崩壊するWordPress

インターネット上の全ウェブサイトの約40%を支えているWordPress。その圧倒的なシェアは長年にわたって「デファクトスタンダード」としての地位を保ってきた。しかし2024年から2026年にかけて、WordPressを取り巻く環境は静かに、しかし確実に崩れ始めている。

AIの進化によるサイバー攻撃の質的変化、プラグインに巣食う深刻な脆弱性、そして創業者自身が引き起こしたエコシステムの人材流出——これらの問題が重なり合い、WordPressは今まさに「崩壊の分岐点」に立っている。

---

AIが変えた攻撃の世界：Claude Mythosという衝撃

2026年、サイバーセキュリティの世界に衝撃が走った。Anthropicが開発した高度なAIモデル「Claude Mythos」の登場だ。

このモデルは、主要なオペレーティングシステムやウェブブラウザに存在する「ゼロデイ脆弱性」（開発者さえ知らない未発見の穴）を、自律的かつ大規模に発見・悪用できるという能力を持つ。英国のAI安全機関（AISI）による独立評価では、「2025年4月以前のAIモデルはエキスパートレベルのハッキングタスクをひとつも完遂できなかった」と確認されており、Mythosはその閾値を初めて超えたモデルとして位置づけられている。

具体的な数字も衝撃的だ。主要ブラウザのFirefoxに対する脆弱性の悪用成功率が、前世代のモデルの1%未満から約72%にまで跳ね上がったとされる。さらにMythosは、Linuxカーネルの既知の脆弱性100件のリストを与えられると、悪用可能な40件に自律的に絞り込み、その半数以上に対して特権昇格コードを書いてテストまで完了させてしまったという。人間の関与は最初のプロンプト一発だけだ。

しかしMythosはあくまで「シグナル」に過ぎない。Bain & Companyのレポートが明言するように、「AIを活用した高度な攻撃の時代はすでに到来している」のだ。OpenAIのGPT-5.4-CyberやGoogleのBig Sleepなど、同様の能力を持つモデルは複数存在し、攻撃コストは今後も下がり続ける。

このことがWordPressにとって何を意味するか。Patchstackの2026年セキュリティレポートによれば、新たな脆弱性が公開されてから攻撃者が悪用を開始するまでの中央値は、わずか5時間にまで短縮された。2025年に発見されたWordPressエコシステムの新規脆弱性は1万1334件にのぼり、前年比で42%増。WordPressサイトは今や毎日1万3000件のペースでハッキングされているとも言われる。

「週次メンテナンスで十分」という時代は、とっくに終わっている。

---

プラグインという時限爆弾：Ultimate Memberのゼロデイ攻撃

WordPressのセキュリティ問題を語るとき、プラグインの脆弱性は避けて通れない。

象徴的な事例が、会員管理プラグイン「Ultimate Member」だ。20万件以上のサイトで使われているこのプラグインは、過去数年で繰り返し深刻な脆弱性が発見されてきた。

2023年に発見された「CVE-2023-3460」は、CVSSスコア9.8（最大値10）という「クリティカル」評価を受けた。攻撃者は認証なしに管理者アカウントを自由に作成できるという、事実上の「サイト乗っ取り」が可能な欠陥だった。問題は、開発チームがバージョン2.6.3から2.6.6にかけてパッチを当て続けたにもかかわらず、完全には修正できなかった点だ。この間、攻撃者は野放しで被害を拡大させ、wpenginerやwpadminsといった名前の不正管理者アカウントが無数のサイトに生成された。

翌2024年にも同プラグインに別の脆弱性「CVE-2024-1071」が発見された。SQLインジェクション攻撃を可能にするもので、やはりCVSSスコアは9.8。パスワードのハッシュを含む機密情報がデータベースから盗み取られる危険があった。

プラグイン単体だけでなく、AIとWordPressの「融合」がもたらす新たなリスクも現れた。2025年には「AI Engine」プラグインの深刻な欠陥（CVE-2025-11749）が発見された。ClaudeやChatGPTといったAIエージェントをWordPressと連携させるためのプラグインで、認証トークンが誰でもアクセスできるAPIエンドポイントに露出してしまっていた。攻撃者はそのトークンを取得するだけで、管理者権限を手にすることができた。

2025年のWordPressエコシステム全体の数字を見ると、発見された脆弱性の96%がプラグイン・テーマ由来だ。さらに衝撃的なのは、Patchstackが脆弱性を報告したプラグイン開発者の半数以上が、正式な開示前にパッチをリリースしなかったという事実だ。

