戦略的ウェブ制作工房
エルタジェール

30分無料相談
30分無料相談

【WordPress週刊ダイジェスト】2026年3月15日号

宮崎真一

今週のハイライト

1. WordPress 7.0 RC1リリース予定(2026年3月19日)

WordPress 7.0の正式リリースに向けて、Release Candidate版が3月19日にリリース予定です。現在Beta 4が利用可能で、テストコミュニティによる検証が進行中です。公式Field Guideも開発中です。正式リリースは2026年4月9日を予定しています。

出典: https://developer.wordpress.org/news/2026/03/whats-new-for-developers-march-2026/

2. WordPress 6.9.4 緊急セキュリティ更新

3月10日にWordPress 6.9.2が公開され10件のセキュリティ脆弱性が修正されましたが、その後セキュリティ不備が判明。同日中に6.9.3、翌11日に6.9.4が連続リリースされました。現在の推奨版はWordPress 6.9.4です。全サイト管理者に即時更新を強く推奨します。

出典: https://wordpress.org/news/2026/03/wordpress-6-9-3-and-7-0-beta-4/

出典: https://rocket-boys.co.jp/security-measures-lab/wordpress-6-9-2-fixes-10-flaws-followed-by-6-9-3-and-6-9-4/

3. Real-time Collaboration(RTC)がWordPress 7.0で実装

複数ユーザーによるリアルタイム同時編集機能がWordPress 7.0に統合されます。HTTP ポーリングベースの同期を採用し、すべてのホスティング環境での互換性を実現。CRDT(Conflict-free Replicated Data Type)技術を活用し、信頼性の高い協調編集を可能にします。

出典: https://developer.wordpress.org/news/2026/03/whats-new-for-developers-march-2026/

セキュリティ情報

WordPress 6.9.2で修正された10件の脆弱性

  • Blind SSRF脆弱性 – サーバーサイドリクエストフォージェリ
  • HTML APIおよびBlock RegistryのPoP-chain weakness – プロパティ指向プログラミングチェーンの弱点
  • Numeric character referencesでのregex DoS – 正規表現によるサービス拒否
  • ナビゲーションメニューの保存型XSS
  • data-wp-bind ディレクティブ経由の保存型XSS
  • AJAX query-attachmentsの権限回避
  • クライアントサイドテンプレート上書きXSS
  • PclZipのパストトラバーサル
  • Notes機能のREST API権限チェック不備
  • bundled getID3ライブラリのXXE – XML外部エンティティ攻撃

出典: https://wordpress.org/news/2026/03/wordpress-6-9-2-release/

重要な注記

6.9.2公開直後、一部のテーマで「白い画面」エラーが報告されました。これは非標準のテンプレート読み込み方法(stringable objects)を使用していたテーマが影響を受けたもので、6.9.3で修正されています。現在の推奨版は6.9.4です。

プラグイン・テーマの大規模脆弱性報告

この1週間で209件の脆弱性が公表され、うち75件のセキュリティパッチが提供されています。134件は依然パッチ未適用です。

Critical脆弱性を含む主要プラグイン

  • Widget Options – Remote Code Execution (RCE)
  • WP Mail Logging – PHP Object Injection
  • Tutor LMS – SQL Injection
  • User Registration & Membership – Privilege Escalation
  • Drag and Drop Multiple File Upload for Contact Form 7 – Arbitrary File Upload

High脆弱性を含む主要プラグイン:

  • WooCommerce – Cross Site Request Forgery (CSRF)
  • Meta Box – Arbitrary File Deletion
  • Page Builder by SiteOrigin – Local File Inclusion
  • Email Subscribers & Newsletters – SQL Injection
  • wpDataTables – Local File Inclusion

出典: https://solidwp.com/blog/wordpress-vulnerability-report-march-11-2026/

出典: https://www.wordfence.com/blog/2026/03/wordfence-intelligence-weekly-wordpress-vulnerability-report-march-2-2026-to-march-8-2026/

アップデート情報

WordPress 7.0の主要な新機能

AI連携機能

OpenAI、Google、Anthropicプロバイダーがプラグインディレクトリで利用可能になります。新しいConnectors Screenで一元管理でき、php-ai-clientパッケージを使用した標準化されたAIサービス通信が可能になります。

