WordPress保守代行サービスは数多く存在しますが、「何をどこまでやってくれるのか」が業者によってまったく異なります。自動更新を有効にしただけで「保守完了」と言い張る業者もあれば、手動アップデート・バックアップ・復旧対応・セキュリティ監視まで一貫して対応する業者もある。この記事では、WordPress保守代行を選ぶ際に確認すべき基準を、実務の現場目線で整理します。
WordPress保守代行とは「更新・監視・復旧」を一括で任せるサービス
保守の中核はアップデート管理にある
WordPress保守代行の中心業務は、WordPress本体・プラグイン・テーマのアップデート管理です。WordPressはオープンソースのCMSであり、定期的にセキュリティパッチや機能改善がリリースされます。WordPress.orgの公式情報によると、WordPress本体のリリースは年に複数回、プラグインの更新はさらに高頻度で発生しています(出典 WordPress.org Security)。
これらの更新を放置すると、既知の脆弱性が残ったままサイトが公開され続けます。攻撃者はこうした脆弱性データベースを日常的に確認しており、更新が遅れたサイトから順に狙われます。保守代行の第一の役割は、このアップデートを計画的に実施し、更新後の動作確認まで行うことです。
バックアップと復旧体制がセットで初めて「保守」
アップデートだけでは保守として不十分です。アップデート後にサイトが正常に動作しなくなる可能性は常にあります。プラグイン同士の互換性の問題、テーマとの競合、PHPバージョンとの不整合。こうしたトラブルに対応するために、更新前のバックアップ取得と、問題発生時の復旧(ロールバック)体制が不可欠です。
バックアップがなければ、不具合が起きた時点で「壊れたサイト」と「直す手段がない状態」が同時に発生します。(正直、バックアップなしのアップデートは保守ではなく、ギャンブルです)弊社の実績では、WordPressのメジャーアップデート時に約15%の確率で何らかの表示崩れや機能不具合が発生しています。バックアップがあれば5分で復旧できるものが、なければ数時間から数日のダウンタイムになります。
セキュリティ監視と障害対応も保守の範囲
WordPress保守代行には、不正アクセスの監視、マルウェアスキャン、改ざん検知といったセキュリティ監視も含まれるべきです。サーバー障害やサイトダウン時の一次対応も守備範囲です。サイトが止まっていることに気づくのが翌朝の出社時では、その間に失われた問い合わせや信用は取り戻せません。
IPAが公開する「情報セキュリティ10大脅威 2025」でも、Webサイトの改ざんは継続して脅威に挙げられています(出典 IPA 情報セキュリティ10大脅威 2025)。WordPressは世界のWebサイトの約4割で使われているため、攻撃のターゲットとしても最も狙われやすいCMSです。セキュリティ監視が含まれていない場合、保守の重要な一角が欠けている状態です。
自社対応と代行のどちらが適切かを判断する基準
技術担当者の有無が最大の分岐点
社内にWordPressの管理画面操作だけでなく、FTPアクセス、PHPファイルの編集、データベースの操作ができる担当者がいるかどうか。これが自社対応と代行の分岐点です。管理画面からプラグインの更新ボタンを押すだけなら誰でもできますが、更新後にサイトが真っ白になったとき、原因を特定して復旧できる人材がいなければ、自社対応は成り立ちません。
実際の保守現場では、プラグインの更新でサイトが表示されなくなるトラブルのうち、約半数はプラグインの無効化だけでは解決しません。テーマのfunctions.phpとの競合やキャッシュプラグインの残存データなど、管理画面だけでは対処できない問題が発生します。こうした技術的対応を外注できるのが、保守代行の本質的な価値です。
更新頻度と対応時間のバランスで考える
WordPressの保守作業は、毎月一定の時間を必要とします。プラグインの更新チェック、テスト環境での動作確認、本番反映、バックアップ取得、セキュリティログの確認。これらを丁寧に行うと、月に3〜5時間は確実にかかります。
多くの中小企業では、Web担当者は総務や営業と兼任であり、「時間があるときにまとめて更新」になりがちです。2〜3ヶ月分のアップデートを一気に適用して不具合が連鎖する、というパターンに陥ります。月1万円の保守代行費用は社員の時給3〜5時間分。本業の時間を保守に奪われるコストと比較すれば、代行に任せた方がトータルコストは安くなります。
「何かあったとき」の対応速度が決定的な差になる
平常時の保守作業は社内でも対応できますが、緊急事態の対応速度は保守代行と自社対応で決定的な差が出ます。サイトがハッキングされた、マルウェアが仕込まれた、プラグインの脆弱性が公表されて緊急パッチが必要。こうした事態に、社内の兼任担当者が即座に対応できるでしょうか。
