WordPressがオワコンになる日——Cloudflareの離反とCMS転換期の現実

Tomoyaのプロフィール写真

Written by

Tomoya

Support AI: Perplexity

インターネット上のサイトの約42.5%を動かしているWordPress。そのシェアはピーク時の65.2%(2022年)から継続的に低下しており、2026年に入ってその原因がはっきりしてきました。

ガバナンスの崩壊、セキュリティの悪化、そしてCloudflareによる公式WordPressプラグインの実質的な放棄——この三重の打撃が重なり、少なくともエンジニアが新規で選ぶCMSとしては、WordPressの優位性は急速に失われています。

Cloudflareが「Astro寄り」になっている件

Wordpress -> Cloudflare Astro

まずこの話から入りたいと思います。

CloudflareはWordPress向けの公式プラグインを長年提供してきましたが、2025年ごろからWordPress.orgのレビューに「Cloudflareはこのプラグインを十分にサポートしていない。今後もメンテナンスを続けるつもりはなさそう」という趣旨の批判が目立ちはじめました。WordPress 6.7以降の動作不全も複数報告されており、GitHubのissue trackerにも未解決の互換性問題が積み上がっています。

一方でCloudflareの公式ドキュメントはAstroのデプロイ手順を積極的に案内しており、Cloudflare Pages上でのAstroサイト構築に関するガイドは整備・更新され続けています。

これは偶然ではありません。CloudflareのビジネスとしてのベットはPHPサーバー(WordPress)ではなく、Cloudflare WorkersとEdge Computingを活用した静的/サーバーレスアーキテクチャにある。Astroはそのアーキテクチャと完璧に噛み合うフレームワークです。WordPressへの投資を縮小し、モダンJAMstackエコシステムへ投資を集中する方向性が、行動として表れているとみるのが自然です。

Matt Mullenwegが引き起こした「ガバナンス危機」

One Man Controls

2024年9月のWordCamp USで起きた出来事は、WordPressコミュニティに取り返しのつかない亀裂を入れました。

Automattic CEOのMatt Mullenwegが、商用ホスティングサービスWP Engineを「WordPressのがん」と公開批判したのです。WP EngineがAutomatticと同等の収益(約5億ドル)を得ながら、WordPressへのコントリビューションが週わずか40時間(Automatticの3,900時間に対して)に過ぎないという主張でした。

これは訴訟に発展します。WP EngineはAutomatticとMullenwegを「商標ライセンス料として収益の一定割合を要求したことが恐喝に相当する」として提訴。2024年12月には裁判所がWP EngineのWordPress.orgへのアクセス回復を命じる仮処分を発令しました。

さらに2025年1月、MullenwegはフォークCMSを検討していたコントリビューター5名のWordPress.orgアカウントを一方的に停止します。その中にはYoast SEOの創設者Joost de Valkも含まれていました。

Automatticの動きはここで止まりませんでした。

2024年10月、方針に同意しない社員に希望退職を募り約159名が退職。2025年4月にはさらに16%、約280名のレイオフを実施しました。そしてMullenwegはWordPressコアへのAutomatticのコントリビューションを、週3,539時間からWP Engineと同水準の45時間へと大幅削減。GutenbergやPlaygroundといった主要開発が事実上停滞しました。

一人の人物があらゆる公式インフラを支配している構造——これが長年のコアコントリビューターたちが連名で問題視した点です。オープンソースの名のもとで、実態は非常にクローズドな権力構造だったことが露わになりました。

セキュリティ問題は「毎日22件」のペースで積み上がっている

Wordpress Security

WordPressのセキュリティ問題はずっと以前からありましたが、2024年〜2025年の数字は別次元です。

Patchstackのデータによれば、2024年のWordPressエコシステムでは年間7,966件の新規脆弱性が発見されました。1日平均22件です。脆弱性の96%はプラグインに起因しています。

しかも、2025年に開示された脆弱性の46%は公開時点で修正済みパッチが存在しないという状況です。プラグイン開発者が対応する前に脆弱性情報が公開されてしまうケースが多く、WordPress.orgのリポジトリから削除された脆弱プラグインは2024年だけで1,614件に上ります。

重大事例としては、2025年に認証なしで管理者権限を奪取できるCVSSスコア9.8のCritical脆弱性(CVE-2025-4631)が発覚。10万以上のサイトにインストールされているSureTriggerプラグインでも認証バイパスが確認されています。

WordPressサイト運営者を対象にした2025年のサーベイでは、回答者の96%が「少なくとも1件のセキュリティインシデントを経験した」と回答し、64%が「完全な侵害(ブリーチ)を経験した」と回答しています。

それで、Astroはどうなのか

Astroが選ばれる理由は「流行っているから」ではなく、設計の根本が違うからです。

Astroは「アイランドアーキテクチャ」を採用しています。インタラクティブな部分にのみJavaScriptを使い、それ以外は純粋な静的HTMLを生成する。これにより、Cloudflareのエッジネットワーク(全世界300以上の拠点)から直接HTMLが配信されます。

WordPressのような「リクエストのたびにPHPとMySQLが動く」構造とは根本的に違います。

項目WordPressAstro + Cloudflare Pages
ページ読み込み速度1〜4秒(サーバーレンダリング)サブ秒(CDNから静的HTML)
セキュリティ頻繁なパッチ必要・プラグイン脆弱性攻撃対象となるサーバー・DBなし
メンテナンスCore・テーマ・プラグインの定期更新ほぼゼロ
ホスティングコスト月5〜50ドル以上無料(Cloudflare Pagesの無料枠)
セキュリティリスク年間7,966件以上の脆弱性エコシステム静的ファイルのため攻撃面がほぼない

Cloudflare Pagesの無料枠はリクエスト・帯域幅ともに無制限です。月500回のビルドも無料です。WordPressの月額ホスティング費用(最低でも数百円〜数千円)がそのまま消えます。

「WordPressが得意な人」はまだWordPressでいい

Do not use wordpress?

誤解を避けるために書いておきたいのですが、WordPressがすぐに消えるわけではありません。

非技術者がビジュアルエディタで日常的に更新するサイト、WooCommerceによるEC機能を使っているサイト、WordPressに精通したチームが保守しているサイト——こういうケースでは引き続きWordPressは合理的な選択です。

WordPressのCMS市場シェアが2030年までに55%程度(現在の61%から低下)になるという予測もありますが、それでも過半数のシェアです。完全な終焉ではなく、「新規でエンジニアが選ぶ理由がなくなってきた」という変化です。

ただ、技術的に判断できる立場にある人が、今から新しいブログやサイトをWordPressで作る理由はほぼないと思います。

まとめると

  • WordPressのCMS市場シェアは2022年ピーク(65.2%)から継続的に低下中
  • Cloudflareは公式WordPressプラグインのメンテナンスを事実上縮小し、Astroのサポートを強化している
  • Matt Mullenwegによるガバナンス危機でコミュニティが分裂、Automatticは280名をレイオフ
  • 2024年に年間7,966件の脆弱性が発見、46%は開示時点で未修正
  • Astro + Cloudflare Pagesは無料・高速・ゼロセキュリティリスクの代替スタック

CMSの転換期はゆっくり、でも確実に進んでいます。