ユーザーがいくら「信頼できるプラグインを選ぼう」と心がけても、開発者が応答しなければ意味がない。そのリスクはAIの普及によって加速度的に拡大している。

---

創業者の暴走、その後：数字で見る壊滅的な余波

表面的な「騒動」は多くの人が知っている。しかしその余波として何が起きたかは、あまり語られていない。そして数字で見ると、それは「壊滅的」という言葉しか当てはまらない。

コア貢献時間：3,988時間 → 45時間

2024年9月、WordCamp USのキーノートでMatt Mullenweg氏がWP Engineを「WordPressにとってのがん（cancer）」と呼んだことに端を発した騒動は、2025年1月に決定的な局面を迎えた。

Automatticは「Five for the Future」プログラムへのコア貢献時間を、それまでの週3,988時間からわずか45時間に削減すると発表したのだ。削減率にして約99%。「WP Engineの貢献時間に合わせた」というのが表向きの理由だが、その実態は法廷闘争に集中するためのリソース再配分だった。

Automatticはこのプログラムにおいて歴史的に最大の貢献者だった。全貢献時間の50%を占め、21のMake WordPressチームに109人を送り込んでいた。その全員が、一夜にしてWordPress.comやJetpackなどの営利製品開発に転用された。

159人の退職：そのうち8割がWordPress部門

コア貢献削減に先立つ2024年10月、Mullenweg氏は社内向けに「アライメント・オファー」を提示した。自分の方針に同意できない社員に対し、3万ドルまたは6ヶ月分の給与（高い方）を払って退職を促す、というものだ。

期限の10月3日までに、159人（全従業員の8.4%）が退職を選んだ。そのうち79.2%がWordPressエコシステム部門の人間だった。退職者にはWordPressプロジェクト初代エグゼクティブ・ディレクターのJosepha Haden Chomphosy氏も含まれていた。

さらに2025年4月には、追加で16%にあたる約280人が予告なしにレイオフされた。90か国の従業員が一斉に解雇通知を受け取るという形だった。

訴訟費用も膨らむ一方で、Mullenweg氏自身がWordPress Slackで「WP EngineもAutomatticも、それぞれ年間1500万ドル（約23億円）ずつ費やしている」と認めた。この金額が開発に向けられていれば、どれだけのことができたか。

ガバナンス批判者への粛清：アカウント強制停止

コア貢献者の流出は、さらに恐ろしい形でも進んだ。

2025年1月、Mullenweg氏はWordPressのフォーク（別プロジェクトへの分岐）を議論していると彼が判断したコントリビューターたちのWordPress.orgアカウントを強制停止した。対象はYoast SEO創業者のJoost de Valk氏、Crowd FavoriteのKarim Marucchi氏、そしてSé Reed、Heather Burns、Morten Rand-Hendriksenの計5名だ。

しかし当のde Valk氏とMarucchi氏は「フォークの計画など一切ない。プラグイン・テーマリポジトリの連合的なミラーを提案しただけだ」とTechCrunchに明言した。BurnsとRand-Hendriksenに至っては、2019年にすでにプロジェクトを離れており、ガバナンス問題を指摘したのは2017年のことだという。「当時の批判への恨みが今も続いているとしか思えない」とRand-Hendriksenはコメントした。

WordPress REST APIの作者Ryan McCue氏も同じ時期にアクセスをブロックされた人物の一人だ。「Automatticは他の企業にコントリビューションを増やすよう要求しながら、実際に貢献しようとしている人間を恣意的にブロックしている。これで誰がコミットしようと思うのか」という彼の言葉が、状況を端的に表している。

「地雷原を歩きたくない」：崩壊した心理的安全性

この一連の出来事が引き起こした最も深刻な問題は、「誰も発言しなくなった」という事実だ。

2026年4月、WordCamp Asiaからの帰路の機内で、Mullenweg氏はWordPressのコアコミッターたちが集まる#core-committersチャンネルに数時間にわたって投稿を続けた。内容は、リリース文化が「つまらなく凡庸なもの（boring or mediocre crap）を量産している」というプロジェクト全体への批判だ。「集合的な妄想のレベルが相当なものだ」「私の責任で、私が直す」とも書いた。

この投稿に対し、GoDaddyのコントリビューターCourtney Robertson氏は「コアコミッターたちが応答するまで、このチャンネルにはコメントしないように」と呼びかけた。すると別のコントリビューターがこう返した——「この2年間のSlackでの出来事を踏まえると、地雷原を歩いてさらに地雷を増やしたいと思う人間はいないと思う」。

