2026年3月10日、WordPressのセキュリティ更新「6.9.2」が公開されました。
翌11日には追加の修正を含む「6.9.4」も公開されています。
細かいバージョン番号を覚える必要はありません。
大事なのは、「いま、自社サイトが最新の状態かどうか」です。
今回の更新で何が変わったのか
今回の更新では、10件のセキュリティ上の問題がまとめて修正されました(WordPress.org公式リリースノート)。
内容としては、以下のようなものです。
- 外部から不正なリクエストを送られる問題
- サイトに悪意のあるコードを埋め込まれる問題
- 本来見えないはずの情報が読み取られる問題
- 権限のない操作ができてしまう問題
- サイトを意図的に停止させられる可能性
いずれも、放置すれば被害につながりうる内容です。
WordPress公式チームも「すぐに更新してください」と呼びかけています。
更新しないと、どうなるのか
サイバー攻撃の多くは、自動で行われています。
インターネット上のWordPressサイトを順番に調べて、
古いままのサイトに侵入する。そういう仕組みです。
つまり、会社の規模は関係ありません。
更新していないサイトが対象になる。それだけです。
実際に起きうる被害には、以下のようなものがあります。
- サイトの改ざん(詐欺ページの設置など)
- Google検索で「危険なサイト」と警告が表示される
- お客様の個人情報が漏洩する
- 取引先からの信用を失う
- 復旧に数十万円以上のコストがかかる
いずれも、更新していれば防げたはずの被害です。
やるべきことは3つだけ
専門知識は不要です。
1. WordPress本体を最新版にする
管理画面の「ダッシュボード」→「更新」から実行できます。
更新前にバックアップを取ることだけ忘れないでください。
2. プラグインとテーマも更新する
本体だけでなく、すべて最新にします。
同じ「更新」画面に一覧が表示されます。
3. 使っていないものを削除する
使っていなくても、入っているだけでリスクになります。
「無効化」ではなく「削除」してください。
「更新で壊れるのが怖い」という方へ
更新後に表示が崩れることは、まれにあります。
ただし、表示の問題は修正できます。
改ざんや情報漏洩は、取り返しがつきません。
更新前にバックアップを取る。これだけ守れば十分です。
まとめ
WordPressのセキュリティ対策はシンプルです。
- 本体を最新にする
- プラグインとテーマも更新する
- 使っていないものを削除する
まずは一つだけ確認してください。
「いま、最新版になっているかどうか」
自社サイトの状態が不安な方へ
「更新されているか分からない」「担当者がいない」
そんな場合は、まず現状確認だけでも実施してください。
サイトの状態を把握しないまま放置するのが、いちばんのリスクです。
