WordPress自動更新の安全設定完全ガイド（2025年版）

脆弱性の初動は「更新の早さ」で決まります。一方で、自動更新の無秩序化＝本番障害の引き金にもなり得ます。本稿は、限定的な自動更新を軸に、検証（ステージング）→反映（本番）→監視（通知/ログ）までを、インラインstyleの統一レイアウトで実装手順に落とし込みます。

目次

1. 自動更新の基本設計（結論先行）
2. ダッシュボードでの設定
3. WP-CLIによる一括設定と確認
4. ステージング検証とロールバック
5. 監視・通知・棚卸し（週次運用）
6. 例外ポリシー（除外/ピン留め）
7. ケーススタディ（想定事故と対処）
8. FAQ
9. 内部/外部リンク

1. 自動更新の基本設計（結論先行）

推奨ポリシー（安全寄り）

• コア：マイナーのみ自動（セキュリティ/メンテ）。メジャーは手動。
• プラグイン：重要/信頼度高は自動、影響大の機能系は手動。
• テーマ：子テーマ運用時は自動OFF（意図せぬ上書き回避）。
• 共通：ステージング事前検証、通知＋ログ保全、即時ロールバック手段。

2. ダッシュボードでの設定

2.1 プラグイン/テーマの自動更新ON/OFF

「プラグイン」「テーマ」一覧の各行で自動更新を有効化を切り替え。影響の大きい機能系はまずステージングで。

2.2 コア更新の方針

セキュリティ/マイナーは自動を許容。メジャーは手動＋検証で。

3. WP-CLIによる一括設定と確認

3.1 プラグイン自動更新の一括ON/OFF

# すべての有効プラグインを自動更新ON
wp plugin auto-updates enable --all

# 影響大の特定プラグインのみ自動更新OFF
wp plugin auto-updates disable woocommerce

3.2 テーマ自動更新（子テーマ運用に注意）

# 既定テーマのみ自動更新ON（例：twentytwentyfive）
wp theme auto-updates enable twentytwentyfive

# 子テーマは自動更新OFF推奨
wp theme auto-updates disable my-child-theme

3.3 コア方針（wp-config.phpで制御）

/* コアの自動更新方針：マイナーのみ（安全） */
define('WP_AUTO_UPDATE_CORE', 'minor');

※ 実サイトでは既存の定数/フィルタとの重複設定に注意。

4. ステージング検証とロールバック

4.1 検証の型

• 画面：トップ/商品/決済/問い合わせなど主要導線の手動確認
• ログ：PHPエラー、致命的エラー、404の急増
• 機能：キャッシュ/SEO/セキュリティ系の設定値差分

4.2 ロールバック基本

# 直前の安定版へ差し戻し（例）
wp plugin install contact-form-7 --version=5.8.7 --force

# テーマ/プラグインの差分を確認（改ざん検出にも）
wp plugin verify-checksums --all
wp theme  verify-checksums --all

5. 監視・通知・棚卸し（週次運用）

5.1 週次ジョブの雛形（概念）

# 更新候補の棚卸し
wp plugin list --update=available --fields=name,version,update_version
wp theme  list --update=available --fields=name,version,update_version

# 既知改ざんの検査
wp core verify-checksums
wp plugin verify-checksums --all
wp theme  verify-checksums --all

通知はメール/Slack等に接続。障害時の一次切り戻し手順は台本化しておきます。

6. 例外ポリシー（除外/ピン留め）

• 除外：決済・会員・多言語・ECなど影響大は自動OFF。
• ピン留め：一時的に特定バージョンへ固定。依存関係の整理後に解除。
• テーマ：子テーマ改変がある場合は常時手動更新が安全。

7. ケーススタディ（想定事故と対処）

7.1 事例A：自動更新後にフロントが500

• 封じ込め：メンテナンス表示 → 直近更新プラグインを一時停止
• 復旧：安定版へ差し戻し → キャッシュクリア → 監査ログ保存
• 再発防止：該当プラグインを自動OFF、検証カバレッジを拡張

7.2 事例B：SEO/OGタグが崩れた

• 原因：SEO系/キャッシュ系の更新でテンプレ差分が未反映
• 対処：設定スナップショットから復元 → 差分を子テーマに反映

8. FAQ

Q. すべて自動にしてはいけませんか？

A. 高頻度で壊れにくい小型プラグインは自動に適しますが、決済/EC/会員系は手動＋検証が原則です。

Q. コアのメジャーも自動にできますか？

A. 可能ですが、互換性リスクが上がります。まずはWP_AUTO_UPDATE_CORE='minor'を推奨。

Q. すぐ戻す最短コマンドは？

A. wp plugin install <slug> --version=<v> --forceで差し戻しが実用的です。

9. 外部リンク

• 外部：WP-CLI: plugin auto-updates