Podcast: Embed
Webで購読する Apple Podcasts | Spotify | Amazon Music | Pandora | RSS | More
ラウンドナップWebコンサルティングの中山陽平です。
この記事のまとめ
このページでは、WordPressサイトを「作ったまま放置」してしまうことのリスクと、その対策、そして代替案としての Wix という選択肢についてお話しします。内容を先にざっくりまとめると、次のようになります。
- WordPress自体はとても優れたCMS(Content Management System)で、きちんと運用できるなら積極的に使う価値がある
- ただし「入れたら終わり」ではなく、日々のアップデートやプラグイン管理など、継続的なメンテナンスが前提になっている
- メンテナンスを怠ると、サイトだけでなくお客さま側にも被害が出るセキュリティリスクが現実的に存在する
- WordPressを選ぶなら、サーバー代+月々の保守費+数年ごとのPHPバージョンアップ費用まで含めてトータルコストを考える必要がある
- 「自分たちだけで守りきる自信がない」場合は、保守を外部に任せるか、そもそも Wix などのホスティング込みサービスに切り替えるという選択肢がある
- 2025年3月時点で、セキュリティや運用に不安が強いなら、代替案としてまず検討してほしいのが Wix(有料のオンラインサービスで、バージョンアップなどはサービス側が行ってくれる)
- 今、自分のサイトが何で動いているか分からない場合は、まずそこを確認することが最優先になる
ここから先は、ポッドキャストでお話しした内容をベースに、できるだけそのままの温度感で整理しながら、順番を入れ替えつつ読みやすい形にしていきます。
はじめに:WordPressサイト運用のモヤモヤ
「とりあえずWordPressで作ってもらったけれど、その後ほとんど触れていない」「メンテナンスって聞くけれど、正直あまり分からないまま放置している」 そんな状態になっているサイトは、実はかなり多いです。
問い合わせをいただいてサイトの中を見てみると、
- WordPress本体のバージョンがかなり古いまま
- プラグインが何年もアップデートされていない
- 管理画面に入ると更新通知が大量に溜まっている
といった状態で止まっているケースは、決して珍しくありません。
この記事では、そのような「なんとなく不安だけれど、何をどう考えればよいか分からない」というモヤモヤを、リスクと対策、代替案という3つの切り口で整理していきます。
WordPressは便利でコスパの良いCMS。ただし「メンテナンス前提」
なぜWordPressがよく選ばれるのか
まず前提として、私はWordPressはきちんと運用されていれば本当に素晴らしいソフトウェアだと思っています。 実際、うちで制作・納品しているサイトのうち、感覚的には7〜8割がWordPressベースです。
WordPressが選ばれる大きな理由は、だいたい次のようなところです。
- 本体が無料で使えるオープンソース
- Movable Type など他のCMSと比べても、圧倒的なシェアと情報量がある
- プラグインを入れることで、昔なら何十万・何百万かかったような機能も低コストで実現しやすい
- 制作会社側から見ても、構築・拡張のしやすさという意味でメリットが大きい
こういった背景もあって、「コストを抑えたい」「自分たちで更新したい」という相談をいただいたときに、WordPressを選ばれることはとても多いですし、私自身も条件が合えば積極的に提案しています。
ただし「入れたら終わり」ではなく「守って育てるもの」
一方で、便利さの裏には必ず注意点があります。WordPressの場合、その一番大きなポイントが、 作って終わりではなく、日々のメンテナンスが前提になっているということです。
ここがあいまいなまま、
- 初期費用が安いから
- コスト削減になると聞いたから
という理由だけでWordPressを選んでしまうと、あとからセキュリティリスクと運用コストの両面で「こんなはずでは」となりやすいところがあります。
放置されたWordPressに実際に起きていること
週に100件以上の脆弱性が報告される世界
