今年の初め、ある建設会社の総務部長から相談を受けました。「うちのホームページが変な表示になっていて、お客さんから電話がかかってきた」という内容です。
実際に見てみると、トップページにまったく関係のない英語のテキストとリンクが大量に挿入されていました。いわゆる改ざんです。WordPressのバージョンは古いまま止まっていて、プラグインも3年間更新されていませんでした。管理画面のログイン履歴を調べると、海外のIPアドレスからの不正ログインが2ヶ月前から続いていた形跡がありました。
そのサイトは5年前に80万円で制作したものでしたが、制作会社との保守契約は「月額が高い」という理由で1年目に解約していたそうです。結果、改ざんの復旧に25万円、セキュリティ対策の再構築に15万円、合計40万円の緊急対応費がかかりました。年間の保守費用を月1万円とすると5年間で60万円。どちらが安かったかは明白です。
Webサイトは作って終わりではなく、公開してからが本番です。それにもかかわらず、制作には予算をかけるのに、公開後のメンテナンスには予算をつけない企業がまだ多いのが実情です。この記事では、Webサイトの保守と運用の違い、放置した場合に起きること、月次でやるべき保守項目、外注の費用相場、自社運用と外注の判断基準までをまとめて解説します。
「保守」と「運用」の違い
「保守」と「運用」はセットで語られることが多いですが、やっていることは別物です。まず言葉を整理します。
保守は「守り」にあたります。サイトが安全に、正常に動き続ける状態を維持する仕事です。
- CMSやプラグインのアップデート
- セキュリティパッチの適用
- サーバーの稼働監視
- バックアップの取得・管理
- SSL証明書の更新
- ドメインの更新管理
- 障害発生時の復旧対応
運用は「攻め」にあたります。サイトを使ってビジネスの成果を出していくための活動です。
- コンテンツの追加・更新(ブログ、事例、お知らせ)
- アクセスデータの分析と改善施策
- SEO対策の継続
- 問い合わせ導線の改善
- ABテストの実施
- SNSやメルマガとの連携
保守は「壊れないようにする仕事」、運用は「もっと良くする仕事」と整理できます。どちらか片方だけでは不十分で、両方そろって初めてサイトが「生きた資産」として機能します。
ところが実態としては、制作会社が提供する「保守プラン」の多くは、上の保守項目の一部をカバーしているだけで、運用の領域はノータッチというケースが目立ちます。逆に、社内で「サイト運用」をしている企業は、ニュースの更新はするものの、セキュリティアップデートには手をつけていないことが多い。保守と運用のどちらかが抜け落ちているケースがほとんどです。
WordPressを放置する3つのリスク
日本の企業サイトの多くがWordPressで構築されています。W3Techsの調査によると、世界のWebサイトの約43%がWordPressを利用しており、日本国内に限ればさらにシェアが高い傾向があります。
WordPressは優秀なCMSですが、放置するとリスクが膨らみます。大きく3つに分けて見ていきます。
リスク1:セキュリティの脆弱性
これが最大のリスクです。
WordPressはオープンソースのため、脆弱性が発見されると世界中に公開されます。つまり、アップデートを適用しなければ「ここに穴がある」と公表されたまま放置しているのと同じ状態になります。
IPA(独立行政法人情報処理推進機構)の報告によると、CMSに関する脆弱性の届出は継続して発生しています。WordPress本体だけでなく、プラグインやテーマの脆弱性も攻撃の入口になります。
冒頭の建設会社のケースでは、古いバージョンのプラグインに存在していた脆弱性が攻撃の起点でした。プラグインを一つ更新していれば防げた事故です。
改ざんされたサイトがGoogleにインデックスされると、検索結果に「このサイトはコンピュータに損害を与える可能性があります」という警告が表示されることがあります。こうなると企業の信用問題に直結します。復旧しても、検索エンジンからの信頼を回復するのに数週間から数ヶ月かかることもあります。
リスク2:プラグインの互換性崩壊
WordPressは本体・テーマ・プラグインの三層構造で動いています。本体がバージョンアップすると、テーマやプラグインとの互換性が崩れることがあります。逆に、プラグインだけ先に更新すると他のプラグインと干渉することもあります。
