WordPressの更新ボタンを自社で押すべきか、外注すべきか。結論から言えば、専任のエンジニアがいない企業は外注した方が安全で、結果的に安く済みます。WordPress本体・プラグイン・テーマの更新は「ボタンを押すだけ」に見えて、実際には互換性の確認、バックアップ、不具合時の切り戻しまで含む一連の作業です。この記事では、自社対応のリスクと外注のコスト感を実務ベースで解説します。
WordPressの更新を放置すると「サイト改ざん」の標的になる
攻撃者は古いバージョンのサイトを自動検知している
WordPressは世界のWebサイトの約43%で使われているCMSです(出典 W3Techs)。シェアが大きい分、攻撃者にとっても効率の良いターゲットです。既知の脆弱性が公開されると、攻撃者はその脆弱性を突くボットを大量に放ちます。狙われるのは、更新を怠っている古いバージョンのサイトです。
WordPressのセキュリティ企業Sucuriの2022年版脅威レポートによると、ハッキングされたWordPressサイトの49.8%が、侵害時点でコアCMSのバージョンが古い状態だったと報告されています(出典 Sucuri 2022 Hacked Website Threat Report)。さらに、感染サイトの36%以上で少なくとも1つの脆弱なプラグインまたはテーマが確認されました。更新を放置するということは、玄関の鍵を開けたまま外出するようなものです。
改ざんされると復旧費用は数十万円に膨れ上がる
サイトが改ざんされた場合、マルウェアの除去、バックドアの特定と削除、再感染防止のためのセキュリティ強化、Googleへの再審査リクエスト(検索結果に「このサイトは危険です」と表示された場合)といった対応が必要です。専門業者にマルウェア除去を依頼すると、1件あたり10万〜30万円が相場です。
加えて、サイトが改ざんされている期間はビジネス機会を失い続けます。問い合わせフォームが機能しない、顧客がアクセスを避ける、検索順位が急落する。金銭的な被害はマルウェア除去費用だけでは済みません。月数千円の更新管理費用を惜しんだ結果、数十万円の復旧費用を払うことになる。これは極端な話ではなく、弊社が引き継いだ案件で実際に起きていることです。
自社でWordPress更新を行う3つのリスク
画面が真っ白になる「死の白い画面」が発生する
WordPress更新時のトラブルで最も多いのが、いわゆる「死の白い画面(White Screen of Death)」です。更新ボタンを押した直後にサイト全体が真っ白になり、管理画面にもアクセスできなくなります。原因の多くは、プラグイン同士の互換性問題か、テーマとWordPress本体のバージョン不一致です。
ITに詳しくない担当者がこの状態に陥ると、復旧手段がわかりません。FTPでサーバーに接続してプラグインフォルダをリネームする、wp-config.phpのデバッグモードを有効にしてエラーログを確認する、といった操作が必要ですが、これは日常的にサーバーを触っていない人間には難易度が高い作業です。(社内で「ホームページが壊れた」と報告が上がり、全員で画面を見つめる、あの空気は避けたいものです)
更新の「順番」を間違えるとデータが壊れる
WordPressの更新には正しい手順があります。まずバックアップを取得し、プラグインをすべて無効化し、WordPress本体を更新し、テーマを更新し、プラグインを1つずつ有効化しながら動作確認する。この順番を守らないと、データベースの不整合やファイルの破損が発生するリスクがあります。
WordPress.org公式ドキュメントでも、アップデート前にサイトのバックアップを取ることが推奨されています(出典 WordPress.org WordPressの更新)。しかし現実には「とりあえず更新ボタンを押す」「全部まとめて更新する」という対応が横行しています。問題が起きても、どの更新が原因なのか切り分けができなくなります。
更新後の動作確認が不十分で不具合を見落とす
更新ボタンを押して「更新完了」の表示が出ても、作業は終わりではありません。トップページ、主要な固定ページ、問い合わせフォーム、ブログ記事、スマホ表示をそれぞれ確認する必要があります。フォームの送信テスト、ショッピングカートの決済テスト(ECサイトの場合)まで含めると、動作確認だけで30分〜1時間かかります。
