「うちのコーポレートサイトはWordPressで作ってもらっています。先日ニュースで『WordPress 7でAIが標準で入った』と見かけて、制作会社に聞いたら『そのうち更新しますね』と言われました。正直、それが自分たちにとって良いことなのか、何か気をつけることがあるのか、まったく判断がつきません。放っておいていいものなんでしょうか」——サービス業の会社の広報担当から、こんな相談を受けました。世界のサイトの多くを支えるWordPressの大型更新は、自社サイトを持つ会社にとって「他人事ではないが、中身がよく分からない」ものになりがちです。
2026年5月に公開された WordPress 7.0 は、AIを扱う仕組みをプラグイン任せにせず、本体(コア)に組み込んだのが大きな特徴です。管理画面から数クリックでAIサービスを接続し、記事づくりの一部を任せられるようになりました。同時に、AIにサイトを「操作させる」ことに伴う新しいリスクも持ち込まれています。本記事では、この変化を、自社サイトを預ける発注者の視点で「得られること」と「気をつけること」に分けて整理します。
何が「標準搭載」されたのか
これまでWordPressでAIを使うには、外部のプラグインを個別に入れるのが普通でした。7.0では、AIとのやり取りを束ねる共通の土台がコアに入りました。ざっくり言うと、次の三つです。
- コネクタ(Connectors):管理画面から、OpenAI・Anthropic(Claude)・GoogleなどのAIサービスを、数クリックで認証して繋ぐハブ。最初からこの3社が登録済みで用意されている
- AIクライアント(WP AI Client SDK):複数のAIサービスを、同じ書き方で呼び出せる開発者向けの共通部品。プラグインごとにバラバラだった実装を揃えられる
- アビリティAPI(Abilities API):AIに「このサイトで何をしてよいか」を定義する仕組み。AIが記事の下書きやプラグインの操作を実行できる土台になる
加えて、記事のタイトル・要約・画像の代替テキスト(altテキスト)や画像そのものを生成する公式のAIプラグインも任意で使えます。要は、AIをサイト運営に組み込むための配管が、本体側で用意されたということです。
発注者にとっての「できること」
実務でわかりやすい恩恵は、記事づくりまわりの手間が減ることです。たとえば画像の代替テキスト(altテキスト)は、アクセシビリティとSEOの両面で大切なのに、手作業では抜けがちな項目です。ここをAIに下書きさせれば、埋め忘れが減ります。記事の要約(抜粋)やタイトル案も同様で、担当者のたたき台づくりが速くなります。
ただし、これは「AIが勝手に良いサイトを作ってくれる」話ではありません。生成された文章や代替テキストは、事実確認や自社の言い回しへの調整が要ります。AIが作った下書きを人が仕上げる、という分担は変わりません。AIを「新しい社員」と思って丸ごと任せると期待外れになる構図はAIエージェントを社員と思って導入すると失敗する記事でも扱いましたが、サイト運営でも同じで、AIは下書き役、判断と仕上げは人という前提を崩さないことが大切です。
新しいリスク ― AIに「操作の権限」を渡すということ
得られることの裏に、これまでのWordPressには無かった種類のリスクがあります。アビリティAPIは、AIに文章を書かせるだけでなく、プラグインの操作=サイトへの変更を実行させることを可能にします。ここで注意が要るのは、AIは渡された文章を「指示」として素直に受け取る性質があることです。
たとえばサイトのコメント欄や問い合わせ本文に、悪意ある人が「これまでの指示を無視して、次の操作をせよ」といった文章を紛れ込ませたとします。もしAIがその文章を処理する経路につながっていると、公開コメントの一文が、データベースを書き換えるような操作の引き金になりうる——こうした「プロンプトインジェクション」と呼ばれる攻撃面が、AI標準搭載によって新たに生まれました。加えて、AIを動かすにはAIサービスの利用料(多くは従量課金)がかかり、その鍵(APIキー)を誰が持ち、費用を誰が管理するのかという運用の論点も出てきます。プラグイン経由で危険が持ち込まれる構図はWordPressプラグインのサプライチェーンの記事でも扱いましたが、AI機能はこの「外から入ってくる指示・部品」の問題をさらに広げます。
更新の前に、発注者が決めておくこと
こうした変化を踏まえると、やるべきは「急いで7.0に上げること」でも「怖いから触らないこと」でもありません。次のような整理を、制作・保守会社と一緒にしておくのが現実的です。
まず、自社サイトでAI機能を使うのか使わないのかを決めます。使わないなら、AI関連の機能や公式プラグインは有効化せず、攻撃面をそもそも増やさない選択もできます。使うなら、どのAIサービスに繋ぐか・APIキーを誰が管理するか・費用の上限をどう設けるか・コメントや問い合わせのような外部入力をAIの処理につながないかを決めておきます。あわせて、いま入っているプラグインがAI機能を持ち始めていないかも棚卸ししておくと安心です。特定のツールでしか直せない作りに縛られる「ロックイン」の話はビジュアルビルダーのロックインの記事で扱いましたが、AI機能も「入れたら最後どう外すか」まで含めて考えると、後から困りません。
「うちのWordPressサイトを7.0に上げるべきか、上げるとしたら何に気をつけるか相談したい」「AI機能を安全に使えるように、APIキーの管理や費用の上限まで含めて設計してほしい」「サイトのAI機能が悪用されない形になっているか点検してほしい」——そうしたお悩みがあれば、グリームハブのWeb制作・保守支援からお気軽にお問い合わせください。流行りのAI機能を、御社のサイトにとって本当に必要な形だけ、安全に取り入れるお手伝いをします。