これが今のWordPressコミュニティの空気だ。

脆弱性の発見ペースは42%増で加速しているのに、それに対応する開発者が粛清と恐怖によって消えていく。最悪の非対称性が、着々と固定されつつある。

---

脱出の選択肢：AstroとヘッドレスCMSへ

では、これだけの問題を抱えたWordPressから、どうやって脱却すればよいのか。

現時点での最有力な選択肢が、Astroというフロントエンドフレームワークと、ヘッドレスCMSの組み合わせだ。

Astroは「アイランドアーキテクチャ」を採用した静的サイトジェネレーターで、ビルド時にHTMLを生成することでCDNから直接配信できる。サーバーサイドのPHPが実行されないため、WordPressで問題になるPHPの脆弱性をそもそも持ち込まない。React、Vue、Svelteといった好みのUIフレームワークを自由に組み合わせられる点も開発者に支持されている。

「ヘッドレスCMS」とは、コンテンツ管理（バックエンド）とフロントエンドの表示を切り離す構成だ。コンテンツはAPIを通じてAstroのフロントエンドに届けられる。代表的なサービスにはContentful、Sanity、Notionなどがあり、もちろんWordPress自体をヘッドレスCMSとして使い続けることも技術的には可能だ。ただしWordPressをバックエンドに残すとPHP環境の維持が必要で、セキュリティリスクも残る。完全に離脱するなら、WordPress自体を捨てて専用のヘッドレスCMSに移行するのが理想だ。

この構成がWordPressの問題にどう対応するかを整理しよう。

セキュリティ面では、フロントエンドが静的HTMLとなるため、攻撃のアタックサーフェスが劇的に縮小する。ヘッドレス構成では「プラグインがフロントエンドに直接影響しない」という構造的なメリットが生まれる。プラグインがスクリプトやスタイルシートを追加しても、Astroのフロントエンドはそれを読み込まない。

パフォーマンス面でも、静的HTMLは本質的に高速だ。CDNからの直接配信により、サーバー処理の遅延がなくなる。

そしてガバナンス面では、特定の企業や個人への依存を大幅に減らすことができる。Mullenweg氏の「焦土作戦」や「裁判所命令」に一喜一憂するリスクとは、構造的に無縁になれる。

移行の手順としては、まずWordPressのコンテンツをMarkdownやJSONとしてエクスポートし、ヘッドレスCMSにインポートする。wp-export-to-markdownのようなツールを使えば、WordPress上のコンテンツをMarkdown形式で書き出すことも可能だ。公式のAstroドキュメントにも、WordPressからの移行ガイドが整備されている。

---

それでもWordPressを使い続けるなら

「すぐには移行できない」という現実もある。既存のサイト資産、クライアントとの契約、運用チームのスキルセット——様々な制約がある中で、短期間にすべてを刷新することは難しい。

その場合の最低限の対策として意識しておきたいことがある。プラグインの更新は「週次」ではなく「当日対応」に切り替えること（脆弱性公開から5時間以内に攻撃が始まる時代だ）。使っていないプラグインはすぐ削除すること。WAF（Webアプリケーションファイアウォール）を必ず導入すること。そして何より、「もういつでも移行できる」という状態を日頃から準備しておくことだ。

今のWordPressは、プラットフォームとして信頼できる状態にない。これは感情的な判断ではなく、2024年から2026年にかけての出来事を並べれば、自然に辿り着く結論だ。

---

おわりに

WordPressは偉大なプラットフォームだった。そして今もなお、世界中の無数のウェブサイトを動かしている。その事実は変わらない。

だが、AIが人間のハッカーをはるかに凌駕するスピードで脆弱性を発見・悪用できる時代に、コア開発者が粛清と恐怖によって消え、「地雷原を歩きたくない」という雰囲気が蔓延したプロジェクトが、増加し続けるセキュリティ脅威に対応し続けられると、本当に思えるだろうか。

脆弱性の発見ペースは加速している。対応できる開発者は減っている。この非対称性は、放置すれば放置するほど悪化する。

AstroとヘッドレスCMSへの移行は、確かに面倒だ。しかし移行後に得られるのは、セキュリティパッチに怯えながら日々を送る生活からの解放と、本当に作りたいものを作ることに集中できる環境だ。

「崩壊するWordPress」というタイトルをつけたが、正確には「崩壊しつつある」だ。まだ間に合う。いち早く動いた人間が、次の5年を楽に過ごせる。