自社対応の場合、この動作確認が省略されがちです。「トップページは表示されているから大丈夫」と判断して、問い合わせフォームが動かなくなっていることに1週間気づかなかった、という事例は珍しくありません。その1週間で何件の問い合わせを逃したのかは、永遠にわかりません。
「ボタンを押すだけ」に見える更新作業の実際の工程
プロが行う更新作業は7ステップある
WordPress保守の専門業者が行う更新作業の全工程は以下の通りです。
- 更新内容の確認(WordPress本体・プラグイン・テーマのリリースノート精査)
- フルバックアップの取得(ファイル一式とデータベース)
- テスト環境での事前更新と動作確認
- 本番環境での更新実行
- 全ページの表示確認とフォーム・機能テスト
- 不具合発生時のバックアップ切り戻し
- 更新内容と確認結果の記録・報告
管理画面の「更新」ボタンを押す行為は、このうちの1ステップに過ぎません。プロが行う更新作業の本質は、更新そのものではなく「更新しても壊れないことを担保する」プロセス全体にあります。ボタンを押すだけなら誰でもできます。問題は、押した後に何が起きるかを予測し、起きた場合に即座に復旧できる体制があるかどうかです。
テスト環境の有無が決定的な差になる
専門業者の多くは、本番環境とは別にテスト環境(ステージング環境)を用意しています。まずテスト環境で更新を実行し、表示崩れや機能エラーがないことを確認してから、本番環境に適用する。この手順を踏むことで、本番サイトが壊れるリスクを限りなくゼロに近づけます。
自社対応の場合、テスト環境を持っていないケースがほとんどです。本番環境でいきなり更新を実行し、問題が起きてから慌てる。テスト環境の構築には技術知識が必要で、レンタルサーバーの追加契約やサブドメインの設定なども伴います。この環境整備のコストを考えると、最初から外注した方が合理的です。
WordPress更新の外注にかかる費用相場
月額5,000円〜3万円が中心価格帯
WordPress更新作業を含む保守サービスの費用相場は、月額5,000円〜3万円です。この金額の幅は、対応範囲の違いによるものです。
| 価格帯 | 主な対応内容 | 向いている企業 |
|---|---|---|
| 月額5,000円〜1万円 | WordPress本体・プラグインの更新、バックアップ、SSL管理 | 更新頻度が低い小規模サイト |
| 月額1万〜2万円 | 上記に加え、テキスト・画像の修正、セキュリティ監視、障害対応 | 月数回の更新がある中小企業サイト |
| 月額2万〜3万円 | 上記に加え、テスト環境での事前検証、月次レポート、改善提案 | ECサイトや会員サイトなど機能が多いサイト |
弊社のベーシック運用プランは月額1万円からです。WordPress本体・プラグイン・テーマの更新、バックアップ取得、不具合対応、軽微な修正を月額内でカバーします。他社が制作したサイトでも対応可能です。(「うちが作ったサイトじゃないので対応できません」と断られた経験がある方、よくいらっしゃいます)
自社対応のコストは「見えない人件費」に隠れている
「外注すると費用がかかるから自社でやる」という判断は、一見合理的に見えます。しかし、自社対応にもコストは発生しています。それは「見えない人件費」です。
| 項目 | 自社対応の場合 | 外注の場合 |
|---|---|---|
| 月額費用 | 0円(表面上) | 1万〜3万円 |
| 担当者の作業時間 | 月3〜5時間 | 0時間 |
| 人件費換算(時給2,500円) | 月7,500〜12,500円 | 0円 |
| 不具合時の対応時間 | 数時間〜数日(調査含む) | 即日対応(SLA内) |
| 復旧失敗時の外部依頼費 | 5万〜30万円 | 月額内で対応 |
| 機会損失(サイト停止中) | 算出困難だが確実に発生 | 最小限に抑制 |
| 学習コスト | 継続的に発生 | 不要 |
自社対応の「0円」はあくまで表面上の話です。担当者が更新作業に費やす時間は本業から奪われており、その人件費は確実に発生しています。さらに、不具合が発生した場合の対応時間やリスクまで含めると、月1万円の外注費の方が安上がりであるケースがほとんどです。特に、管理職や営業担当がHP更新を「ついでに」やっている場合、時給換算すると月3万〜5万円相当の人件費をWordPress更新に充てていることになります。
外注先を選ぶときに確認すべきポイント
「WordPress更新」の作業範囲を具体的に確認する