弊社の場合、セキュリティインシデントの一次対応は原則として当日中に実施します。感染ファイルの特定と隔離、バックアップからの復旧、再発防止策の実施までを一貫して行います。この対応速度は、日常的にWordPressの保守を行っている専門チームだからこそ実現できるものです。
保守代行サービスを比較する際に確認すべき7項目
保守代行業者を選ぶ際、月額料金だけで比較すると後悔します。以下の7項目を必ず確認してください。
| 確認項目 | 良い業者の基準 | 注意すべきサイン |
|---|---|---|
| アップデートの方法 | 手動で実施し、動作確認を経て本番反映 | 自動更新を有効にしているだけ |
| バックアップの頻度と保存期間 | 週1回以上、30日以上保存 | 「必要時に取得」(不定期) |
| 復旧対応の範囲 | バックアップからの切り戻し、原因調査まで対応 | 復旧は別途見積もり |
| セキュリティ対策の内容 | WAF設定、改ざん検知、マルウェアスキャン | 「セキュリティ対策あり」としか書かれていない |
| 障害時の対応速度 | 営業日の翌日対応を明記 | 「可能な限り早く」(基準なし) |
| レポート・報告の有無 | 月次で更新内容とセキュリティ状況を報告 | 報告なし、聞かれたら答える |
| 他社制作サイトの対応 | 制作元を問わず引き受け可能 | 自社制作サイトのみ対応 |
この7項目のうち、特に重要なのはアップデートの方法とバックアップ体制です。この2つが曖昧な業者は、保守の基本ができていないと判断して差し支えありません。
自動更新と手動更新の違いを理解しておく
WordPressには本体・プラグイン・テーマそれぞれに自動更新機能があります。管理画面からワンクリックで有効にできるこの機能を「WordPress保守」として月額を請求する業者が存在します。(正直、それは保守とは呼べません)
自動更新の問題点は、更新前のバックアップが取られないこと、テスト環境での動作確認が行われないこと、更新後に不具合が出ても自動では復旧されないことです。つまり「更新は自動で行われるが、壊れたら放置」という状態になります。
手動更新では、以下の手順を踏みます。
- 更新前にデータベースとファイルの完全バックアップを取得
- テスト環境(ステージング)で更新を先行適用し、動作を確認
- 問題がなければ本番環境に反映
- 本番環境で主要ページの表示・フォーム送信・決済機能などを動作確認
- 不具合があればバックアップから即座に切り戻し
この一連の手順を毎月実行するのが「保守」です。ボタン1つの自動更新とは工数も品質もまったく異なります。見積もりの際に「アップデートは手動ですか、自動ですか」と一言確認するだけで、業者の質を見抜けます。
バックアップの「取得」だけでなく「復旧テスト」まで確認する
バックアップは「取っている」だけでは意味がありません。重要なのは、そのバックアップから実際にサイトを復旧できるかどうかです。バックアップファイルが壊れていた、保存先のサーバーが同時に障害を起こしていた、復旧手順が整備されていなかった。こうした理由で、バックアップがあるのに復旧できないケースは珍しくありません。
弊社では、バックアップデータの定期的な復旧テスト(リストアテスト)を実施しています。バックアップからテスト環境にサイトを復元し、正常に動作することを確認する作業です。保守代行を検討する際は、「バックアップの復旧テストは行っていますか」と聞いてみてください。この質問に即答できる業者は信頼できます。
保守代行の費用相場と月額に含まれるサービスの違い
月額5,000円〜1万円はアップデートとバックアップが中心
この価格帯では、WordPress本体・プラグイン・テーマの手動アップデート、定期バックアップ、SSL証明書の管理、サーバー・ドメインの契約管理が主なサービスです。テキスト修正などのコンテンツ更新は月1〜2回程度、または別途費用が発生します。
更新頻度が低く、WordPressの安全な運用だけを確保したい企業に適した価格帯です。10ページ前後の企業サイトで、お知らせの更新が月に1回程度であれば、この価格帯で過不足ありません。
月額1万〜3万円で保守とコンテンツ更新を一括カバーできる
中小企業のWordPressサイトにおいて、最もコストパフォーマンスが高い価格帯です。アップデート管理、バックアップ、セキュリティ監視に加えて、テキスト・画像の修正、ページの追加・削除、フォームの設定変更といったコンテンツ更新が月額に含まれます。
弊社の運用保守プラン(月額1万円〜)もこの価格帯に位置しています。WordPress本体・プラグイン・テーマのアップデート、定期バックアップ、サーバー・ドメイン管理、不具合対応、軽微なコンテンツ修正が月額に含まれており、他社が制作したサイトでも対応可能です。
