ホームページを制作会社に依頼し、納品時に「保守は特に必要ありません」と言われた経験はないでしょうか。その言葉を真に受けて放置した結果、ある日突然サイトが表示されなくなったり、知らないうちに改ざんされていたりする事例が後を絶ちません。この記事では、保守なしで運用し続けたサイトに実際に何が起こるのかを、運用保守の現場視点で解説します。
「保守は必要ない」と言う制作会社には2つのパターンがある
制作会社が「保守は不要」と言い切る場合、その裏には大きく分けて2つの理由があります。どちらのパターンかによって、サイトオーナーが取るべき対応も変わります。
本当に知識がなく保守の重要性を理解していないケース
制作会社のすべてがWebの運用に精通しているわけではありません。デザインやコーディングは得意でも、納品後のセキュリティや保守の知見がほとんどない会社は少なくありません。特に小規模な制作会社やフリーランスの場合、「作ること」が専門であり、サーバー管理やWordPressのアップデート対応には関心が薄いことがあります。
このパターンでは悪意はありません。ただし、悪意がないからといって放置していいわけではなく、結果として被害を受けるのはサイトオーナー側です。
保守業務をやりたくないから「不要」と言い切るケース
こちらのほうが厄介です。保守業務は制作会社にとって利益率が低く、手間がかかる業務です。新規制作なら1件で数十万〜数百万円の売上になりますが、保守は月額数千円〜数万円の地味な作業が延々と続きます。
そのため、「保守はやらなくて大丈夫ですよ」と言うことで、面倒な業務を引き受けずに済ませたいという本音が隠れています。(技術的に保守が不要なサイトは存在しません。やりたくないだけです)
保守なしで放置したサイトに起こる5つの実害
「特に問題なく表示されているから大丈夫」と思っている方が多いのですが、保守をしていないサイトは表面上は動いていても、内部では確実にリスクが蓄積しています。以下の5つは、弊社が実際に相談を受けた事例で特に多いものです。
WordPressの脆弱性を突かれてサイトが改ざんされる
保守なしサイトで最も深刻なのが、不正アクセスによる改ざん被害です。Sucuriの調査によると、ハッキングされたWordPressサイトの約40%はコア・プラグイン・テーマのいずれかが古いバージョンのままだったと報告されています(出典 Sucuri Website Threat Research Report)。
改ざんされたサイトは、訪問者をフィッシングサイトに転送したり、スパムページを大量に生成されたりします。自社のホームページにアクセスした顧客がウイルスに感染するリスクすらあります。(お客様に迷惑をかけるホームページほど本末転倒なものはありません)
PHPやMySQLのバージョンアップでサイトが突然表示されなくなる
WordPressはPHPというプログラミング言語で動いています。レンタルサーバー側は定期的にPHPのバージョンを更新し、古いバージョンのサポートを終了します。
WordPress本体やプラグインを何年も更新せずに放置していると、サーバー側のPHPバージョンアップに対応できず、ある日突然サイトが真っ白になることがあります。エックスサーバーやさくらインターネットなど主要なレンタルサーバーでは、PHP 7.4以前のサポートはすでに終了しており、PHP 8系への移行が必須となっています。
厄介なのは、PHP 8系で動かないプラグインやテーマが少なくない点です。長年更新していなかったサイトをいきなりPHP 8に切り替えると、プラグインが対応しておらずエラーが多発します。こうなると、プラグインの更新やテーマの修正が必要になり、「ちょっとバージョンを上げるだけ」のつもりが大規模な改修作業に発展することがあります。日頃から少しずつ更新していれば避けられた問題です。
SSL証明書の期限切れで「保護されていない通信」と警告が出る
SSL証明書(HTTPS化に必要な証明書)には有効期限があります。無料のLet’s Encryptなら90日、有料の証明書でも1年が一般的です。多くのレンタルサーバーでは自動更新が設定されていますが、サーバー移転時やDNS変更時に自動更新が外れるケースがあります。