WordPress保守サービスを謳っていても、実際の作業内容は業者によって大きく異なります。契約前に以下の項目を確認してください。
- 更新対象はWordPress本体だけか、プラグイン・テーマも含むか
- 更新前のバックアップは毎回取得しているか
- テスト環境での事前確認を行っているか
- 更新後の動作確認はどこまで行うか(トップページだけか、全ページか)
- 不具合発生時の対応は月額内か、別途費用か
- 更新頻度は月何回か(月1回か、リリースの都度か)
特に注意すべきなのは、「自動更新を有効にするだけ」で月額を請求している業者です。WordPressの自動更新機能は管理画面からワンクリックで設定できます。技術的にはコストゼロの作業です。自動更新は不具合が起きても自動では復旧しません。「更新した」と「安全に更新した」は別の作業です。
他社制作サイトへの対応可否を事前に聞く
WordPress保守の外注で意外とハードルになるのが、「他社が制作したサイトの保守を引き受けてくれるかどうか」です。制作会社の多くは、自社で制作したサイト以外の保守を断ります。理由は「コードの品質が保証できない」「何が入っているかわからないサイトは触りたくない」というものです。(気持ちはわかりますが、困るのはお客様です)
弊社は他社制作サイトの保守を積極的に引き受けています。むしろ、お問い合わせの半数以上が「前の制作会社と連絡が取れなくなった」「保守契約を切られた」という方です。サイトの状態を確認し、必要なセキュリティ対策を施した上で、通常の保守管理に移行します。
契約期間と解約条件を確認する
保守サービスの中には、最低契約期間を12か月に設定している業者があります。サービスの質が期待と異なった場合に、1年間解約できないのはリスクです。以下のポイントを契約前に確認してください。
- 最低契約期間は何か月か
- 解約の申し出は何日前までに必要か
- 解約時にサイトのデータ(バックアップ)は引き渡してもらえるか
- 解約後もドメイン・サーバーの管理権限は自社に残るか
特にドメインとサーバーの管理権限は重要です。業者の名義でドメインやサーバーを契約している場合、解約時にサイトごと消滅するリスクがあります。自社名義での契約を維持し、管理権限を保持したまま運用だけを外注する形が理想的です。
更新作業の外注で得られる3つのメリット
本業に集中する時間を取り戻せる
WordPress更新の外注で得られる最大のメリットは、担当者が本業に集中できるようになることです。月3〜5時間の更新作業がなくなるだけでなく、「更新しなきゃ」「セキュリティ大丈夫かな」という心理的な負担からも解放されます。
中小企業では、総務や営業がHP更新を兼務しているケースが大半です。その担当者が営業に出ている間はサイトの更新が止まり、セキュリティの脆弱性も放置される。外注によって「いつ誰が対応するか」を気にする必要がなくなること自体が、組織全体の生産性向上につながります。
セキュリティの専門知識を自社で持つ必要がない
WordPressのセキュリティ対策は、更新だけでは完結しません。WAF(Web Application Firewall)の設定、ファイルパーミッションの適正化、ログインURLの変更、ブルートフォース攻撃対策、定期的な脆弱性スキャンなど、多層的な防御が求められます。
IPA(独立行政法人 情報処理推進機構)は「安全なウェブサイトの運用管理に向けての20ヶ条」において、ウェブサーバやCMSで利用しているソフトウェアを適切にアップデートし、脆弱性対策を行うことを推奨しています(出典 IPA CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント)。これらの知識を自社で維持するコストと、外注費用を比較したとき、外注の方が合理的であることは明らかです。
トラブル時の復旧が圧倒的に早い
更新作業で不具合が発生した場合、自社対応では「何が起きたのかを調べる」ところから始まります。エラーログの確認方法がわからない、FTPの接続情報がどこにあるかわからない、そもそもバックアップを取っていなかった。こうした状況では、復旧に数日かかることも珍しくありません。
保守の専門業者であれば、更新前にバックアップを取得済みのため、最悪の場合でも数分〜数十分で切り戻しが完了します。エラーの原因特定もログの確認からプラグインの切り分けまで手慣れた作業です。「サイトが止まっている時間」を最小限に抑えられるのは、外注ならではの強みです。