「WordPressは脆弱性が多い」「セキュリティが心配」という話を、漠然と耳にされたことがあるかもしれません。 ただ、どれくらいの頻度で問題が見つかっているのかまでは、あまりイメージしづらいですよね。
WordPress向けのセキュリティプラグインとして有名な Wordfence(ワードフェンス) は、運営会社が週次で 「Weekly WordPress Vulnerability Report」 というレポートを出しています。 そこでは、ある週だけでも100件を超える脆弱性が報告されていることがあります。
その中には、
- 「あまり深刻ではないもの」
- 「サイトの乗っ取りやデータ流出につながり得る、重大・重要なもの」
が混ざっていて、重大〜重要クラスのものだけでもざっくり4分の1程度を占める週もあります。
さらにポイントなのは、
- すぐにプラグイン側やWordPress本体側で対策パッチが出るものもあれば
- しばらく対応されないものもある
ということです。 つまり、毎日きちんとアップデートしていたとしても、ある程度の期間は脆弱な状態にさらされてしまう可能性があるということになります。
これはWordPressに限らず、サーバーにインストールして使うあらゆるソフトウェアに共通する話ではありますが、それだけ「放置してよいものではない」ということだけは、ぜひ押さえておいてもらえればと思います。
よくある攻撃パターン 5つ
具体的な専門用語は覚える必要はありませんが、どんなことが起き得るのかをイメージしやすくするために、代表的なものを5つだけ挙げておきます。
- XSS(Cross Site Scripting)クロスサイトスクリプティング
コメント欄やお問い合わせフォームなど、ユーザーが入力できる場所を通じて、本来は入ってはいけないスクリプト(プログラム)を仕込まれてしまう攻撃です。 そのページを見た人が、意図せず怪しいサイトに飛ばされたり、望まない処理を自動的に実行させられたりする可能性があります。 - CSRF(Cross Site Request Forgery)クロスサイトリクエストフォージェリ
こちらは、ユーザーが気づかないうちに別のサイトに対する不正な操作が行われてしまう攻撃です。 例えば、ログイン中の別サービスに対して勝手に設定変更や投稿などを行われてしまう、といったイメージです。 - ミッシングオーソリゼーション(認可漏れ)による情報閲覧
本来はログインしている人だけ、あるいは特定の権限がある人だけが見られるはずの画面やファイルが、外部からも見えてしまう状態になるケースです。 例えば、社内用の在庫管理画面やレポート画面、お客さまの情報を扱う画面が外から丸見えになってしまう、といったイメージです。 - SQL(Structured Query Language)インジェクション
SQLは、データベースを操作するための言語の名前です。 ここに悪意のある命令文を紛れ込ませることで、データベースの中にあるお客さま情報などを盗み出されてしまう可能性があります。 いわゆる「顧客情報の流出」としてニュースになるケースでよく問題になる攻撃です。 - 認証バイパス(ログインをすり抜ける攻撃)
本来はログインしないと触れないはずの機能や管理画面に、ログインをすり抜けて入られてしまうような脆弱性もあります。 これが起きると、管理者権限を乗っ取られてマルウェアをアップロードされるなど、被害が一気に重くなります。
こうした攻撃は、サイトの中だけで完結するものではありません。 皆さん自身のサイトだけでなく、そのサイトにアクセスしてくれたお客さま側にも被害を与えてしまう可能性があるということを、まずは知っておいてもらえれば十分です。
メンテナンスをさぼると何が起きるか
実際の現場でよく見かけるのは、次のようなパターンです。
- 見せるつもりのないファイルや情報が外から見えてしまう
- データベースの中身を覗かれ、顧客情報が盗まれる
- 管理者権限を乗っ取られ、マルウェアを仕込まれる
- コメント欄やフォーム経由で、怪しいサイトへのリンクを大量に貼られる
- 訪問者が、気づかないうちに他サイトへの攻撃に加担させられる
ここまで来ると、単に「自分たちのサイトが止まって困る」という話では済まず、お客さまや取引先に迷惑をかけるレベルの問題になります。
