WordPressは全Webサイトの約43%で使われている。だが「使われている」ことと「最適な選択」であることは違う。
プラグインの更新に追われ、速度改善のためにキャッシュプラグインを入れ、セキュリティのためにWAFプラグインを入れ——そのプラグイン自体が脆弱性の原因になる。この構造的な矛盾に気づいたとき、移行先の候補に上がるのがVercel + Next.jsだ。
この記事では、WordPressの問題点をデータで検証し、Vercel + Next.jsへの移行を判断するための材料を提供する。
WordPressが抱える構造的な問題
セキュリティ:プラグインという攻撃面
Patchstack の 2025年レポート によると、2024年に発見されたWordPressの脆弱性は 7,966件(前年比34%増)。1日あたり約22件のペースだ。
そのうち 96%がプラグインに起因 する。WordPress本体(コア)の脆弱性はわずか7件。つまり問題の本質はWordPress本体ではなく、エコシステムの構造にある。
さらに深刻なのは以下の点だ:
- 43%が認証なしで悪用可能 — ログインすら不要で攻撃できる
- 33%が公開時点でパッチなし — プラグイン開発者が対応しなかった
- 30%に実際の悪用リスク — 理論上ではなく現実の脅威
プラグインを1つ追加するたびに、攻撃面が広がる。平均的なWordPressサイトは20〜30個のプラグインを使っている。
パフォーマンス:プラグインが重ねるレイヤー
各プラグインがJavaScriptとCSSを追加する。問い合わせフォーム、スライダー、SEOツール、アナリティクス——積み重ねた結果、ページの読み込みが遅くなる。
Neodigit の計測データ によると:
| 指標 | WordPress | Next.js |
|---|---|---|
| モバイル Lighthouse スコア | 51% | 86% |
| デスクトップ Lighthouse スコア | 97% | 100% |
| 平均読み込み時間 | 2〜4秒 | 0.5〜1.5秒 |
速度を改善するためにキャッシュプラグインを入れる。そのプラグインが競合を起こす。別のプラグインで対処する——この連鎖がWordPressの構造的な問題だ。
メンテナンス:終わらない更新作業
WordPressの運用には3層の更新が必要だ:
- WordPress本体 のアップデート
- プラグイン のアップデート(20〜30個)
- テーマ のアップデート
プラグインを更新したら既存の機能が壊れた、という経験は珍しくない。更新しなければ脆弱性が放置される。どちらを選んでもリスクがある。
Vercel + Next.jsで何が変わるか
攻撃面がほぼゼロになる
Vercel + Next.jsで静的サイト(SSG)を構築すると、サーバーサイドにPHPが存在しない。SQLインジェクション、リモートコード実行、プラグイン経由の攻撃——これらの攻撃面が構造的に消える。
プラグインがないから、プラグインの脆弱性もない。
VercelのインフラにはDDoS緩和が組み込まれており、HTTPSも自動設定される。セキュリティのために別途プラグインを入れる必要がない。
CDNから直配信される速度
SSGで生成されたHTMLは、Vercelのグローバルエッジネットワークから直接配信される。PHPがリクエストのたびにHTMLを組み立てるWordPressとは根本的に仕組みが違う。
Next.jsの主な速度面のメリット:
- 自動コード分割 — 必要なJavaScriptだけをロード
- 画像の自動最適化 — WebP変換、レスポンシブサイズ、遅延読み込み
- プリフェッチ — リンク先のページを事前に読み込み
キャッシュプラグインで「速くする」のではなく、アーキテクチャとして速い。
GitHubにpushするだけでデプロイ
WordPressのデプロイは、FTPでファイルをアップロードするか、管理画面から操作するか、いずれにしても手動だ。
Vercelでは:
- コードをGitHubにpush
- Vercelが自動でビルド・デプロイ
- 数十秒〜2分で本番に反映
PRを作ればプレビューURLが自動生成される。問題があれば1クリックでロールバックできる。プラグインの更新で壊れたときのような「元に戻せない」恐怖がない。
コストを比較する
月額コスト
| 環境 | 月額 |
|---|---|
| さくらのレンタルサーバー スタンダード | 約425円〜 |
| Xserver スタンダード | 約990円〜 |
| ConoHa WING ベーシック | 約1,452円〜 |
| Vercel Hobby | 無料 |
| Vercel Pro | $20(約3,000円) |
個人ブログなら Vercel Hobbyプラン(無料) で十分だ。100GBのデータ転送、グローバルCDN、自動HTTPSが含まれる。
見えにくいWordPressのコスト
WordPressのホスティング費用は安く見えるが、実際にはプラグイン費用が加算される:
- WP Rocket(キャッシュ): 約$59/年
- Wordfence Premium(セキュリティ): 約$149/年
- UpdraftPlus Premium(バックアップ): 約$70/年