自社対応が成立するのは限られた条件の企業だけ
社内にWordPressの技術者がいる場合のみ成立する
誤解のないように言えば、WordPress更新の自社対応が間違いなわけではありません。以下の条件をすべて満たす企業であれば、自社対応は合理的な選択です。
- PHP・MySQLの基礎知識を持つ担当者がいる
- FTP・SSHでサーバーに接続して操作できる
- バックアップの取得・復元を自力で行える
- テスト環境を構築・運用できる
- セキュリティ情報を定期的にキャッチアップしている
- 担当者が退職しても引き継ぎできる体制がある
最後の「引き継ぎ体制」は見落とされがちですが、極めて重要です。自社対応の最大のリスクは、担当者の退職によって突然ノウハウがゼロになることです。属人化した運用は、その人がいなくなった瞬間に破綻します。外注であれば、担当者の退職に関係なく、サービスが継続します。
「詳しい社員がいるから大丈夫」は危険な判断
「うちにはITに詳しい社員がいるから自分たちでやれます」という声をよく聞きます。しかし「ITに詳しい」と「WordPressの保守運用ができる」は別のスキルです。ExcelやGoogle Workspaceに詳しいことと、PHPのエラーログを読んでプラグインの互換性問題を切り分けることは、まったく異なる領域です。
さらに言えば、その「詳しい社員」は本業があります。営業成績やプロジェクト管理が本来の仕事であるにもかかわらず、WordPressのトラブル対応に半日を費やす。これは本人にとっても会社にとっても損失です。(「パソコンに詳しい」というだけで社内のIT全般を押し付けられる人、どの会社にもいます。その人の負担を減らす意味でも外注は有効です)
WordPress更新の外注を始める手順
まず現状のサイト状態を把握する
外注を検討する際、最初にやるべきことは自社サイトの現状把握です。以下の情報を確認してください。
- WordPressのバージョン(管理画面のダッシュボードで確認可能)
- 使用中のプラグインの数とそれぞれのバージョン
- 使用テーマの名前とバージョン
- サーバーの契約先とプラン
- ドメインの契約先と有効期限
- 直近のバックアップの有無と保管場所
- 管理者アカウントの一覧
これらの情報があれば、外注先との初回打ち合わせがスムーズに進みます。逆に「サーバーがどこかわからない」「ログイン情報が不明」という状態であれば、それこそが外注すべきサインです。サイトの管理状況すら把握できていないということは、セキュリティ管理も行き届いていない可能性が高いからです。
複数社から見積もりを取って比較する
保守サービスの業者選定では、最低でも2〜3社から見積もりを取ることを推奨します。その際、単に月額だけを比較するのではなく、以下の観点で評価してください。
| 比較項目 | 確認すべき内容 |
|---|---|
| 対応範囲 | 月額内でできる作業の一覧を書面で取得する |
| 対応速度 | 依頼から対応完了までの標準的な所要時間 |
| 障害時の対応 | 営業時間外の対応可否、復旧までの目標時間 |
| 報告体制 | 月次レポートの有無、更新履歴の共有方法 |
| 解約条件 | 最低契約期間、解約時のデータ引き渡し |
| 実績 | 管理サイト数、WordPress保守の経験年数 |
価格だけで選ぶと「月額は安いが何もしてくれない」業者に当たるリスクがあります。逆に、高額だからといって質が高いとも限りません。作業内容と費用のバランスを見て、自社のニーズに合ったサービスを選んでください。
最後に
WordPressの更新作業は、見た目のシンプルさとは裏腹に、セキュリティと安定運用に直結する重要な作業です。専任のエンジニアを抱えていない中小企業にとって、更新作業を外注することは「コストをかける」のではなく「リスクとコストを下げる」合理的な選択です。
月1万円の外注費で、セキュリティリスクの低減、担当者の本業復帰、トラブル時の迅速な復旧が手に入ります。自社対応で見えない人件費を払い続けるのか、外注で可視化されたコストとして管理するのか。どちらが経営判断として健全かは明白です。
弊社は月額1万円からWordPressの保守・更新を代行しています。他社が制作したサイトでも対応可能です。「更新作業の負担を減らしたい」「セキュリティが心配」という方は、まずはサイトの現状確認からお気軽にご相談ください。