実際、うちにも年に何件か、「何かおかしい」「変な表示が出る」といったご相談が入りますが、発生後の対応はかなり大変です。 復旧作業に時間も費用もかかりますし、完全に元どおりに戻せないケースもあります。
その意味でも、「何か起こってから考える」のではなく、「起こる前にどこまで備えるか」を決めておくことが大事だと感じています。
更新とプラグイン管理の考え方
理想は「毎日アップデート」
WordPress本体もプラグインも、開発元は継続的にアップデートを提供してくれています。 そのため、基本的なスタンスとしては、
- WordPress本体・プラグインともに、できる限り最新版に保つ
- 最低でも1日1回はアップデートがないか確認する
という運用が理想です。
ただ現実には、皆さんご自身でそこまで細かく見るのはなかなか難しいと思います。 更新ボタンを押すだけでは済まず、テーマや他のプラグインとの相性チェックなども必要になることがあります。
プラグインは「最小限+信頼できるもの」だけに
もう一つ大事なのがプラグインの扱いです。 便利な無料プラグインはたくさんありますが、その中には
- 制作者がほとんどメンテナンスしていないもの
- 最終更新が何年も前のままのもの
も少なくありません。
そのため、よく言われるように、
- プラグインは「どうしても必要な最小限」にする
- 重要でリスクも高い領域は、有料プラグインでサポートを受ける
- 最終更新が古すぎるものは、できるだけ使わない
- 自分で実装できるものは、プラグインに頼らず自作する
といった方針を取るのが現実的です。
ここも、単に「無料だから助かる」で終わらせず、「このプラグインは今後もちゃんと面倒を見てもらえそうか」という視点を持っておくと、トラブルをだいぶ減らせます。
現実的なコスト:サーバー代・保守費・PHPバージョンアップ
WordPressは「無料で使える」というイメージが強いのですが、実際に運用していくには、次のようなコストが発生します。
サーバー費用
レンタルサーバーの料金は規模や性能によってかなり幅がありますが、
- 小規模なサイトであれば、月額500〜1,500円程度
- ある程度アクセスがあり、リソースに余裕を持ちたい場合は、月額1,500〜5,000円程度
といったゾーンに収まることが多い印象です。
日々の保守・メンテナンス費用
ここが見落とされがちな部分です。 制作とセットで「運用・保守」を解説している会社もあれば、「保守だけの契約は受けていない」という会社もあります。
感覚的には、
- 制作やコンサルティングとセットであれば、月額1〜2万円台で保守まで含めているケースもある
- メンテナンス単体だけで依頼しようとすると、月額5万円以上かかることもあり、そもそも受けていない会社も多い
といったところです。
単体の保守が高くなりやすい理由はシンプルで、
- 責任範囲が広い
- 毎日サイトの状態をチェックし、更新作業を行う必要がある
という意味で、人件費や工数がそれなりにかかるからです。
数年ごとのPHPバージョンアップ費用
もう一つ、あまり意識されていないのがPHPのバージョンアップです。 PHPはWordPressを動かすためのサーバー側のプログラミング言語で、数年おきに大きなバージョンアップが行われます。
そのタイミングでは、
- サイトを一時的に止める
- PHPのバージョンを上げる
- WordPress本体・プラグイン・テーマが問題なく動くか確認する
といった作業が必要になります。
規模によってかなり変わりますが、一般的なサイトでも、10万円台〜20万円台程度の費用感になることが多く、 もっと大規模なサイトであれば、そこからさらに一桁上がる可能性もあります。
こういった追加コストをトータルで見てみると、
- 「初期費用が安いからWordPressにした」
つもりが、年間トータルでは思ったよりも費用がかかっていたということになりがちです。
それでも「自分たちで更新できるサイト」はマスト
ここまで読むと、「WordPressは大変そうだし、やめた方が良いのでは」と感じられたかもしれません。 ただ私の考えは逆で、「自分たちでちゃんと運用できるなら、WordPressベースのサイトはどんどん作るべき」だと思っています。
