WordPressのアップデートでは本体、プラグイン、テーマのどれから手をつける？問題が起こる理由とは？

この記事は2019年以前他サイトに執筆したものを引越し掲載しています。

WordPressの更新を促すメッセージが、本体、プラグイン、テーマのすべてで出ている場合どれから手をつけるのが正解なんでしょうか？

ググってみると以下のように正反対の意見が見られました。

• 本体→プラグイン&テーマ
• プラグイン&テーマ→本体

この記事ではシンプルにするためにプラグインとテーマは一緒（以下「プラグイン」）として考えます。

本体は親、プラグインやテーマは子のイメージです。子同士のケンカは個別に解決すればいい。では親と子どちらからアップデートすべきでしょうか。

WordPressの中身をいじるようになってまだ2年ほどの意見ですが（サイト管理の経験は20サイト程度）、今のところの結論としてはどちらもあり、だと思います。

結論：どちらもあり。でも私はプラグインからにしている。

ただ個人的には一応システムの下から順番、つまりプラグイン&テーマ→本体の順でやってます。

原則として子（プラグイン）の最新バージョンが親（本体）の最新バージョンについていけているかをプラグインの公式ページなどで確認してアップデートする。

というのがありますが、更新メッセージがたくさん出ているような状態だといちいち調べるのは面倒だったりしますし、プラグインのサポート状況がよくわからないこともあります。

子からアップデートしたほうが問題が発見しやすい

ザクっと本体からアップデートしてもし問題が起きたら、プラグインを一個ずつ切ってどれが問題か確認したり、サーバー・PHPとか他の関連も考える、といったことになります。

でもプラグインからアップデートしていけば、問題が起きたらそこに目をつけて対応すればいいので楽、という考え。

また本体最新に未対応のプラグインがある場合は本体側の更新を保留するほうが現実的と思っています（後述）。

アップデートでどんな問題が起きるの？

アップデートでどんな問題が起こり得るのかです。例えばログインを制御するプラグインがあります。

ログイン時にひらがなを入力したり、URLをデフォルトのwp-loginなどから変更し、悪意の攻撃者から入口をわかりにくくするやつとかです。

こういったプラグインで問題が起こると初心者の場合焦ります。いつもの方法でログインができなくなります。本体とプラグインの親子で「泥棒が狙っているから、玄関はここにしてカギはこうやって管理しようね」って決めていたのに、そのルールが急になくなる感じなので。

この場合FTPなどからサーバーに入ってプラグインの該当フォルダをリネームして無効にするといった対応になります。そういったことに慣れている人は大して問題に感じないですが、ログインできないとかは焦りますよね。

そもそもなぜアップデートで問題が起こるの？

そもそもなぜアップデートで問題が起こるのかというと本体↔プラグインでお互いの意思の疎通が取れなくなるから。

具体的には以下のような形で問題が起こります。

どちらが起こる確率が高いか、また問題が起きた場合厄介か。

まず起こる確率というと前者。プラグイン側が親についていっていない。対応をサボっていたり、サポートをやめたりしているプラグインも多いということ。

逆にプラグイン制作者側がWordPress本体の古いバージョンをそんなにはやく切り捨てて「最新じゃないと機能しませんよ」としていることはほとんどないです。

本体のアップデートをわざと遅らせるパターンもあり得る

アップデートで問題が起こったとして、どちらのバージョンを優先するかってなったら親（本体）に合わせるべきと思いたくなります。つまりプラグイン側を切るか更新を遅らせて対応しようと。ただそのサイトの根幹になるプラグインの場合もあります。

だとしたら本体の更新を遅らせて、その結果脆弱性があっても現実的にやむを得ない。子がついていけないから親を遅らせる、これが仕方のないこともあるということです。

またサーバー絡みで本体がアップデートできないということもあります。WordPressはPHPで動いています。そしてWordPressの最新バージョンは最低このPHPバージョンでないと動きませんというのがあります（最低必須バージョン）。

この条件はけっこう厳しい、というかはやいです。つまり、サーバーが古くて本体がアップデートできないこともけっこうあります（メジャーなレンタルサーバーを使っていればほとんどありません）。

最新バージョンへの更新についてはあまり完璧主義にならずに柔軟に対応することが現実的です。