月5回以上の修正依頼がある企業、ブログやお知らせを定期更新している企業は、この価格帯のプランを検討してください。修正の都度スポットで外注するよりも、月額契約の方が確実に安上がりです。
月額3万円以上はセキュリティ強化と改善提案が加わる
月額3万円を超えるプランでは、日次バックアップ、リアルタイムのセキュリティ監視、WAF(Web Application Firewall)の設定・運用、月次レポートの提出、表示速度の改善提案まで含まれることが一般的です。ECサイトや会員サイトなど、セキュリティ要件が高いサイトに適しています。
ただし、10ページ程度のコーポレートサイトにこの価格帯は過剰です。月額3万円以上が適しているのは、サイト経由の売上が月50万円を超えている企業、個人情報を大量に扱う会員サイト、複数サイトを一括管理したい企業などに限られます。
保守代行を依頼する前に自社で準備しておくべきこと
WordPress管理画面とサーバーのログイン情報を整理する
保守代行の依頼時、最初に必要になるのがログイン情報です。以下の情報を事前に整理しておくと、契約から保守開始までがスムーズに進みます。
- WordPress管理画面のURL・ユーザー名・パスワード
- レンタルサーバーのコントロールパネルのログイン情報
- FTP/SFTPの接続情報(ホスト名、ユーザー名、パスワード、ポート番号)
- ドメイン管理会社のログイン情報
- SSL証明書の管理情報(レンタルサーバーの無料SSLなら不要)
「ログイン情報がわからない」というケースは非常に多いです。制作会社に丸投げしていた場合、管理情報が制作会社にしかない状態になっていることがあります。契約が切れた後にこの問題が発覚すると、保守開始が大幅に遅れます。
弊社に保守を切り替えるお客様の約3割が「前の制作会社からログイン情報を受け取っていない」状態です。サーバー会社やドメイン管理会社に直接問い合わせて情報を回復する作業が必要になり、1〜2週間の遅れが発生します。現在の制作会社との契約がある間に、すべてのログイン情報を書面で受け取っておいてください。
現在のサイトの状態を把握しておく
保守代行業者に正確な見積もりを出してもらうために、自社サイトの状態を把握しておくことが有効です。
| 確認項目 | 確認方法 |
|---|---|
| WordPressのバージョン | 管理画面の「ダッシュボード」→「概要」に表示 |
| 使用プラグインの数 | 管理画面の「プラグイン」で一覧表示 |
| PHPのバージョン | サーバーのコントロールパネルで確認 |
| サイトのページ数 | 管理画面の「固定ページ」「投稿」で確認 |
| 月間の更新頻度 | 直近3ヶ月の更新回数を数える |
| 最終更新日 | 管理画面の「更新」ページで確認 |
これらの情報がわからなくても、URLを伝えれば業者側で調査できます。ただし、WordPressが3世代以上古い、PHPが7.4以下のまま放置されているといった状態では、保守開始前の環境整備で初期費用が追加発生する場合があります。事前に状態を把握しておけば、見積もりの妥当性を判断しやすくなります。
保守契約と制作契約の違いを理解しておく
保守代行と制作は別のサービスです。保守代行の月額に含まれるのは「既存サイトの維持管理と軽微な修正」であり、新規ページのデザイン・コーディングや大幅なリニューアルは含まれません。
保守代行でカバーされる作業と、別途見積もりになる作業の境界線を、契約前に明確にしておいてください。
- テキスト3行の修正 → 保守の月額内
- 画像1枚の差し替え → 保守の月額内
- 新規ページのデザインとコーディング → 別途見積もり
- トップページの大幅レイアウト変更 → 別途見積もり
- EC機能やフォームの新規追加 → 別途見積もり
この区分は業者によって異なるため、「この作業は月額に含まれますか」という確認を遠慮なく行ってください。
保守代行で失敗しないための契約時チェックリスト
契約前に以下の項目をすべて確認し、書面で回答を得てください。口頭の説明だけでは、後から「言った・言わない」のトラブルになります。
- アップデートは手動か自動か
- バックアップの頻度・保存期間・保存場所
- 復旧対応は月額に含まれるか、別途費用か
- セキュリティ監視の具体的な内容
- 障害発生時の連絡方法と対応時間の目安
- 月額に含まれる修正回数と1回あたりの作業範囲
- 最低契約期間と解約条件(違約金の有無)
- サーバーやドメインの管理権限は誰が持つか
- レポート・報告の頻度と内容
- 担当者が退職した場合の引き継ぎ体制
管理権限の所在は最も重要な確認事項
サーバー・ドメイン・WordPress管理画面のログイン情報を、自社でも保有しているかどうか。これは保守代行の契約で最も重要な確認事項です。業者にすべての管理権限を預けてしまい、自社では一切アクセスできない状態にするのは避けてください。