厄介なのは、「何もしていないのに突然壊れる」ように見える点です。実際にはサーバー側のPHPアップデートが引き金だったり、プラグインの自動更新が走って他のプラグインと競合したりと原因は必ずあるのですが、日常的に管理していないと何が起きたのか特定できません。
ある製造業のクライアントでは、サーバー会社がPHPを強制アップデートした翌日に、サイトが真っ白になりました。原因は新しいPHPバージョンに非対応だった古いプラグインでした。PHPの互換スケジュールは公式サイトで公開されており、PHP 7.4のセキュリティサポートは2022年11月に終了しています。つまり、PHP 7.4以下で動いているWordPressサイトは、いつサーバー側の強制アップデートで動かなくなってもおかしくありません。
リスク3:PHP・サーバー環境の非対応
上の話と地続きですが、もう少し踏み込みます。
WordPressの各バージョンには推奨PHPバージョンが設定されています。WordPress 6.x系はPHP 7.4以上を要求し、PHP 8.2以上を推奨しています。
PHP 7.4以下で動いているサイトは、WordPress本体のアップデートすらできなくなる日が近づいています。かといってPHPだけ上げるとプラグインが動かなくなる。プラグインを更新しようとすると、今度はテーマとの互換性が問題になる。こうした連鎖が起きます。
この状態になると「部分的な修正」では済まず、WordPress本体・テーマ・プラグイン・PHPバージョンを一括で対応する大がかりな作業になります。定期的に少しずつ更新していれば1回30分で終わる作業が、3年放置すると丸1日から数日の工数になる。費用にすると10万円以上かかるケースも珍しくありません。
月次でやるべき保守項目チェックリスト
では、具体的に毎月何をすればよいのか。クライアントに提案している月次保守のチェックリストを紹介します。
必須項目(最低限これだけは行う)
| 項目 | 頻度 | 内容 |
|---|---|---|
| WordPress本体の更新 | 月1回 | マイナーアップデートは速やかに。メジャーアップデートはテスト環境で動作確認後に適用 |
| プラグインの更新 | 月1回 | 更新前にバックアップ取得。更新後に主要機能の動作確認 |
| テーマの更新 | 月1回 | カスタマイズ部分が上書きされないよう子テーマ運用を徹底 |
| バックアップ取得 | 週1回以上 | データベースとファイル一式。最低2世代分は保持 |
| セキュリティスキャン | 月1回 | Wordfence等のプラグインで不正アクセスやマルウェアの有無を確認 |
| SSL証明書の有効期限確認 | 月1回 | Let’s Encryptなら自動更新だが、更新が正常に走っているか目視チェック |
| サイト表示確認 | 月1回 | 主要ページをPC・スマホで実際に開いて表示崩れがないか確認 |
推奨項目(できれば行いたい)
| 項目 | 頻度 | 内容 |
|---|---|---|
| サーバーのディスク容量チェック | 月1回 | バックアップやログが溜まって容量不足になることがある |
| 404エラーの確認 | 月1回 | Google Search Consoleでリンク切れページを確認し、リダイレクト設定 |
| ページ表示速度チェック | 月1回 | PageSpeed Insightsで主要ページを測定。LCPが2.5秒以上になっていたら要対応 |
| PHPバージョン確認 | 四半期ごと | サーバーのPHPバージョンがサポート期限内か確認 |
| ドメイン更新期限の確認 | 年2回 | 自動更新設定していても、クレジットカードの有効期限切れで失効するケースがある |
| Google Analytics・Search Consoleの異常値チェック | 月1回 | アクセスの急増減、インデックス数の変動がないか |
表示速度の改善については、具体的な手順をサイト表示速度の改善方法|Core Web Vitals対策ガイドで詳しく解説しています。SSL対応やセキュリティ対策の詳細はSSL対応・セキュリティ対策|中小企業のWebサイトを守る方法を参照してください。
このリストを見て「こんなに毎月やるのか」と感じた方もいると思います。ただ、慣れれば全部合わせて月2〜3時間程度の作業です。3年放置して突発的に40万円の復旧費を払うか、毎月2時間の定期メンテで安全を保つか。負担の差は明らかです。