- 有料テーマ: $50〜$200(買い切り)
すべて無料プラグインで代用できるが、無料版は機能制限があり、サポートも限定的。結局、まともに運用しようとすると年間$200〜$400のプラグイン費用がかかる。
Vercelではこれらの機能がインフラに組み込まれている。キャッシュはCDNが担い、セキュリティはプラットフォームレベルで提供され、デプロイのたびにバックアップ相当のスナップショットが残る。
移行すべきでないケース
公平に言おう。Vercel + Next.jsへの移行が 向いていないケース もある。
コードを書きたくない場合
Next.jsはReactベースのフレームワークだ。HTML/CSS/JavaScriptの知識が前提になる。WordPressの管理画面のように、GUIだけでサイトを構築・更新することはできない。
非技術者がコンテンツを更新する必要があるなら、ヘッドレスCMS(Contentful、Sanity、microCMS 等)を組み合わせる必要がある。これは追加の学習コストと、場合によっては追加費用を意味する。
動的機能が多い場合
WordPressのプラグインで実現している以下の機能は、自分で実装するか外部サービスに置き換える必要がある:
- コメント → Giscus / Disqus
- お問い合わせフォーム → Resend / SendGrid + Server Actions
- サイト内検索 → Algolia / Fuse.js
- 会員管理 → Clerk / Auth.js
- EC機能 → Shopify Headless / Stripe
プラグインを入れれば数分で使える機能を、一から構築することになる。動的機能が多いサイトほど移行コストは高くなる。
既存のWordPressで問題がない場合
「別に困っていない」なら移行する理由がない。WordPressは43%のWebサイトで使われている実績があり、コミュニティも巨大だ。現状のサイトがCore Web Vitalsを満たし、セキュリティ対策も十分で、メンテナンスが苦にならないなら、わざわざリスクを取って移行する必要はない。
移行の全体像
移行を決めた場合の大まかなステップを示す。
1. コンテンツのエクスポート
WordPressの管理画面から ツール → エクスポート でXMLファイルをダウンロードする。記事本文、カテゴリ、タグ、公開日などのメタデータが含まれる。画像は別途ダウンロードが必要だ。
2. コンテンツ形式の変換
WordPressのHTMLコンテンツをMarkdown(またはMDX)に変換する。手動でも可能だが、記事数が多い場合は変換スクリプトを書くのが現実的だ。
3. Next.jsプロジェクトの構築
Next.jsでサイトを構築する。ゼロから作る必要はなく、ブログ用のスターターテンプレートが多数公開されている。
4. リダイレクトの設定
これが最も重要なステップだ。 URLが変わるとGoogleのインデックスが無効になり、検索順位が下がる。
next.config.ts で旧URLから新URLへのリダイレクトを設定する:
const nextConfig = {
async redirects() {
return [
{
source: "/2025/01/my-old-post/",
destination: "/blog/my-old-post",
permanent: true,
},
];
},
};
export default nextConfig;
すべての旧URLに対して301リダイレクトを設定すること。1つでも漏れると、そのページの検索トラフィックを失う。
5. Vercelにデプロイ
GitHubリポジトリをVercelに接続すれば、自動デプロイが始まる。DNS設定でカスタムドメインを向ければ移行完了だ。
まとめ
この記事で検証したこと:
- セキュリティ: WordPressの脆弱性は年間約8,000件、96%がプラグイン由来。Vercelは攻撃面が構造的に小さい
- パフォーマンス: WordPress平均2〜4秒 vs Next.js 0.5〜1.5秒。CDN直配信のアーキテクチャ差
- コスト: Vercel Hobbyプランなら無料。WordPressの隠れたプラグイン費用にも注意
- 移行すべきでないケース: コードを書かない人、動的機能が多いサイト、現状で問題がないサイト
- 移行手順: エクスポート → 変換 → 構築 → リダイレクト設定 → デプロイ
WordPressが悪いわけではない。43%のWebサイトを支えている実績は本物だ。ただ、プラグインを積み重ねて速度とセキュリティを維持する構造に限界を感じているなら、Vercel + Next.jsは検討する価値がある。
公式リソース:
- Next.js Documentation — Next.js公式ドキュメント
- Vercel Documentation — Vercel公式ドキュメント
- State of WordPress Security 2025 — Patchstackセキュリティレポート
- WordPress to Next.js Migration (Webcreatorbox) — 日本語の移行体験記