SSL証明書が切れると、ブラウザに「保護されていない通信」という警告が大きく表示されます。この警告を見た訪問者のほとんどはサイトを離脱します。問い合わせフォームがあるサイトでは、個人情報の送信を躊躇されるため、事実上サイトが機能停止した状態になります。
プラグインの互換性エラーで問い合わせフォームが動かなくなる
WordPressサイトで最も多いトラブルのひとつが、プラグインの互換性問題です。Contact Form 7やMW WP Formなどのフォームプラグインが、WordPress本体のアップデートとの互換性を失い、送信ボタンを押しても何も起こらない、あるいはエラーが表示される状態になることがあります。
問題なのは、フォームが壊れていてもサイトオーナーが気づかないことです。問い合わせが来ない原因を「需要がないのかな」と思い込み、実はフォームが数か月間動いていなかったという相談は、弊社でも年に何件も受けています。
ドメインやサーバーの更新漏れでサイトそのものが消える
ドメインの更新期限は年に1回、サーバーの契約更新も年に1回〜数回です。制作会社が代行で取得したドメインの場合、更新通知メールが制作会社のアドレスに届いており、サイトオーナーには一切通知が来ないことがあります。
ドメインが失効すると、サイトは完全に表示されなくなります。さらに、失効したドメインは第三者に取得される可能性があり、一度取られてしまうと取り戻すのは極めて困難です。(ドメインの更新を忘れるのは、店舗の鍵を捨てるようなものです)
保守放置サイトの相談で最も多い3つのパターン
弊社には「制作会社に保守は不要と言われたので放置していたが、トラブルが起きた」という相談が毎月のように届きます。中でも特に多いのが以下の3パターンです。
制作会社が廃業して連絡が取れなくなった
Web制作業界は参入障壁が低く、個人やフリーランスの廃業率も高い業界です。制作を依頼した会社やフリーランスが廃業し、サーバーやドメインの管理情報がわからなくなるケースは珍しくありません。制作会社名義でサーバー・ドメインを契約していた場合、契約者本人でなければ管理画面にログインすることすらできません。最悪の場合、サーバーの契約解除やドメインの失効が発生し、サイトが消失します。
「何年も問題なかった」が突然トラブルになる
保守をしていなくても2〜3年は表面上問題なく動いていることがあります。そのため「やっぱり保守は不要だった」と思い込んでしまう方が多いのですが、問題が顕在化するまでのタイムラグがあるだけです。PHPのサポート終了やプラグインの脆弱性は突然やってきます。「昨日まで普通に見れていたのに、今日開いたら真っ白です」という相談はまさにこのパターンです。
自分で更新しようとして状況を悪化させた
トラブルが起きてから慌てて自分でWordPressを更新し、さらに状況が悪化するケースも多くあります。バックアップを取らずにプラグインを一括更新した結果、複数のプラグインで互換性エラーが発生し、どのプラグインが原因かわからなくなるという状態に陥ります。こうなると復旧の難易度は大幅に上がり、費用も余計にかかります。
改ざん被害に遭うとどれだけのコストがかかるか
「うちのサイトは小規模だから狙われない」と思っている方が多いのですが、サイバー攻撃はbot(自動プログラム)による無差別攻撃が大半です。大企業も個人サイトも、脆弱性があれば等しく攻撃対象になります。
復旧費用の相場は10〜50万円、最悪は作り直し
改ざん被害からの復旧にかかる費用は、被害の程度によって大きく変わります。
| 被害の程度 | 復旧費用の目安 | 復旧期間 |
|---|---|---|
| 軽度(ファイル数箇所の改ざん) | 5〜15万円 | 1〜3営業日 |
| 中度(バックドア設置・スパムページ生成) | 15〜30万円 | 3〜7営業日 |
| 重度(データベース汚染・バックアップなし) | 30〜50万円以上 | 1〜3週間 |
| 最悪(復旧不可能) | サイト全面作り直し | 1〜3か月 |
