WordPress 7.0：史上最強更新，卻在市場最脆弱的時刻來臨

在最不穩定的時機，交出最大膽的版本

WordPress 7.0 上線的時機，有一點微妙。

一邊是讓人眼睛一亮的更新清單：原生 AI 架構、全新後台、行動裝置設計自由化⋯⋯每一項單獨拿出來都值得寫一篇文章。另一邊是 W3Techs 剛公布的數據：從 2025 年 12 月到 2026 年 5 月，WordPress 的全球市佔率從 43.20% 掉到 41.90%，六個月跌了 1.1 個百分點。

1.1% 聽起來不多，但換算成真實網站數量，那是數以十萬計的網站離開了 WordPress。

同一時間，安全研究人員在 7.0 的 AI 設定表單裡找到了一個具體漏洞——而且它夠基本、夠直接，讓人很難假裝沒看到。

所以這篇文章要做的事很簡單：把 WordPress 7.0 的全貌說清楚。好的是什麼，壞的是什麼，以及你現在最應該做的一件事。

第一部分：WordPress 7.0 更新了什麼？

先說讓人想馬上升級的部分。

後台終於不像 2012 年的設計了

7.0 帶來了「現代管理佈景主題」。不只是換個配色——整個介面的對比度、字體、視覺層次都重新梳理了，操作起來確實比之前清爽。

切換後台頁面時，新增了平滑的過渡動畫（View Transitions）。這是個小細節，但每天在後台穿梭的人會感受到。

後台頂端工具列加入了指令面板，按 ⌘K（Mac）或 Ctrl+K（Windows）就能從任何頁面快速呼叫工具，不用再七層選單找設定。

字體管理有了獨立的畫面，區塊主題、混合主題、傳統主題都適用，結束了以前「不知道字體設定在哪個外掛裡」的日子。

版本修訂現在有視覺化滑桿，可以在編輯器裡直接對比兩個版本的差異，不用打開舊版頁面慢慢找改了哪裡。

行動裝置設計，真的交回設計師手中了

7.0 允許直接用區塊和樣式自訂行動裝置的選單覆蓋層，包括自訂關閉按鈕的樣式。過去手機版漢堡選單幾乎是動不了的黑盒子，現在可以從視覺上完全改變它的樣子。

編輯者可以設定特定區塊「只在手機上顯示」或「只在桌機上顯示」，並在列表檢視中看到標示。對做響應式設計的人來說，不用再靠 CSS hack 解決了。

Gallery 區塊現在支援燈箱（Lightbox）效果，另外也增加了文字縮排、多欄文字、區塊層級的自訂 CSS。

使用者角色設定的一個重要修正

在新用戶角色的預設選項中，7.0 把「管理員」和「編輯」從下拉選單中移除了。這個改動防止網站主在設定時不小心讓新用戶直接拿到核心權限。看起來很小，實際上踩了一個實用的剎車。

第二部分：AI 整合 —— WordPress 把賭注押在這裡

這是 7.0 最核心的改變，也是最值得認真看待的部分。

WordPress 原本計畫在這個版本推出即時協作功能（發展藍圖第四階段），最後延期了。取而代之的，是整套 AI 基礎建設的架構。這個決策不是妥協，是平台對未來方向的主動宣示。

AI 架構由四個核心元件組成：

WP AI Client：
統一的 AI 介面層。外掛開發者不用再為 OpenAI、Anthropic Claude、Gemini 各自寫一套對接邏輯，接上這個客端就能調用各家模型。

Client-Side Abilities API：
讓 AI 能在瀏覽器端直接操作 WordPress——插入區塊、操作後台導覽、執行指令。AI 不再只是在後台吐出文字，它可以「動手做事」了。

AI Connectors Screen：
設定頁面中的統一金鑰管理介面。所有 AI 服務的 API 金鑰都在這裡輸入和管理，不再分散在各個外掛裡。

Connectors API：
上述介面的技術底層，處理各供應商的驗證邏輯，也為未來更複雜的 AI 代理人（Agents）打下標準化基礎。

這四件事合在一起，意味著 WordPress 已經把 AI 視為基礎建設，不是附加功能。

第三部分：資安專家拉響的那個警報

AI 整合很好，但它帶來了一個以前不存在的問題：你的網站現在存著比以前值錢得多的東西。

AI API 金鑰（OpenAI、Anthropic、Gemini 那些）是付費制憑證。一把被盜的金鑰可以用來批量建立社群媒體機器人、發動網路釣魚攻擊、甚至編寫惡意軟體。受害的不只是網站主的帳單——連帶的資安損失往往更大。

