【WordPress週刊情報】2026年5月4日〜5月10日の最新ニュースまとめ

今週（2026年5月4日〜5月10日）のWordPressに関する最新情報をお届けします。WordPress 7.0のリリースが目前に迫り、プラグイン・セキュリティ両面で動きの大きい一週間となりました。

📢 WordPress公式ニュース

WordPress 7.0 リリース候補3（RC3）が公開されました：5月8日にWordPress.orgニュースサイトから「WordPress 7.0 Release Candidate 3」が公開されました。RC2以降143件以上の問題が修正されており、5月20日の正式リリースに向けた最終テスト段階に入っています。ホスティング事業者・テーマ／プラグイン開発者は最終互換性テストに対応するタイミングです。
参照: https://wordpress.org/news/2026/05/wordpress-7-0-release-candidate-3/

リアルタイム共同編集機能はWordPress 7.0からは外れました：RC3公開と合わせて、当初の目玉機能であった「リアルタイム共同編集」は7.0には含めず、7.1サイクルで再評価する方針が発表されました。導入を期待していたチームは、7.1の動向を引き続きウォッチする形となります。
参照: https://make.wordpress.org/core/7-0/

WordPress 7.0リリースパーティのスケジュール更新：Make WordPress Coreでは、5月20日のリリース当日に向けたコミュニティリリースパーティの更新スケジュールが共有されています。各タイムゾーン担当者の入れ替わりが発表されているため、コントリビュート予定の方はご確認ください。
参照: https://make.wordpress.org/core/2026/04/22/wordpress-7-0-release-party-updated-schedule/

テストチームの週次アップデートが公開：5月5日にMake WordPressから「Test Team Update」が公開され、RC3に向けた回帰テスト・アクセシビリティテストの状況がまとめられました。Webクライアント向けAI APIや管理画面の刷新といった7.0の主要機能の最終チェックポイントが共有されています。
参照: https://make.wordpress.org/updates/2026/05/05/test-team-update-5-may-2026/

🔌 プラグイン・テーマ情報

プラグインチーム週次更新（5月4日）：プラグインレビューチームから5月4日付の活動報告が公開されました。WordPress 7.0でのリストテーブルAPI変更により、独自カラム・フィルター・アクションを追加するプラグインに互換性アップデートが必要となる旨が改めて告知されています。プラグイン作者は早期対応が推奨されます。
参照: https://make.wordpress.org/updates/2026/05/04/plugins-team-4-may-2026/

WordPress.com に AI Assistant とStudio Codeが正式投入：5月8日のWordPress.comブログで、有料プラン全体へのAI Assistantのオプトインアクセス開放、WordPress特化型コーディングエージェント「Studio Code」のベータ提供開始、ショート動画／SNS型ブログ向け新テーマの追加などが発表されました。WordPress.comユーザーには大きなアップデートとなります。
参照: https://wordpress.com/blog/2026/05/08/changelog-assistant-studio-code/

主要プラグインの7.0対応動向：WooCommerce・Elementor・Yoast SEOなど主要プラグインでも、WordPress 7.0のWeb Client AI API、新管理画面UI、リストテーブルAPIへの互換性確認が進められています。本番サイトを運用されている場合は、ステージング環境での事前検証と「Tested up to」表記の確認、本番反映は7.0リリース後1週間程度待つ運用を推奨します。
参照: https://wordpress.org/news/category/releases/

🔒 セキュリティ情報

Breeze Cache プラグインの重大な脆弱性が悪用中（CVE-2026-3844）：人気のキャッシュプラグイン「Breeze」に、未認証で任意ファイルをアップロードできる極めて危険な脆弱性が見つかり、すでに170件以上の悪用試行が観測されています。CVSSスコアは9.8（Critical）で、リモートコード実行・サイト完全乗っ取りの恐れがあります。Breezeをご利用中のサイトは、最新版へのアップデートまたは一時無効化を強く推奨します。
参照: https://www.scworld.com/brief/critical-vulnerability-in-wordpress-breeze-cache-plugin-exploited

Ninja Forms – File Uploads の重大脆弱性（CVE-2026-0740）：「Ninja Forms – File Uploads」に未認証の任意ファイルアップロード脆弱性（CVSS 9.8）が公開されました。リモートコード実行に繋がるおそれがあるため、3.3.27以降への即時アップデートが推奨されます。お問い合わせフォームに同プラグインを利用しているサイトは、優先的に対応してください。
参照: https://www.yorku.ca/uit/infosec/2026/04/14/ninja-forms-wordpress-plugin-vulnerability-cve-2026-0740/

Auto-Install Free SSL プラグインのXSS脆弱性（CVE-2024-13362）：5月3日にWP-Firewallが公開した情報によると、「Auto-Install Free SSL」プラグインのバージョン4.5.0以前に、未認証の反射型XSS脆弱性が確認されています。深刻度はLow〜Mediumですが、4.5.1で修正済のため、利用中サイトはアップデートをご検討ください。
参照: https://wp-firewall.com/critical-xss-in-wordpress-free-ssl-plugin-published-on-2026-05-03-cve-2024-13362

まとめ

今週はWordPress 7.0のRC3公開と、5月20日の正式リリースに向けた最終調整が大きなトピックでした。同時にBreeze CacheやNinja Forms – File Uploadsなど、CVSS 9.8級の重大な脆弱性が複数公表・悪用されており、運用中サイトの早期対応が急務です。エル・タジェールでは、WordPress 7.0アップグレードの事前検証、脆弱性プラグインの棚卸し、緊急パッチ適用など、運用支援メニューでサポートしておりますので、不安のあるサイト運営者さまはお気軽にご相談ください。