Scribble at 2025-10-17 15:00:57 Last modified: 2025-10-17 15:09:38

地方公共団体でも細分化された地域の単位で運営されているサイトの多くは、予算がないということで WordPress を採用する割合が高くなっているのだが、いちど納品したらメンテナンスの予算を確保していないところが多いらしく、古いヴァージョンのままで放置されている事例が非常に多い。もちろん、脆弱性を狙われてコンテンツが改竄されたり、あるいはサーバに置かれていながら公開されてはいない様々なファイルが盗まれたりするリスクもあるので、僕らが受託している事例では可能な限りメンテナンスを勧めるようにはしている。

しかし上記のような事例は非常に多い。敢えて具体的なサイトを出すのは気の毒だが、たとえば大阪市生野区の「社会福祉協議会」という社会政策や福祉に関わる団体のサイトは WordPress 5.7.14 で運用（細かい区別だが、僕はサイトのプラットフォームやシステムについて言うときは「運用」と言っていて、コンテンツの管理などを意味するときは「運営」と呼んでいる）されている。ここで注意したいのは、5.7.1 は2021年4月15日のリリースで４年以上も前の古いバージョンだが、5.7.14 はセキュリティ・パッチが追加されているリリースであり、2025年10月3日に更新されている。つまり、5.7.14 は5.7系統（もっと言えば 5.x 系統）の WordPress を使い続けるユーザが利用している、現時点では最新版であるから、5.x 系統であるということだけでリスクがあると言っているわけではない。

しかし、現在のメイン・ブランチの最新版は 6.x 系統の 6.8.3 であり、いくら最新のパッチが当たっているとは言っても 5.7.14 がかなり古いコアのままであることに変わりはない。そして、セキュリティ・パッチが 5.7 系統に提供され続けるとしても、いくつかの懸念は残る。第一に、このサイトでプラグインを使っているなら、そのプラグインがいつまでも対応するとは限らないということだ。どういうプラグインを使っているかまではわからないが、もしプラグインの更新が止まっている場合、プラグインの脆弱性を攻撃されるリスクがある。そして、「プラグインの更新が止まっている場合」という表現には二つの意味があり、一つはプラグインの開発そのものが停止してしまうということ（開発者が開発をやめてしまうこと）だけでなく、そのプラグインのメイン・ブランチが 6.x 系統に移行して、5.x 系統を修正しなくなるということのどちらかだ。

はっきり言うと、ウェブ制作の業界で「WordPress に対応します」などと当社に営業してくるようなコーダやデザイナーで、僕と同じレベルで PHP のプログラムを書ける人間は１万人に１人もいないと思う（そもそも英語で Zend Certified Engineer のように基本レベルの資格すら取れないだろう）。つまり、彼らは WordPress を扱うプロだと自称してはいるが、せいぜいテーマ・ファイルの PHP をこねくり回すのが関の山であって、他人が書いたプラグインのメンテナンスを引き継ぐ能力どころか、WordPress のコア・システムが何をしているか、こういう CMS のデザイン・パターンが何であるかといった、コンピュータ・サイエンスやソフトウェア・エンジニアリングの基本知識すらもっていない、単なるカスタマイズ屋にすぎない。よって、プラグインの開発が止まってしまうと、こういうサイトを納品している業者はたいてい、いま開発が続いているプラグインなどを使って、サイトのリニューアルと称して一切合切を一から作り直そうとする。それしかできないからだ。そして、財務についても一定の理解をしている会社の部長という立場で言えば、それは無能な事業者にサイトの構築を任せて無駄なお金を使うという、ファイナンス上のリスクでもあるのだ。