り組みの多くは、普段は目に見えない部分で機能しています。しかし、まさにこの「見えない努力」こそが、世界の40%以上のWebサイトを支えるWordPressの信頼性の源泉なのです。