エディター内リビジョン管理

視覚的な変更追跡により、ブロックの追加(緑のアウトライン)・削除(赤のアウトライン)・変更(黄色のアウトライン)をインラインで確認可能になります。テキストコンテンツの追加は緑/下線、削除は赤/取り消し線で表示されます。

Iconブロック

SVGアイコンライブラリからの直接挿入に対応。REST API(/wp/v2/icons)で検索・フィルタリングが可能です。初期セットはwordpress/iconsパッケージから提供され、サードパーティアイコンコレクションの登録機能は7.1で予定されています。

Navigation Overlays

モバイルメニューのカスタマイズが実装完了。「Create overlay」ボタンでガイド付きセットアップが可能で、様々なデザインのパターンテンプレートが提供されます。

Gallery Lightbox拡張

画像ナビゲーション機能(前後ボタン、矢印キー対応)を実装。ライトボックスが無効な画像は自動的にスキップされます。

ContentOnly Pattern編集

パターンはデフォルトでContent-Only編集モードになります。このモードでは、ブロックアイコンと整理された属性フィールドが表示され、デザインの煩雑さが軽減されます。

出典: https://developer.wordpress.org/news/2026/03/whats-new-for-developers-march-2026/

Gutenberg 22.7リリース(2026年3月11日)

Block Editorの最新版がリリースされました。主な新機能:

  • AI Connectors Screen&API実装 – Settings > Connectorsで管理可能
  • スタイルバリエーション変換のプレビュー表示 – 変更内容を事前確認可能
  • Grid ブロック Visualizer の応答性大幅改善 – 選択した列数と同期
  • Playlist ブロックへの WaveForm Player ビジュアライザー追加
  • Global Styles カスタムCSSの機能拡張 – block.jsonのセレクタ定義に対応
  • wp-env Playground ランタイムに phpMyAdmin サポート追加

出典: https://make.wordpress.org/core/2026/03/11/whats-new-in-gutenberg-22-7-11-march/

Iframed Post Editorは7.1に延期

「Always-iframed post editor」機能はWordPress 7.1に延期されました。ただし、Gutenbergプラグインでは引き続きポストエディターブロックがiframe化されます。

出典: https://make.wordpress.org/core/2026/02/24/iframed-editor-changes-in-wordpress-7-0/

注目トピック

WordPress 7.0 Dev Notes(開発ドキュメント)公開中

プラグイン・テーマ開発者向けの詳細ドキュメントが複数公開されています

Breadcrumb ブロックフィルター

2つの新しいPHPフィルターでパンくずリストのカスタマイズが可能になります。パンくずトレイルアイテムとタクソノミー/ターム設定をカスタマイズできます。

出典: https://make.wordpress.org/core/2026/03/04/breadcrumb-block-filters/

Customizable Navigation Overlays

テーマ開発者向けに、新しいnavigation-overlayテンプレートパートエリアの登録とバンドル方法が解説されています。

出典: https://make.wordpress.org/core/2026/03/04/customisable-navigation-overlays-in-wordpress-7-0/

Interactivity APIの変更点

新しいwatch()関数とサーバーサイドstate.url設定により、副作用とナビゲーション追跡のパターンがよりクリーンになります。state.navigationは非推奨になります。

出典: https://make.wordpress.org/core/2026/03/04/changes-to-the-interactivity-api-in-wordpress-7-0/

DataViews、DataForm等のAPI更新

新しいレイアウト、バリデーションルール、グループ化オプション、ピッカー改善など、wordpress/dataviewsを使用するプラグインに影響する大規模なAPI更新が行われます。

出典: https://make.wordpress.org/core/2026/03/04/dataviews-dataform-et-al-in-wordpress-7-0/

PHP-onlyブロック登録

新しいautoRegisterサポートフラグを使用して、JavaScriptなしでPHPのみで完全に機能するブロックを登録できるようになります。

出典: https://make.wordpress.org/core/2026/03/03/php-only-block-registration/

theme.jsonの疑似要素サポート

テーマ開発者は、theme.jsonでブロックとそのスタイルバリエーションの:hover、:focus、:focus-visible、:active状態を直接スタイリングできるようになり、カスタムCSSが不要になります。

