WordPressのアップデートはどのタイミングで行うのが正解か

WordPressは世界中で最も使用されている無料のCMS（コンテンツ管理システム）なのはもはや説明不要。常に新しい機能が追加されたり、セキュリティの対策・強化等が行われています。また、多くの機能がプラグインとして開発者によって公開されています。

気軽に利用できるとはいえ、古いバージョンのWordPressやプラグインを使用し続けることは、様々なリスクを伴います。「サイトが急に表示されなくなった！」というように、アップデートによる不具合が発生する可能性以上に、アップデートをしないことで起こりえるリスクがあります。

その一方で、「どんなタイミング・頻度でアップデートするのがいいの？」という疑問があります。本記事では、WordPressやプラグインのアップデートの重要性と、そのタイミングについて解説します。

アップデートをしないことで発生する問題点

まず、「WordPressやプラグインのアップデートをするべきか？」という問いには、間違いなくするべきと言えます。機能を享受できないという面もありますが、それ以上にWordPressやプラグインのバージョンが古いと、セキュリティリスクや不具合の恐れがあるためです。順番に見ていきましょう。

セキュリティの脆弱性

最新のセキュリティ対策が施されていないため、セキュリティリスクが上がります。

WordPressやプラグインは、世界中の多くの開発者やユーザーからのフィードバックを受けて日々進化しています。その中で、新しいセキュリティの脆弱性が発見されることがあります。「脆弱性があるものは怖くて使えない！」と思うかもしれませんが、WordPressに限らずどんなアプリケーションやソフトウェアにも発生しますし、人間が開発している以上これは避けられません。

これらの脆弱性は、不正アクセスに悪用されるリスクがあります。WordPress自体もプラグインもオープンソースでコードが公開されているため、脆弱性があった場合はそのコードも公開されています。オープンソースとして避けられません。

WordPressやプラグインのアップデートを行うことで、これらの脆弱性を修正し、サイトのセキュリティリスクを減らすことができます。特に、WordPressの本体や人気のあるプラグインは、攻撃のターゲットとなりやすいため、定期的なアップデートが不可欠です。

互換性の問題

新しいテーマやプラグインとの互換性がなく、サイトが正常に動作しないことがあります。

WordPressのエコシステムは、コア、テーマ、プラグインなど、多くの要素で構成されています。これらの要素は、互いに連携してサイトを動作させています。しかし、一部の要素が古いバージョンのままであると、新しいバージョンの要素との間で互換性の問題が発生することがあります。これにより、サイトの表示が崩れたり、一部の機能が正常に動作しなくなることが考えられます。場合によっては、最低動作バージョンが指定されていることもあります。

アップデートを行うことで、これらの互換性の問題を防ぐことができます。

機能の制限

新しい機能や改善された機能を利用できない可能性があります。

WordPressやプラグインの新しいバージョンには、新しい機能やユーザビリティの向上が含まれることが多いです。古いバージョンを使用し続けると、これらの新しい機能や機能改善を利用することができません。例えば、WordPress5.0に公開された新しいブロックエディターの導入が挙げられます。他に、WebP画像への対応や、サイトエディター機能の追加など、ユーザーや管理者にとって有益な機能を逃すことになります。

アップデートを行うことで、サイトの機能性やユーザビリティを最大限に引き出すことができます。

これらの理由から、アップデートは間違いなくする方がメリットが大きいといえます。ただし、テーマの構築方法や、利用しているプラグインによっては、アップデートができないというケースも少なく有りません。「アップデートしたいのにできない」という状況です。その場合は、問題となっているボトルネックの部分を改修や代替、さらにはサイトリニューアルをするなどして、アップデートできる環境にしていく必要があります。

アップデートはいつすればいいのか？最適なタイミングを考える

WordPressやプラグインのアップデートは、どのタイミングで行うことがいいのでしょうか？いくつか挙げます。

新しいバージョンのリリース直後

WordPressやプラグインの新しいバージョンがリリースされた際、その中にはセキュリティの脆弱性を修正するためのアップデートが含まれることが多いです。これらのアップデートは、セキュリティの問題を解決するものであるため、リリース直後にアップデートを行うことで、脆弱性を悪用される前に対策を施すことができます。

ただし、新しいバージョンにはまだわかっていないバグが含まれる可能性もあるため、次期バージョンのマイナーアップデートを待つ、という選択肢もあります。

アップデートを行うには、必ずバックアップを取った上で行うようにしましょう。

参考: WordPressの自動&定期バックアップをプラグインで簡単に設定する

しかし、WordPressを日常的によく使う人以外は、新しいバージョンがリリースされたという情報は通常ではわからない・知らないことが一般的です。「気づいたら新しいバージョンがリリースされていた」というのがほとんど。よって、現実的にはリリース直後に行うというのは難しい場合が多いでしょう。