バックアップが取れていれば、改ざん前の状態に戻すことで比較的短期間に復旧できます。しかし、バックアップ未設定のまま運用していたサイトは、復旧の難易度が一気に跳ね上がります。弊社に相談に来る改ざん被害案件の約3割がバックアップ未設定の状態でした。
Google検索結果に「このサイトは危険」と表示される信頼喪失
改ざんされたサイトは、Googleの「セーフ ブラウジング」によって危険なサイトとしてフラグが立てられます。検索結果に「このサイトはコンピュータに損害を与える可能性があります」と警告が表示され、クリック率はほぼゼロになります。
復旧後にGoogleへ再審査を申請する必要がありますが、審査には数日〜数週間かかることがあります。その間、検索経由の集客は完全に止まります。長年かけて積み上げた検索順位が、一度の改ざんで大きく後退するケースも珍しくありません。
さらに見落とされがちなのが、取引先や顧客への信頼喪失です。自社サイトにアクセスした顧客が「危険なサイト」という警告を目にした場合、「この会社はセキュリティ管理ができていない」という印象を持たれます。BtoBの場合、これが原因で取引を見直される可能性すらあります。サイトの復旧費用だけでなく、こうした目に見えない損失まで含めると、被害額は数字以上に大きくなります。
「保守は不要」と言われた時にやるべき3つの自衛策
制作会社が保守を引き受けてくれない場合でも、以下の3つだけは最低限やっておくべきです。これだけで致命的なトラブルの大半は防げます。
サーバー・ドメインの契約名義とログイン情報を自社で把握する
最も重要な自衛策がこれです。サーバーとドメインの契約名義が制作会社名義になっていないか、必ず確認してください。
- サーバーの管理画面にログインできるか
- ドメインの登録者情報(Whois)が自社名義か
- WordPressの管理者アカウントのID・パスワードを把握しているか
- 契約更新の通知メールが自社のアドレスに届く設定になっているか
これらの情報がすべて制作会社側にある状態は、自分の店舗の鍵を他人だけが持っている状態と同じです。万が一その制作会社が廃業したり連絡が取れなくなった場合、サイトの管理権限を取り戻すのに多大な時間と労力がかかります。
最低限のバックアップを自動で取得する仕組みを作る
WordPressであれば、UpdraftPlusやBackWPupなどの無料プラグインで自動バックアップを設定できます。設定に必要な時間は30分程度です。
| 設定項目 | 推奨設定 |
|---|---|
| バックアップ頻度 | 週1回以上 |
| 保存世代数 | 直近4世代以上 |
| 保存先 | サーバー外部(Googleドライブ、Dropboxなど) |
| バックアップ対象 | データベース+ファイル(テーマ・プラグイン・アップロード画像) |
バックアップの保存先は、サイトと同じサーバー内だけでは不十分です。サーバー自体に障害が起きた場合、バックアップごと消失します。必ずGoogleドライブやDropboxなど外部のストレージに保存してください。
WordPress本体・プラグインの更新頻度を月1回に設定する
WordPress本体のメジャーアップデートは年に2〜3回、セキュリティパッチはさらに頻繁にリリースされます。WordPress.orgの公式ページでは、常に最新バージョンを使用することが推奨されています(出典 WordPress.org Security)。
ただし、何も考えずに自動更新をオンにすると、プラグインとの互換性問題でサイトが崩れるリスクがあります。月に1回、バックアップを取った上で手動更新するのが、安全性と手間のバランスが取れた運用方法です。
更新前に必ずバックアップを取ること。更新後はサイトの表示崩れやフォームの動作を確認すること。この2つを怠ると、更新作業自体がトラブルの原因になります。
保守費用は「月1万円の保険」と考えれば安い投資
保守費用を「コスト」として見ると高く感じるかもしれません。しかし、障害が起きた時の復旧費用と比較すれば、保守は圧倒的に安い投資です。
Web担当者を雇う月給20〜30万円と比較すれば明白