出典: https://make.wordpress.org/core/2026/03/09/pseudo-element-support-for-blocks-and-their-variations-in-theme-json/

Real-Time Collaboration実装ガイド

プラグイン開発者必読:クラシックメタボックスがコラボレーションモードを無効にする方法、sync.providersフィルターを使用してYjsトランスポート層をカスタマイズする方法、ローカル状態のドリフトや意図しないブロック挿入の副作用などの一般的な落とし穴を回避する方法を学べます。

出典: https://make.wordpress.org/core/2026/03/10/real-time-collaboration-in-the-block-editor/

WP-CLI v3.0の新機能(3月末リリース予定)

WP-CLIチームは、ブロックエンティティへの読み取り専用アクセス用の新しいコマンドセット(wp block)を開発中です(パターンとテンプレートのエクスポートは例外)。また、新しいability commandsセットも開発中です。

これらのパッケージはWP-CLI v3.0に先行しており、テスト用のdev依存関係として利用可能です:

wp package install wp-cli/block-command:dev-main
wp package install wp-cli/ability-command:dev-main

またはComposer経由:

composer require wp-cli/block-command:dev-main --dev
composer require wp-cli/ability-command:dev-main --dev

または単に:

wp cli update --nightly

チームは3月末までに3.0安定版のリリースを目指しています。

出典: https://developer.wordpress.org/news/2026/03/whats-new-for-developers-march-2026/

WordPress開発者ブログの新記事

先月、開発者ブログに2つの新しい記事が掲載されました:

  • assertEqualHTML()を使用したWordPressでのHTMLテストの改善方法
  • エディターのPreviewドロップダウンにカスタムエントリを追加する方法

WordPress開発者ブログを購読して、記事を見逃さないようにしましょう。

出典: https://developer.wordpress.org/news/subscribe/

WordCamp Mukono 2026(ウガンダ)

ウガンダのWordPress コミュニティが WordCamp Mukono 2026 を3月13日・14日に開催しています。テーマは「Sustainable Growth, Building a Lasting WordPress Future(持続可能な成長とWordPressの未来)」です。Murs Country Resort, Kigunga, Mukonoで開催されます。

出典: https://central.wordcamp.org/news/2026/02/introducing-wordcamp-mukono-2026-sustainable-growth-building-a-lasting-wordpress-future/

出典: https://mukono.wordcamp.org/2026/

WordCamp Asia 2026(インド・ムンバイ)

WordCampのアジア地域での主要イベントが2026年にムンバイ(インド)で開催予定です。3,000名以上の参加を予定しており、WordPress 7.0の正式リリースと同時期の開催となる見込みです。チケット購入、スポンサーシップの検討、情報拡散への協力が呼びかけられています。

出典: https://wordpress.org/news/2026/01/wordcamp-asia-2026/

出典: https://europe.wordcamp.org/2026/

今後のスケジュール

  • 2026年3月19日: WordPress 7.0 Release Candidate 1(RC1)リリース予定
  • 2026年3月末: WP-CLI v3.0安定版リリース予定
  • 2026年4月9日: WordPress 7.0正式リリース予定

重要なご案内

すべてのWordPressサイト管理者に対して、WordPress 6.9.4への即時更新を強く推奨いたします。

セキュリティ更新は最優先です。また、使用中のプラグイン・テーマについても、Critical・High脆弱性が報告されている場合は、速やかにパッチを適用してください。

Solid Security等のセキュリティプラグインを導入していない場合は、仮想パッチによるファイアウォール保護を検討されることをお勧めします。

執筆者:宮崎真一

横浜開港記念館での横浜WordPressミートアップで登壇しました

戦略的ウェブ制作工房エルタジェール代表。
WordPress勉強会アドバイザーウェブ解析士SEO検定1級
・生成AIパスポート資格を保有し、デジタル庁デジタル推進委員も務める。WordPress専門のウェブ制作と、データドリブンなSEO・ウェブ解析コンサルティングを提供。「作るだけでなく、数字で成果を出す」をモットーに、中小企業のデジタル成長を支援。

ウェブ解析士協会の公認インタビュー記事でも専門性が紹介されています。

あなたのビジネスのデジタル成長パートナーとして、 売上向上・問い合わせ増加まで伴走します。
お気軽にご相談ください。

プロフィールをみる