WordPress 安全なアップデート手順｜基礎知識編

WordPressサイトを運営している皆さまにとって、「アップデート」は絶対に必要なものであることは異論はないと思います。

しかし、一方で「アップデートしたらサイトが真っ白になってしまった」「プラグインが動かなくなって、サイトの機能がおかしくなった」などのトラブルを避けるためには、基礎知識が必要です。

そこで、今回は「WordPress」の安全なアップデートについてお伝えしていきます。

WordPressのアップデートの種類

WordPressには、「WordPressコア」「プラグイン」「テーマ」「翻訳ファイル」という4つのアップデートが発生します。それぞれのWordPressの状況によっては、テーマはオリジナルテーマを使っているのでアップデートは必要ない、などの場合もありますが要注意なのは「WordPressコア」と「プラグイン」です。

この記事では「WordPressコア」について取り上げます。

まず、WordPressコアには、

• メジャーアップデート
• マイナーアップデート

の2つがあります。

WordPressのメジャーアップデートは、機能追加

例：WordPress 6.6→6.7→6.8

メジャーアップデートは、WordPressバージョンの最初の2つの数字が変わるアップデートのことです。メジャーアップデートによって、WordPress自体に様々な新しい機能や仕組みが追加されていきます。ですので、文字通り大きなアップデートになります。

例えば、ほとんどの皆さんが使っているであろうブロックエディタの機能強化、UIの改善、仕様変更、開発者向けの機能追加などがこれに該当します。

ちなみに、2025年4月に発表された情報で、従来1年に3回だったWordPressのメジャーアップデートが1年に1回のペースに変更されています。ですので今後はメジャーアップデートは1年に1回となりますが、また元のように1年3回ペースに戻る可能性もあります。
（参考）https://make.wordpress.org/project/2025/04/16/a-new-cadence-for-wordpress-core/

さて、メジャーアップデートを行う際にはいくつかの注意点があります。

ちなみに、WordPressのメジャーバージョンにはジャズミュージシャンの名前がつけらているのはご存知でしたでしょうか。WordPressコアの開発チームがジャズ音楽が好きだということからこの名付けルールになっていて、執筆時点での最新版が6.8なのですが「セシル・テイラー」というアメリカのミュージシャンです。有名どころだと、1.0の「マイケル・デイヴィス」、3.8の「チャーリー・パーカー」などでしょうか。

ご興味あれば、このリンクから歴史を見てみてください。ジャズ好きの人（私もです）には結構面白いと思います。
https://ja.wordpress.org/about/history/

WordPressのマイナーアップデートは、セキュリティ修正

例：WordPress 6.8.1→6.8.2→6.8.3

WordPressのアップデートで特に注意しなければいけないのは実はこのマイナーアップデートの方です。マイナーアップデートは、主にセキュリティに関連する修正とメンテナンスです。ですので、すぐにアップデートしましょう。おすすめとしては、アップデートを自動化しておくことでアップデートが来たら即時アップデートをしてしまうことです。

文字通り捉えると小さなアップデートなのですが、対応しなかったことによる被害は決して小さくないものとなります。バグ修正等のセキュリティ対応がマイナーアップデートのため、頻度はまちまちですが多い月も存在します。

マイナーアップデートの注意点をまとめます。

アップデートの目安と方法

アップデートの種類を整理したところで、それぞれのアップデートの目安や方法についてまとめていきます。

アップデートの目安

優先度1：マイナーアップデート（即時）

まず、何より大事なのは「マイナーアップデートは即時行う」ということです。マイナーアップデートは、前述の通り6.8.3であれば最後の数字の「3」の部分ですがこれはセキュリティ対応系のアップデートが多いです。ですので、アップデートせずに時間を置いてしまうとリスクが上がるだけとなってしまいます。

優先度2：メジャーアップデート（ユーザーによって定期的に）

一方、メジャーアップデートはWordPress自体の機能追加や機能アップデートになります。新しい機能を先行して使っていきたい方は別ですが、別に急いで最新機能を使うためのアップデートする必要もないと思います。

また、WordPress自体の機能アップデートですので現状使っているプラグインやWordPressのカスタマイズ度合いによっては既存機能の不具合や機能停止を引き起こす可能性があります。

ですので、メジャーアップデートに関しては自動アップデートはせずに定期的に（例えば毎年○月に実施）などを決めて上げていくのが良いです。

正直なところ、大きいサイト・複雑なサイトになればなるほどメジャーアップデートをせずに利用しているケースは多いです。それは機能の不具合やその他の影響を考慮しての対応です。
ですが、メジャーバージョンがWordPress公式でサポートされなくなることがあります。
2025年でいうと、WordPress セキュリティチームの発表で、2025年7月よりWordPress バージョン 4.1〜4.6 に対するセキュリティアップデートの提供を終了するということがありました。WordPressの4.1～4.6はかなり前のバージョンのため、使っている人はほぼいないとは思いますが、このように古いメジャーバージョンを使っているとどこかのタイミングではアップデートをしないといけなくなります。
https://ja.wordpress.org/2025/06/20/dropping-security-updates-for-wordpress-versions-4-1-through-4-6/

