サイトセキュリティ

WordPress 6.9.2がセキュリティリリース。更新していないサイトは『表示されていても』安心できない

2026年3月、WordPress は 6.9.2 をセキュリティリリースとして公開し、サイト管理者に即時更新を推奨しました。今回の修正には XSS、SSRF、認可回避、XXE などが含まれています。こうした情報を見ると、問題は『脆弱性があること』そのものより、『更新していないまま公開を続けているサイトが残ること』にあると分かります。本記事では、なぜ見た目が正常でも安心できないのか、そして今どこを確認すべきかを整理します。

2026年3月29日8分で読めます

まずは無料で診断してみませんか？

記事を読む前に、あなたの現状を確認できます

サイト診断を始めるプライバシー診断を始める

この記事でわかること

WordPress 6.9.2 はセキュリティリリースとして公開され、即時更新が推奨されている
今回の修正には XSS、SSRF、認可回避、XXE、path traversal などが含まれている
危険なのは『壊れているサイト』より『普通に表示されている古いサイト』である
更新確認とあわせて、公開状態の基本項目も外から見直した方がよい

WordPress 6.9.2 は『すぐ更新してください』という種類のリリースだった

2026年3月10日、WordPress は 6.9.2 をセキュリティリリースとして公開しました。通常の機能追加ではなく、脆弱性修正を含む更新です。公式案内でも、サイトはすぐに更新するよう推奨されています。

ここで大事なのは、WordPress のような広く使われているCMSでは、更新情報そのものがニュースであると同時に、更新が遅れているサイトを見つけやすくする材料にもなりやすいことです。攻撃は『話題になったから始まる』というより、『公開された情報をもとに残っている古い環境を探す』方向で起こります。

出典：WordPress.org『WordPress 6.9.2 Release』（2026-03-10）

今回の修正は軽くない。XSSだけの話ではない

WordPress 6.9.2 の公式リリースでは、Blind SSRF、stored XSS、authorization bypass、XXE、path traversal など複数の問題が修正対象として列挙されています。言葉だけ見ると技術者向けに見えますが、サイト運営者にとって重要なのは『複数の角度から問題が見つかっていた』という事実です。

Blind SSRF
stored XSS
AJAX query-attachments の authorization bypass
PclZip の path traversal
外部 getID3 ライブラリに関する XXE

つまり今回の更新は、見た目の不具合修正ではなく、管理画面・処理系・外部ライブラリまで含んだセキュリティ整理に近いものです。公開サイトを持っている側から見ると、『今回も軽微な更新だろう』と流してよい種類ではありません。

危険なのは『止まっているサイト』より『普通に動いている古いサイト』

サイトの危険性は、見た目では分かりません。トップページが開く、フォームが動く、管理画面にも入れる。そういう状態でも、WordPress 本体や周辺の修正が追いついていなければ、外から見えない部分に問題を残したまま公開されていることがあります。

実際、公開後しばらく経ったサイトでは『制作会社が入れたまま更新されていない』『保守契約が切れて以後は誰も見ていない』『自分のサイトのバージョンを把握していない』という状態が珍しくありません。

『表示されている』は稼働していることの証明であって、『安全である』ことの証明ではありません。

古い系統は、そもそも更新が降ってこないことがある

WordPress は最新バージョンのみをアクティブサポートと案内しており、古い系統についてはセキュリティ更新の扱いが限定されます。さらに 2025年には、4.1〜4.6 系統へのセキュリティ更新提供を終了する方針も公表されました。

この意味は大きいです。古いサイトは『たまたま今回も動いている』だけで、今後も守られる前提には立てません。長く運用しているサイトほど、最新版との差が広がりやすく、知らないうちに守備範囲の外へ出ていることがあります。

今回の話を自分のサイトに引き寄せると、確認すべきは4つある

WordPress のバージョンを把握しているか
今回のセキュリティ更新が適用されているか
更新担当者が実際に決まっているか
公開状態の基本設定を外から確認したことがあるか

ここで最後の項目が意外と重要です。CMSやプラグインの更新は管理画面側の話ですが、公開サイトとして見える状態にも基本的な確認ポイントがあります。たとえば SSL 設定、セキュリティヘッダー、公開サーバーの露出状態です。

サイト診断につながるのは『バージョン判定』ではなく『公開状態の棚卸し』

今回の WordPress 6.9.2 そのものをサイト診断が直接判定するわけではありません。ただ、この手のニュースを見た時に有効なのは、『自分のサイトは外からどう見えているか』を確認することです。

SSL は正しく有効か
セキュリティヘッダーは不足していないか
公開状態として基本的な抜けがないか
長期間、外からの確認をしていない状態ではないか

サイト診断は、WordPress の個別バージョン脆弱性を断定するものではありません。公開状態の基本項目を確認するための入口として使う位置づけです。『更新されているはず』という思い込みを崩すには相性が良いです。

まずやること

管理画面で WordPress の現在バージョンを確認する
6.9.2 以上への更新状況を確認する
外部委託なら、更新実施日と担当者を確認する
そのうえで公開状態を外から診断しておく

情報源

WordPress.org『WordPress 6.9.2 Release』（2026-03-10）
WordPress News / Security category
WordPress.org Documentation『Version 6.8.3』の Security updates 記載
WordPress.org『Dropping security updates for WordPress versions 4.1 through 4.6』（2025-06-19）