今週(2026年3月22日〜3月29日)のWordPressに関する最新情報をお届けします。
WordPress公式ニュース
WordPress 7.0 リリース候補版(RC1・RC2)が公開
2026年3月24日にWordPress 7.0のリリース候補版1(RC1)が、3月26日にはRC2が相次いでリリースされました。正式リリースは4月9日を予定しています。WordPress 7.0は2026年最初のメジャーリリースとなり、Gutenberg 22.6で実装された多くの新機能が含まれる予定です。ユーザーの皆様はプラグインやテーマとの互換性確認を済ませておくことをおすすめします。
参照: WordPress 7.0 RC2 – WordPress News
my.WordPress.net — ブラウザで動作するプライベートワークスペースが登場
WordPressは新サービス「my.WordPress.net」を発表しました。このサービスを利用すると、ユーザー登録やホスティング契約、ドメイン取得なしでWordPressサイトを立ち上げることができます。作成したサイトはデフォルトで非公開となり、外部からはアクセスできない仕様になっています。手軽にWordPressを試したい方や一時的な作業環境が必要な方に最適なサービスです。
参照: TechCrunch – my.WordPress.net
WordPress.com がAIエージェントによる記事投稿機能を発表
2026年3月20日、WordPress.comはAIエージェントを活用した新機能を発表しました。この機能により、AIがユーザーのウェブサイト上で記事の下書き・編集・公開、コメント管理、タグやカテゴリーの整理などを自動的に行えるようになります。コンテンツ運営の効率化が期待されており、特にコンテンツ量の多いサイトの管理者には注目の機能です。
参照: TechCrunch – WordPress.com AI Agents
開発者向けアップデート(2026年3月)
ブロックエディターに大きな改善が加わりました。リビジョンパネルでは追加されたブロックを緑色、削除されたブロックを赤色、変更されたブロックを黄色でビジュアル表示できるようになり、変更内容を直感的に把握できます。また、インタラクティビティAPIへの新しいwatch()関数追加や、JavaScriptなしでのPHPのみによるブロック登録対応なども含まれています。
参照: What’s new for developers? (March 2026)
🔌 プラグイン・テーマ情報
Yoast SEO 27.2 がリリース
SEOプラグインの定番「Yoast SEO」がバージョン27.2をリリースしました。今回のアップデートではWooCommerceの商品ページにおけるGoogleプレビューの改善が含まれており、評価スコアの表示方法をSERP(検索結果ページ)の表示形式に合わせた5点満点表示へ変更しています。この変更はYoast WooCommerce SEOプラグインがインストールされている場合に適用されます。
参照: Yoast SEO changelog
WooCommerce 緊急セキュリティパッチが公開
WooCommerceのStore APIにおいて重大なフィッシング脆弱性が発見され、バージョン5.4〜10.5.2に影響することが判明しました。すでに修正済みの最新バージョンが公開されていますので、WooCommerceをご利用の方は早急にアップデートを実施することを強くおすすめします。
参照: WooCommerce Store API Vulnerability Patched
WordPress 7.0 RC対応:プラグイン・テーマの互換性テストを推奨
WordPress 7.0の正式リリース(4月9日予定)を前に、プラグイン・テーマ開発者にはRCバージョンを使った互換性テストの実施が呼びかけられています。ブロックテーマ開発では、theme.jsonでの擬似要素サポートやDataViewsの新レイアウト対応など、新機能への対応が求められる変更も含まれています。サイト運営者の方も事前に互換性を確認しておくと安心です。
参照: WordPress Releases
🔒 セキュリティ情報
WordPress 6.9.4 — 10件の脆弱性を修正(重要)
2026年3月10〜11日にかけて、WordPressは24時間以内に3つのセキュリティパッチをリリースし、合計10件の脆弱性を修正しました。主な修正内容は以下の通りです。
- PclZipのパストラバーサル脆弱性(CVE-2026-3907):細工されたZIPアーカイブによる意図しないファイル書き込みが可能な深刻な問題
- ブラインドSSRF脆弱性(CVE-2026-3901)
- getID3ライブラリのXXEインジェクション(CVE-2026-3908):Author権限以上の認証済みユーザーがサーバー上の任意ファイルを読み取れる可能性
- ナビゲーションメニューへの保存型XSS、AJAX認証バイパス
まだWordPress 6.9.4に更新されていない方は、至急アップデートを実施してください。
参照: WordPress Vulnerability Report — March 25, 2026 / WordPress Ships 3 Security Patches in 24 Hours
Contest Galleryプラグインに権限昇格の脆弱性(CVE-2026-4021)
WordPressプラグイン「Contest Gallery」において、未認証のユーザーが管理者アカウントを乗っ取れる可能性のある権限昇格の脆弱性(CVE-2026-4021)が発見されました。このプラグインをご利用の方は、直ちに最新バージョンへのアップデートまたは一時的な無効化を検討してください。
参照: WP-Firewall – CVE-2026-4021
アクセス制御の脆弱性(CVE-2026-4056)
コントリビューター権限以上の認証済みユーザーがコンテンツアクセスルールを操作できるブロークンアクセスコントロールの脆弱性(CVE-2026-4056)が報告されました。影響を受けるプラグインの利用者は最新版へのアップデートが推奨されます。
参照: WP-Firewall – CVE-2026-4056
まとめ
今週はWordPress 7.0のリリース候補版の公開という大きな動きがありました。4月9日の正式リリースに向けて、プラグインやテーマの互換性確認を早めに行っておくことをおすすめします。また、WordPress 6.9.4およびWooCommerceのセキュリティアップデートが相次いでリリースされていますので、まだ更新されていない方は早急な対応をお願いいたします。来週もWordPressの最新情報をお届けする予定です。
