わずか48時間で3回更新された理由を徹底解説
Thank you for reading this post, don't forget to subscribe!2026年3月、WordPress コミュニティに小さくない衝撃が走りました。
6.9.2 → 6.9.3 → 6.9.4 と、わずか 48 時間の間に 3 回のマイナーアップデートが連続リリースされたのです。
「自動更新が続いて怖かった」「何が起きていたの?」
そんな声が世界中で上がりました。
この記事では、この異例の連続リリースの背景を、一般ユーザーにも分かりやすく整理して解説します。
第1章:6.9.2(3/10)— 大規模なセキュリティ修正が一気に投入された日
6.9.2 は、合計10件の重要な脆弱性を修正するセキュリティアップデートでした。
🔐 修正された主な脆弱性
- XSS(クロスサイトスクリプティング)
- 権限昇格の可能性
- PclZip のパストラバーサル
- Notes 機能の権限バイパス
- getID3 ライブラリの XXE(XML 外部実体参照)
いずれも放置すれば攻撃に悪用される可能性があるため、
WordPress チームは迅速にパッチを公開しました。
しかし、このスピードが後の混乱につながります。
第2章:6.9.3(3/10)— 6.9.2 適用後に一部サイトが“真っ白”に
6.9.2 を適用した直後、世界中のユーザーから次々と報告が上がりました。
❗ 典型的な症状
- サイトが真っ白になる(Fatal error)
- 管理画面にアクセスできない
- 特定テーマのテンプレート読み込みでエラー発生
原因は、
一部テーマの非標準テンプレート処理と WordPress コアの変更が衝突したこと。
WordPress.org は 6.9.2 を一時撤回し、
緊急修正版として 6.9.3 を数時間以内にリリースしました。
第3章:6.9.4(3/11)— セキュリティ修正の“未適用”が発覚し、再修正へ
6.9.3 でクラッシュ問題は解決しましたが、
WordPress セキュリティチームが調査を進める中で、
6.9.2 で修正したはずの脆弱性の一部が実は適用されていなかったことが判明。
🔍 未適用だった修正
- PclZip のパストラバーサル
- Notes 機能の権限バイパス
- getID3 の XXE
これらはセキュリティ上重要な修正であるため、
翌日 6.9.4 として完全版パッチがリリースされました。
まとめ:なぜこんな異常事態になったのか?
🟦 原因1:修正規模が大きすぎた
10件の脆弱性を一度に修正する大規模パッチだった。
🟥 原因2:テーマ側の非標準コードとの衝突
6.9.2 の変更が一部テーマと噛み合わず、サイトがクラッシュ。
🟨 原因3:セキュリティ修正の一部が未適用
内部 QA の見落としにより、修正が完全に反映されていなかった。
Cocoon ユーザー(あなたの読者)へのアドバイス
- Cocoon は標準準拠なので影響は比較的軽微
- 6.9.4 に更新しておけば安全性は確保される
- 今回の件は「WordPress の裏側」を知る良い機会
- ブログ運営者は自動更新のログを確認しておくと安心