安全公司 Patchstack 創辦人 Oliver Sild 直接點出：隨著 WordPress 跟 LLM 整合越來越深，WordPress 漏洞的「獲利價值」大幅提升，會吸引更多、更有技術能力的攻擊者專門針對 WordPress。

而且，研究人員在 7.0 的 Anthropic 整合設定表單裡找到了一個具體問題：表單允許瀏覽器自動填入 API 金鑰，導致金鑰以純文字形式出現在下拉選單中。螢幕共享時、在公用電腦上、或是任何有瀏覽器存取權限的人，都可能看到金鑰全文。

WordPress 共同創辦人 Matt Mullenweg 對此表示，維護良好的網站是安全的 —— 這是事實，但同時也迴避了問題的核心：WordPress 現有的外掛信任模型與權限架構，在設計時根本沒有考慮過「網站會儲存高價值 AI 憑證」這個情境。 惡意程式碼可以直接從網站內部調用 API。沒有架構層面的翻修，很難從根本解決金鑰外洩的風險。

第四部分：市佔率連跌六個月，這不是小事

說完功能，說說背景。

根據 W3Techs 的數據，WordPress 的市佔率在 2022 到 2024 年間大致穩定在 43% 左右。但從 2025 年開始出現輕微衰退，年底加速下滑：2025 年 12 月是 43.20%，到了 2026 年 5 月已跌至 41.90%，六個月內掉了 1.1 個百分點。

同一時期，Shopify、Wix、Squarespace 都有小幅成長。新興框架 Astro 的下載量則呈現指數級增長。

這波下滑的主要原因，業界分析指向 Matt Mullenweg 自 2024 年下半年起，與託管商 WP Engine 的公開衝突。他的舉動包括：限制 WP Engine 用戶進行網站更新、要求 WordPress.org 貢獻者勾選「與 WP Engine 無任何關聯」的聲明，以及直接複製 WP Engine 旗下的付費外掛並免費釋出。

這些行動引發了社群和業界廣泛的負面反應。許多開發者和顧問表示，因為對管理層失去信任，已停止向客戶推薦 WordPress。

讓人有點諷刺的是：7.0 本身是一個很紮實的版本。但它上線的時機，是 WordPress 社群信任度最低、平台市佔率剛開始鬆動的時刻。功能再好，也得先重建一部分人心。

你現在應該怎麼做？

不是叫你不要升級。7.0 在功能面是真的很扎實。但升級前，有幾件事值得先處理：

1. 為你的 AI API 金鑰設定每月消費上限 —— OpenAI、Anthropic、Google 都支援這個設定，這是第一道也是最簡單的防線。
2. 不在公用電腦或螢幕共享時開啟後台 AI 設定頁面 —— 目前已知的瀏覽器自動填入問題，在這些情境下最危險。
3. 定期檢查 API 使用量 —— 異常的用量是金鑰被盜最早出現的訊號。
4. 更謹慎地審核外掛來源 —— AI 整合的核心就是讓外掛更輕易地調用 AI，惡意外掛的破壞力比以前更大。
5. 留意社群後續動向 —— Mullenweg 與 WP Engine 的爭議目前仍有影響，這個生態系統的穩定性，值得長期追蹤。

常見問題（FAQ）

Q：WordPress 7.0 的 AI 功能需要付費嗎？
A：WordPress 本身免費，但 AI 功能需要你自己去各家 AI 服務（OpenAI、Anthropic 等）申請 API 金鑰，並按使用量付費。金鑰費用由各服務商收取，不通過 WordPress。

Q：AI API 金鑰被盜會造成多大損失？
A：視使用量而定。在設定消費上限之前，一把外洩的金鑰可能在幾小時內產生數百至數千美元的意外費用，被用來大量生成內容或建立機器人。

Q：WordPress 市佔率下滑，我現在還值得投資 WordPress 網站嗎？
A：41.90% 仍是全球 CMS 最大的市佔率，遠超其他競品。短期波動不代表平台崩潰，但若你依賴特定外掛生態或特定託管商，建議持續關注社群走向。

這個版本，WordPress 押上了它的下一個十年

WordPress 7.0 選擇把 AI 當作基礎建設，而不是噱頭。這個決定，是平台面對 Wix、Webflow、Framer 這些後起之秀壓力下，做出的一個清晰賭注。

但市佔率數據告訴我們，技術面的進步，追不上信任面的損耗。7.0 要真的贏，需要的不只是更好的功能，還需要 WordPress 社群相信這個平台還值得長期投入。

AI 金鑰等同於現金。在 WordPress 7.0 的世界裡，這句話值得每個網站主記住。