理由はシンプルで、自分たちでページを編集・追加できることは、これからの時代ほぼ必須だからです。
例えば、
- よくある質問を一つ追加したい
- トップページの文章を少し分かりやすく書き換えたい
- キャンペーンのお知らせページを1ページ追加したい
こういったことを、すべて制作会社に依頼して、そのたびに数万円かかっていたとしたら、1か月で簡単に2桁〜3桁のコストになってしまいます。
一方で、自分たちでログインして編集できる仕組みがあれば、自社の人件費は別として、お金という意味ではほぼゼロに近いコストで回していけます。
私は、現場での生産活動と、情報発信・販売の現場をできるだけ近づけていくことが大事だと考えています。 そういう意味でも、
- 「自分たちで自分たちのウェブサイトをコントロールできるようにする」
というのは、やはり外せないポイントだと思います。
WordPressを続けるか迷ったときの判断基準
自分たちで守り続けられるなら、WordPressは有力な選択肢
ここまでの話を踏まえると、
- 日々のアップデートやプラグイン管理
- 数年おきのPHPバージョンアップ
- セキュリティ情報のキャッチアップ
といったことを含めて、「自分たちで守っていく覚悟が持てるかどうか」が、一つの判断基準になります。
その覚悟と体制を整えられるのであれば、WordPressは今でも第一選択肢で良いと私は考えています。
自分たちだけでは難しいと感じるなら、保守を外部に任せる
「中身を聞いてみると、自分たちだけでメンテナンスするのは正直厳しそうだ」 そう感じた場合は、月額の保守費を払って外部に任せるという選択肢があります。
費用は会社によってかなり違いますが、
- 制作やコンサルティングとセットであれば月額1〜2万円台
- 保守単体であれば月額5万円以上、もしくはそもそも受けていない
といったケースが多い印象です。
大事なのは、「初期費用だけで比較しない」ことです。 WordPressを選ぶ時点で、ある程度の保守費を事前に見込んでおくことが、後悔を減らすポイントになります。
「メンテナンスも考えるのも嫌だ」という判断もあり
一方で、「そこまで考えるのは正直しんどい。自分たちの本業に集中したい」という判断も、経営上は十分ありだと思います。
その場合に、いきなり昔ながらの静的HTMLサイトに戻るのは、個人的にはあまりおすすめしません。 自分たちで更新するハードルが上がりすぎて、結局「また放置サイト」になってしまうからです。
そこで出てくるのが、Wixのような、サーバー込み・保守込みのオンラインサービスという選択肢です。
代替案としてのWixという選択肢
ここからは、WordPressの代わりに検討できるサービスとしてのWixについてお話しします。
2025年3月にポッドキャストを収録している時点で、セキュリティ面やシステム面の不安が大きい会社に対して、「WordPress以外ならまずはここを検討してみては」と思っているのがWixです。
他にも似たようなサービスはありますが、サービス内容が変わる可能性もあり、具体的に「ここはやめた方がいい」といった話はここではしません。 その中で、現時点でバランスが良いと感じているのがWixという位置づけです。
Wixのメリット
実際に毎月のようにWixのサイトを構築していて、「ここは良いな」と感じているポイントを挙げると、だいたい次のようなところです。
- 見たまま編集できるビジュアルエディタで、操作感が比較的分かりやすい
- テンプレートからセミカスタマイズも、ゼロからフルカスタマイズもできる
- ブログ機能や簡単なショッピング機能など、よく求められる機能が最初からある程度そろっている
- 有料プランであれば、予約制の電話サポートやメールサポートが用意されている
- WordPressのように自分でバージョンアップ作業をする必要がない(サービス側が面倒を見てくれる)
- レンタルサーバーを別途契約しなくてもよい(ホスティング込みのサービス)
特に大きいのがサポートとバージョンアップの部分です。
WordPressの世界では、分からないことがあっても「どこに聞けばいいのか分からない」「聞ける人がいない」という理由で、結果として放置されてしまうケースが少なくありません。
Wixの場合は、