業者との契約を解除した後に管理権限を返してもらえない、ドメインの移管に高額な費用を請求される。こうしたトラブルは業界で頻繁に発生しています。サーバーとドメインの契約名義は必ず自社名義にし、ログイン情報は自社でも保管しておくことを徹底してください。
弊社では、サーバー・ドメインの契約名義はすべてお客様の名義で管理し、ログイン情報もお客様と共有しています。保守契約が終了した際にスムーズに引き継げる状態を常に維持するのが、信頼できる保守代行業者の基本姿勢です。
最低契約期間と解約条件を見落とさない
保守代行の契約には、最低契約期間(6ヶ月〜12ヶ月)が設定されている場合があります。この期間内に解約すると違約金が発生する業者もあるため、契約前に必ず確認してください。
理想は「最低契約期間なし、1ヶ月前通知で解約可能」という条件です。サービスの質に自信がある業者ほど、契約の縛りは緩い傾向にあります。(縛りの強さとサービスの質は反比例することが多い、というのが実感です)
こんな業者には注意が必要
「保守パック」の中身が不透明
「WordPress保守パック 月額○○円」とだけ記載され、具体的なサービス内容が書かれていない業者は要注意です。「保守」という言葉の定義が業者と顧客で異なるまま契約が進み、後から「それは保守の範囲外です」と言われるパターンです。
契約前にサービス内容の一覧を書面で出してもらい、各項目が月額内か別途費用かを明確にしてください。「資料はありません」「契約後に説明します」という業者は、その時点で候補から外すべきです。
アップデート後の動作確認を行わない
WordPressのアップデートは「更新ボタンを押して終わり」ではありません。更新後に全ページの表示確認、フォームの送信テスト、主要機能の動作確認を行い、問題がないことを確かめる工程が必要です。この動作確認を省略している業者は、不具合の発見が遅れ、結果としてサイトの復旧コストが膨らみます。
実際の保守現場では、アップデート後の動作確認で問題を発見するケースが月に1〜2件は発生します。特にContact Form 7などのフォームプラグインは、更新後に挙動が変わることがあり、動作確認を怠ると問い合わせフォームが送信できない状態が続きます。
サーバー移転を強制してくる
保守代行を依頼した途端、「当社指定のサーバーに移転が必要です」と言われるケースがあります。サーバーの性能やセキュリティ上の理由であれば合理的ですが、中には自社管理下に置くことで顧客の囲い込みを目的としている業者もいます。
移転が必要な場合はその理由と費用を確認し、移転後もサーバーの契約名義が自社名義であることを必ず確認してください。業者名義のサーバーに移転すると、解約時に高額な費用を請求されるリスクがあります。
WordPress保守を放置した場合に起こる具体的なリスク
保守代行の費用を「もったいない」と感じる経営者は少なくありません。しかし、保守を放置した場合のリスクと復旧コストを比較すると、月額1万円の保守費用が極めて合理的な投資であることがわかります。
| 放置によるリスク | 発生時の影響 | 復旧コストの目安 |
|---|---|---|
| WordPress本体の脆弱性を突かれてサイト改ざん | フィッシングサイトへの誘導、顧客情報の漏洩 | 10万〜50万円 |
| プラグインの脆弱性による不正アクセス | スパムメールの踏み台、データベースの破壊 | 5万〜30万円 |
| PHP旧バージョンのサポート終了 | セキュリティパッチの提供停止、サイト停止 | 5万〜20万円(環境再構築) |
| バックアップ未取得の状態でサイト障害 | サイト全体の消失、復旧不能 | 制作費の全額(再構築) |
| SSL証明書の期限切れ | ブラウザの警告表示、訪問者の離脱 | 即時対応で数千円、放置で信用毀損 |
最悪のケースは「バックアップがない状態でサイトが壊れる」ことです。サイトを一から作り直す以外に方法がなく、制作費と同等の費用が発生します。月1万円の保守を4年続けても50万円。保守費用は「サイトという資産を守る保険」です。
最後に
WordPress保守代行を選ぶ際の基準は「アップデート管理の方法」「バックアップと復旧体制」「セキュリティ監視の有無」「管理権限の所在」の4点に集約されます。月額料金の安さだけで選ぶと、「保守」と名乗るだけの放置サービスを掴む可能性があることを理解しておいてください。
自社で保守体制を維持できないのであれば、信頼できる保守代行に任せる。その「信頼できる」の基準が、この記事で整理した7項目です。まず自社サイトの現状を把握することから始めてください。WordPressのバージョン、プラグインの更新状況、バックアップの有無。これらを確認するだけで、今の保守が十分なのか不十分なのかが見えてきます。月1万円の投資で、サイトの安全と事業の継続性を守れるのであれば、その費用対効果は十分に高いはずです。