自社でWeb担当者を1人雇うと、月給20〜30万円に加えて社会保険料などの間接費がかかります。年間で300〜500万円のコストです。
一方、保守を外注すれば月額1〜3万円、年間で12〜36万円です。自社雇用の10分の1以下のコストで、専門知識を持った担当者にサイト管理を任せられます。専任のWeb担当者を置けない中小企業にとって、外注は最も合理的な選択肢です。
障害が起きてから動くと費用は10倍以上になる
保守費用と障害復旧費用を比較すると、その差は歴然です。
| 比較項目 | 保守あり | 保守なし(障害発生時) |
|---|---|---|
| 年間コスト | 12〜36万円 | 0円(障害発生まで) |
| 改ざん被害の復旧 | 保守範囲内で対応 | 10〜50万円の追加費用 |
| サイト停止期間 | 数時間以内に復旧 | 数日〜数週間 |
| 機会損失 | 最小限 | 停止期間中の問い合わせゼロ |
保守契約は生命保険と同じです。何もなければ無駄に感じますが、事故が起きた時に入っていないと致命傷になります。(月1万円の保険を「もったいない」と感じて、50万円の復旧費用を払うのは本末転倒です)
保守を外注する際に確認すべきチェックリスト
保守の重要性を理解して外注先を探す際、「保守プラン」と名乗っていればどこでも同じというわけではありません。中身を確認せずに契約すると、月額を払っているのに実質的には何もしてもらえない「名ばかり保守」に引っかかる可能性があります。
最低限含まれるべきサービス内容の一覧
月額1〜3万円の保守プランであれば、以下のサービスが含まれているべきです。
- WordPress本体・プラグイン・テーマの定期アップデート
- 定期的な自動バックアップ(外部ストレージへの保存)
- セキュリティ監視(不正アクセスの検知)
- SSL証明書の管理と更新
- サーバー・ドメインの契約更新管理
- 月数回程度の軽微な修正対応(テキスト変更・画像差し替え)
- 障害発生時の一次対応
これらのうち半分以上が含まれていないプランは、保守としては不十分です。特にバックアップとWordPressのアップデートが含まれていない場合は、保守と呼べるレベルに達していません。
「保守」と名乗っているが中身がないプランの見分け方
契約前に以下のポイントを確認してください。曖昧な回答しか返ってこない場合は、中身がないプランの可能性が高いです。
| 確認すべきポイント | 具体的な質問例 |
|---|---|
| 更新作業の頻度 | WordPressやプラグインの更新は月に何回行いますか |
| バックアップの有無 | バックアップはどこに、何世代分保存していますか |
| 障害時の対応速度 | サイトが表示されなくなった場合、何時間以内に対応できますか |
| 作業報告の有無 | 毎月の作業内容をレポートとして提出してもらえますか |
| 修正対応の範囲 | テキスト修正や画像差し替えは月に何回まで対応可能ですか |
月額3,000〜5,000円の「保守プラン」の中身を確認すると、実質的にはサーバー・ドメインの代行管理だけというケースが大半です。(正直、それは保守ではなく請求書の代行です)
最後に
制作会社から「保守は必要ない」と言われたとしても、それはサイトオーナーにとっての事実ではありません。ホームページは作った瞬間から劣化が始まります。WordPressは更新しなければ脆弱性が蓄積し、サーバーやドメインは管理しなければ失効し、SSL証明書は放置すれば期限が切れます。
保守は「何かあった時のための保険」であると同時に、サイトを安全に運用し続けるための「日常業務」です。月額1万円の保守費用は、数十万円の復旧費用や信頼喪失と比べれば、最もコストパフォーマンスの高い投資です。
Web管理では、月額1万円からホームページの保守・運用を代行しています。他社が制作したサイトの引き継ぎや、制作会社と連絡が取れなくなったケースにも対応可能です。「今のサイトがどんな状態か診断してほしい」というご相談だけでも歓迎です。Webのことは丸投げして、本業に集中できる環境を一緒に作りましょう。