改修やプラグイン追加などの変更の前

テーマの変更や新しいプラグインの導入前には、必ずアップデートを行いましょう。

サイトのデザインを変更するための新しいテーマの導入や、新しい機能を追加するためのプラグインの導入を行う前に、既存のテーマやプラグインのアップデートを完了させることが重要です。これにより、新しい変更との間での互換性の問題を最小限に抑えることができます。また、アップデートを行うことで、新しい変更の導入に伴う不具合やエラーの原因を特定しやすくなります。

例えば、テーマを変更した場合、WordPressのバージョンが低く不具合が発生したとしても、その不具合がテーマによるものなのか、WordPressによるものなのか問題の切り分けがすぐにわからないためです。

月に数回の定期的なチェック

そしてこれが最重要です。サイトの規模やインストールされているプラグイン数によりますが、月に1〜4回程度、ダッシュボードからアップデートの通知を確認し、必要に応じてアップデートを行うことをおすすめします。

WordPressのダッシュボードは、WordPress本体や、利用しているテーマ、プラグインのアップデート情報をリアルタイムで表示します。

月に数回程度ダッシュボードにログインしてアップデートの通知を確認することで、新しいバージョンのリリースやセキュリティの脆弱性に関する情報を逃さずにキャッチすることができます。また、このタイミングで不要なプラグインの削除や、テーマの整理も行うと、サイトのパフォーマンスやセキュリティの向上にも繋がります。

ぜひ、管理しているWordPressを定期的にチェックし、アップデート情報があったら更新するようなタスクを作成するなり、スケジュールにいれるなりすることを推奨します！

アップデートを怠ると被害にあったり他社に迷惑をかけることも

「アップデートして問題があったら対処できない……」
「バックアップとるのもアップデートも面倒だから、今度にしよう」

そうしてアップデートを怠った結果、実際に色々な問題が発生しています。

• サイトのハッキング：古いバージョンのWordPressはセキュリティの脆弱性が存在するため、ハッカーの攻撃を受けやすくなります。
• ウェブサイトの表示が異様に遅い：スパムコメントが増えることでデータベースへの書き込みが増加し、トラフィック増加によりウェブサイトがなかなか表示されず、パフォーマンスが著しく低下します。
• スパムメール送信の踏み台にされる：知らない間に自サイトから迷惑メールを送信され、共用サーバーの利用者に迷惑をかけてしまうことがあります。

実際に発生した事例を以前書きました。気になる方はご覧ください。
参考: WordPressのアップデートやセキュリティ対策をしなかったことで実際に起きた事件

実際のところ、どのくらいの頻度でアップデートするのが望ましいか？

自社で管理をしているWordPressか、他社に保守・運用までの管理を任せているかによって変わりますし、さらにサイトの規模やサイト担当者の数によっても変わるため一概には言えませんが、一つの指標としてできれば週に1回は更新チェックと作業を行えると、WordPressの脆弱性によるリスクはまずクリアできるでしょう。

これが個人のブログや小規模なビジネス用WordPressで、自分ひとりでインストールから管理までしている、というのであれば月に1回程度でも問題ないと思います。プラグイン数が多い場合は頻度はあげたいところですね。WPScanのデータによれば、脆弱性の約97%はプラグインとテーマから来ているという報告もあります。

In fact, according to data from WPScan, approximately 97% of vulnerabilities in their database are plugins and themes and only 4% are core software.

14 WordPress Security Issues & Vulnerabilities You Should Know About [New Research from WCEU 2022]

タイミングとしては、サイトにアクセスが集まったり、他の担当者が更新を行っているタイミングというのはできれば避けるのが望ましいです。WordPressの自動更新を有効にすると、深夜や早朝に自動的に更新作業を行ってくれるメリットがあります。

参考: プラグインとテーマの自動更新 – サポートフォーラム – WordPress.org 日本語

必ず定期バックアップは作成し、できれば検証用の環境も構築しておけると万が一の時に安心です。

参考: WordPressのテストサイト・検証用環境の作り方

WordPress本体、利用プラグインとテーマは最新バージョンを使う

WordPressの各種アップデートはサイトの安全性や機能性を保つために非常に重要です。定期的にアップデートのチェックを行い、最新のバージョンを維持することで、ウェブサイトの安全性を確保しましょう。

定期的なアップデートのための対応を含めてWordPressの保守で困っている、という場合は弊社のWordPress保守管理サポートをご検討ください。アップデート対応や、アップデート時に起こってしまった不具合の対応、バックアップからの復旧、テスト環境での検証なども含めて対応します。他社構築のWordPressでも問題有りません。お気軽にご相談ください。