WordPress 4.7と4.7.1の脆弱性を狙ったキャンペーンで大変なことになっているみたいですが、対策はかんたん！ 4.7.2にバージョンアップすることです。

そうではなくて、この記事では WordPress のバージョンと自動更新についてしっかりおさえておきましょう。

メジャーバージョンとマイナーバージョン

WordPress のメジャーバージョンは整数部と小数点、小数点第一位で標記されます。例えば、3.5や3.9がメジャーバージョンであり、本記事執筆時点の最新メジャーバージョンは4.7となっています。 なお、小数点が0である（ex. 4.0）からといって、特に意味はありません。3.9や4.1と同等の扱いとなります。

メジャーバージョンはユーザー向けの新機能と開発者向けの API を追加するためにリリースされます。バグの修正などもありますが、主目的はユーザー体験や機能性の向上となっています。

WordPress のマイナーバージョンは二つ目の小数点（ないしドット）に続く数字で標記されます。例えば、4.2.12や4.6.3がマイナーバージョンであり、4.7はメジャーバージョンです。本記事執筆時点の最新マイナーバージョンは4.7.2となっています。

マイナーバージョンは専らセキュリティ脆弱性の修正とクリティカルなバグの対処のためにリリースされます。

参考：Version Numbering | Make WordPress Core

なお、メジャーバージョンのリリースは、3-4ヶ月に一度というサイクルに始まり、4-5ヶ月に一度を経て、WordCamp US 2017 にてリリースサイクルという考え方そのものがなくなるとアナウンスされました。

WordPress の自動更新

正式名称を自動バックグラウンド更新機能といい、自動的に WordPress 本体のファイルの更新を行うもので、WordPress 3.7 から導入されました。デフォルトの状態では、上述のマイナーバージョンのリリースおよび翻訳ファイルの更新を自動的に行うようになっています。

最初の頃は律儀に午前7時と午後7時のいずれかに更新をしてくれていましたが、いつの頃からか時間がいい加減になった気がしますが、ソースを追ってないので原因はわかりません（追えよ…）。

使用するサーバー環境において自動更新が可能かどうかは、Background Update Tester プラグインを使うことで検証することが可能（なはず…なぜなら長らく更新されていないから）です。

wp-config.php に以下のように記述することで、設定を変更することが可能です。

# マイナーリリースのコア更新を有効化 (デフォルト):
define( 'WP_AUTO_UPDATE_CORE', 'minor' );

# マイナーリリース、メジャーリリースを含むすべてのコア更新を有効化:
define( 'WP_AUTO_UPDATE_CORE', true );

# すべてのコア更新を無効化 (オススメしてませーん！):
define( 'WP_AUTO_UPDATE_CORE', false );

従って、基本的には自動更新ができる環境においては、自動更新を無効になどせず、デフォルトの状態のままマイナーバージョンの自動更新ができるようにしておけば、セキュリティ脆弱性の修正やバグフィックスを受けることができます。

かなり古くから運用しているサイトの一つを true にしてメジャーバージョンの自動更新も行っていますが、不具合が出たことは一度もありません。結局、大事なのは無茶な作りにしないことだと思います。

……き…こえますか…… 今… あなたの…心に…直接… 呼びかけています…保守契約を結んでいるにせよ…いないにせよ…そのサイトを守れるのは… WordPress を設置・設定した…あなただけです…自動更新を…有効にするのです…いいですか…有効にするのですよ……

……なお、サーバー環境に十分なパワーがないと、自動更新がコケるという悲しい報告も聞いています。そういう環境は PHP のバージョンなども古かったりするでしょうから、この際 PHP 7 が使える新しい環境に移ってしまいましょう。

この記事は AMIMOTO の提供でお送り致しました（宣伝費はいただいておらず、むしろ使用料をお支払いしています）