保守を外注する場合の費用相場
自社に技術者がいない場合、保守は外注することになります。費用感を整理します。
| プラン | 月額費用 | 対応範囲 |
|---|---|---|
| 最低限プラン | 月5,000〜1万円 | WordPress・プラグイン更新、バックアップ、死活監視 |
| 標準プラン | 月2〜5万円 | 上記に加え、テキスト修正(月数回まで)、SSL管理、セキュリティ監視 |
| フルサポートプラン | 月5〜10万円 | 上記に加え、デザイン修正、ページ追加、月次レポート、改善提案 |
Web制作の業界団体である日本WEBデザイナーズ協会(JWDA)のアンケートでも、中小企業向けの保守運用費は月額1〜5万円が最も多い価格帯とされています。
注意したいのは、「月額5,000円」のプランが何をカバーしているかという点です。更新作業だけが対象で、更新によって不具合が出た場合の対応は別途費用、というケースがあります。契約前に「何が含まれていて、何が別料金なのか」を必ず確認しておくことが望ましいです。
もう一つ大事な点として、サーバーやドメインの契約名義が制作会社になっていないかも確認しておきたいところです。制作会社との契約を解除したときに、サーバーやドメインの移管がスムーズにいかず、最悪の場合サイトが消えるリスクがあります。自社名義で契約するのが原則です。
費用対効果の考え方
「月2万円の保守費用」をコストと見るか、保険と見るか。
仮にサイト経由の問い合わせが月10件、そのうち受注が月2件、平均受注単価が50万円だとします。月の売上貢献は100万円です。このサイトが改ざんされて2週間ダウンすると、単純計算で50万円の機会損失。加えて復旧費用が30〜50万円かかります。
月2万円の保守費用は年間24万円です。2週間のダウンタイム1回で100万円近い損失が出る可能性を考えれば、保守は「コスト」ではなく「投資」と捉えられます。
運用で成果を出すための基本施策
保守が「守り」だとすれば、ここからは「攻め」の話です。サイトを持っているだけでは売上は生まれません。運用して初めて成果が出ます。
やるべきことは大きく3つあります。
1つ目は、コンテンツの定期更新です。ブログ記事、事例紹介、お知らせを月2〜4本のペースで追加します。Googleは定期的に更新されるサイトを評価する傾向があります。ただし「更新すればいい」わけではなく、検索キーワードを意識した構成で、読者にとって有益な情報を書くことが前提です。
2つ目は、アクセスデータの月次レビューです。GA(Google Analytics)とGoogle Search Consoleを月1回は確認します。セッション数の推移、主要ページの直帰率、CVR、検索クエリを見ていきます。数字を「見る」だけで終わらせず、「次のアクション」につなげることが重要です。たとえば「このページの直帰率が先月から15%上がった。ファーストビューを変えてABテストしよう」という具合に、月次で思考を回していきます。
3つ目は、問い合わせ導線の見直しです。CTAボタンの文言と配置、フォームの入力項目数、スマホでの操作性を定期的にチェックします。フォームは「名前」「メールアドレス」「相談内容」の3項目に絞れないか検討してみてください。項目が1つ減るだけでCVRが変わることは珍しくありません。
自社運用と外注の判断基準
| 判断軸 | 自社運用向き | 外注向き |
|---|---|---|
| Web担当者 | 兼任でもいて、WordPress操作に抵抗がない | いない、または技術知識が不十分 |
| 更新頻度 | 月2〜4回。テキスト修正やブログ投稿が中心 | 更新に加えて改善提案やデータ分析もほしい |
| セキュリティ | 手順を教われば自分で対応できる | 自分たちで対応する自信がない |
| サイトの重要度 | 問い合わせの一部がサイト経由 | サイト経由の売上が事業の柱 |
自社運用のメリットはスピードです。「この文言を今日中に直したい」をすぐ実行できます。デメリットは属人化のリスクと、セキュリティ更新に一定の技術知識が必要な点です。
外注のメリットは、プロの目で定期的にサイトの状態をチェックしてもらえる点です。デメリットはコストですが、事故時の復旧費用と比較すれば、月数万円の保守費は保険として合理的な水準だと考えられます。