アップデートを行う場合は、しっかりバックアップを取得し、人の手で検証環境からアップデート作業を進めましょう。

アップデートの方法

続いては、アップデートって実際どうやるの？ということです。

マイナーアップデートの手順：ポイントは、サイトの状況に合わせた自動化と復旧体制

マイナーアップデートは、基本的には自動更新をおすすめします。いくつかやり方があります。公式が出している方法は、2つ。「wp-config.phpを使った設定」と「フィルターによる設定」です。

wp-config.phpファイルは、WordPressの設定関連が記述されており、ここに以下のように記述を行い保存します。

# すべてのコアアップデートを無効化する場合
define( 'WP_AUTO_UPDATE_CORE', false );

# マイナー、メジャーを含むすべてのコアアップデートを有効化する場合
define( 'WP_AUTO_UPDATE_CORE', true );

# マイナーアップデートを有効化する場合
define( 'WP_AUTO_UPDATE_CORE', 'minor' );

デフォルトでは、マイナーアップデートを有効化する

define( 'WP_AUTO_UPDATE_CORE', 'minor' );

となっていると思いますので、一応確認しておきましょう。

ちなみに、自動更新をすべて無効にする場合はこちらの記述となります。

define( 'AUTOMATIC_UPDATER_DISABLED', true );

続いて、フィルターを使った設定方法です。
WordPressのフィルターというのは覚えておいて損はないものです。フィルターはWordPressをカスタマイズする際に重要なもので「フィルターフック」という言葉は聞いたことがあるかもしれません。その名の通り「フィルター」ですので何かの情報を通すときにその内容を選別・変更できるものです。詳細はこの記事では割愛しますが、WordPressコアの自動マイナーアップデートを有効にする場合は以下のように書きます。

add_filter( 'allow_minor_auto_update_core_updates', '__return_true' );

参考：https://ja.wordpress.org/support/article/configuring-automatic-background-updates/

他の方法としては、プライム・ストラテジーが開発提供するKUSANAGIを使う方法です。
KUSANAGIは、超高速かつ安全にWordPressサイトを動かすためのサーバ環境なのですが、WordPress管理画面内でこのような設定画面が使えますので直感的です。

参考：https://kusanagi.tokyo/document/kusanagi-plugin/　の「KUSANAGI 専用プラグインのご利用方法」

マイナーアップデートにはもう1つの注意点があります。それは、復旧体制の確立です。自動でアップデートがされるようになったのはセキュリティ上とてもいいのですが、もし自動アップデートの後に「サイトが映らなくなってしまった」、「表示がおかしい」、「動いていた機能が動かなくなってしまった」という状況にも対応しておきましょう。

具体的には、バックアップを取得することと復旧体制を取っておくことです。バックアップはクラウドサーバなどを利用されている場合はイメージバックアップでも良いですし、「BackWPup」のようなバックアップ系のプラグインを使っても良いです。それに加えて、誰がどういう手順で復旧をするのかの手順と対応者についても決めておきましょう。社内の人でもいいですし難しければ社外の力を借りるというのも良い手だと思います。
BackWPup：https://ja.wordpress.org/plugins/backwpup/

メジャーアップデートの手順：ポイントは、十分な検証と復旧体制

メジャーアップデートの場合は、自動アップデートは推奨しません。マイナーアップデートのような緊急性もない割に、アップデート時の影響度が高いからです。ですので、しっかり検証をした上でアップデートを行うようにしましょう。

これは運営者、運営企業のアップデートルール次第ではありますが、イメージとしては、

等があると思います。

メジャーアップデートの際もバックアップをしっかり取った上で復旧体制を作ってから検証と本番適用をしていきましょう。

アップデート前に知っておくべきリスク

ここまで、WordPressのアップデートについてお伝えしてきましたが、最後にアップデートを行う前に関係者の皆さんが知っておくべきリスクについてまとめます。

まとめ

代表的なこれらのリスクを認識し、リスクを最小化しながらアップデートというセキュリティ対応をしていくこともWordPress運営者としての責任の1つです。

WordPressコアのアップデートの情報は、当社が提供している「Security Advisory for WordPress」でキャッチアップしてみることをおすすめします。WordPressに関するセキュリティ情報の中で日本ユーザーに特化した情報を日本語で毎週お知らせしています。毎週チェックするのが大変という場合は、定期的にメールでお知らせしていますのでご活用ください。
ちなみに、WordPressコアの脆弱性については以下のような情報をゲットできます。
https://kusanagi.tokyo/releases/21899/

企業で運用しているWordPressサイトの場合は、影響力の大きさや対応するべきWordPressの数が多いという状況もあります。そういった場合は、プライム・ストラテジーのKUSANAGIマネージドサービスをご利用されると、WordPressからサーバまでのアップデート対応を含めた保守運用をマルっとフルマネージドいたします。ご興味ある方はご覧ください。

この内容が皆さまのお役に立ちましたら幸いです。