クライアントに最も多く提案しているのは、保守は外注・運用は自社(外注のサポートつき)のハイブリッド型です。セキュリティアップデートやバックアップは外注に任せ、コンテンツ更新やブログ投稿は自社で行う。月次のアクセスレポートは外注から送ってもらい、改善施策は一緒に考える。月額2〜5万円の保守プランと自社の運用工数(月2〜3時間)で回せるため、Web専任者がいない中小企業にとって現実的なバランスです。
保守・運用で見落としがちな3つの落とし穴
落とし穴1:テスト環境を用意していない
WordPressの更新を本番環境でいきなり行うのは危険です。更新後に画面が真っ白になると、お客さんに見えるサイトがそのまま止まります。テスト環境(ステージング環境)で先に更新を試し、問題がなければ本番に適用する流れが望ましいです。エックスサーバーやConoHa WINGなど、管理画面からワンクリックでテスト環境が作れるサービスもあります。
落とし穴2:バックアップの「復元テスト」をしていない
バックアップを取っていても、復元できなければ意味がありません。半年に1回でよいので、テスト環境に実際に復元できるか確認しておくことをおすすめします。ファイルが壊れていた、手順を誰も知らなかった、といった事態は緊急時に発覚しても手遅れです。
落とし穴3:ドメイン・サーバーの契約情報を誰も把握していない
担当者が異動して引き継ぎがなかった、クレジットカードの有効期限が切れて自動更新が失敗した。こうしたトラブルは少なくありません。ドメインとサーバーの契約情報(サービス名、ログインID、更新期限、支払い方法)は、社内の複数人がアクセスできる場所に記録しておいてください。担当者一人の頭の中だけに入っている状態は避けたいところです。
「制作費80万円、保守費ゼロ」の結末
冒頭の建設会社の話に戻ります。
制作費80万円のサイトを5年使い、保守費はゼロでした。結果、改ざん復旧に40万円かかりました。仮に月1万円の保守を5年間続けていたら総額60万円ですが、改ざんは起きていなかった可能性が高い。しかも改ざん中の2週間は問い合わせがゼロだったため、機会損失も含めると差はさらに開きます。
制作費100万円のサイトを5年使うとして、月2万円の保守・運用費は年間24万円です。サイト経由で月に1件でも受注があれば十分に元が取れます。保守は「コスト」ではなく、事業を守るための「投資」と位置づけられます。
弊社の保守・運用支援
株式会社ティーラは「制作 × 改善」を掲げ、サイトを作る段階から公開後の保守・運用まで一気通貫で対応しています。
保守だけのプランをあえて積極的に推していないのは、保守はあくまで「守り」であり、それだけではサイトの成果が上がらないからです。弊社が提供しているのは、保守をベースにしつつ、月次のデータ分析と改善提案をセットにしたプランです。「安全に動いている」だけでなく「ちゃんと成果を出している」状態を維持することを目指しています。
サイトを持っているけれど保守契約を結んでいない、何年も放置している、どこから手をつけてよいかわからない。そうした状態であれば、一度サイトの健康診断をさせてください。現状のリスクと、今やるべき優先順位をお伝えします。
参考文献
- W3Techs「Usage statistics of WordPress」 https://w3techs.com/technologies/details/cm-wordpress
- IPA(独立行政法人情報処理推進機構)「ソフトウェア等の脆弱性関連情報に関する届出状況」 https://www.ipa.go.jp/security/reports/vuln/software/index.html
- PHP公式「Supported Versions」 https://www.php.net/supported-versions.php
- WordPress公式「Requirements」 https://wordpress.org/about/requirements/
- Google Search Central「有用で信頼性の高い、ユーザー第一のコンテンツの作成」 https://developers.google.com/search/docs/fundamentals/creating-helpful-content
- 一般社団法人日本WEBデザイナーズ協会(JWDA) https://www.jwda.jp/
- エックスサーバー公式 https://www.xserver.ne.jp/