- 有料プランの範囲でサポート窓口が用意されている
- サービス側がインフラやソフトウェアのアップデートを行ってくれる
という形なので、「自分たちで守らないといけない部分」がかなり少ないのが特徴です。
Wixのデメリット・注意点
もちろん、Wixにも注意点があります。
- 自由度はWordPressより低い 非常に細かいカスタマイズや、特殊な機能を実装したい場合には、WordPressの方が向いているケースも多いです。
- 情報量(ノウハウ)はWordPressほど多くない マイナーな機能を実現しようとしたときに、「検索しても情報が出てこない」という場面はどうしても増えます。
- メールアドレス周りのコスト ドメインのメールアドレスをWix経由で用意しようとすると、それなりの費用がかかります。 ドメイン設定しだいで外部のメールサービスを使う選択肢もありますが、仕様や制約が変わりやすい部分なので、実際に運用する際は必ず最新の公式ヘルプやサポートで確認することをおすすめします。
このあたりを踏まえると、
- 「ものすごく凝ったシステムを作りたい」のでなければWix
- 高度な拡張や特殊な要件があるならWordPress+きちんとした保守
といった棲み分けになることが多いかなと感じています。
料金イメージと公式ページ
Wixの有料プランも細かく見るといろいろありますが、個人や小規模のビジネス用途であれば、月額数千円台前半のプランで十分なことが多いです。 プラン内容や料金は随時変わる可能性がありますので、詳しくは公式の料金ページを確認してください。
実務的には、
- 最初の半年くらいは制作会社やパートナーに構築と運用サポートをお願いする
- その後、だんだん自分たちで更新・運用していく比率を増やしていく
という形にするのが、システム面・セキュリティ面の不安が強い場合には現実的かなと感じています。
ちなみに、この話をポッドキャストで収録しているとき、途中で地元の防災無線が入ってきて話が一瞬飛びました。 そのくらい、現場の生活感そのままの感覚でお話ししているテーマだということも、少しだけ伝わればうれしいです。
著者として実際にやっているサポート
うちの会社では、WordPressでサイトを制作した場合、
- 操作サポート(更新の仕方のレクチャーなど)
- 最低限のメンテナンス(本体・プラグインの更新など)
- PHPバージョンアップ作業の割引
といった形で、「守る」部分もセットにしたコンサルティング契約にしているケースが多いです。
また、「今のサイトの状態がそもそも危ないのかどうか分からない」という相談に対しては、
- ソースコードを確認して、WordPressかどうか、状態がどうかをチェックする
- 場合によっては、Wixなど他サービスへの移行を含めて提案する
- 必要であれば、移行作業までまとめて対応する
といった形でお手伝いしています。 お問い合わせフォームからは、匿名に近い形でご相談いただいても構いません。
もちろん完全に無料というわけにはいきませんが、できるだけ負担にならない形を一緒に考えていくというスタンスでやっています。
もう一度まとめ:WordPress運用とWixという選択肢
最後に、もう一度ポイントを整理します。
- WordPressは、きちんと運用できるなら今でも非常に優れた選択肢 自分たちで更新できることの価値はとても大きいです。
- ただし「自分たちでインストールして、自分たちの責任で使うオープンソース」であることを忘れてはいけません。 放置したWordPressサイトは、サイトだけでなくお客さまにも被害を与えかねないリスクを抱えます。
- 自分たちで守る自信がないなら、月額費用を払って保守を任せるというのは、ごく自然な判断です。
- それすら負担に感じる場合は、いきなり静的HTMLに戻るのではなく、Wixのような「サーバー込み・保守込み」のサービスを検討するのがおすすめです。
- 今、自分のサイトが何で動いているか分からない方は、まずそこを確認するところから始めてみてください。
何か事故が起きてから慌てて調べるのではなく、起きる前にどういう方向性で守るのかを決めておくだけでも、かなり安心感は違ってきます。
ラウンドナップWebコンサルティングでは、こうしたWordPressやWixを含めたウェブ活用全体の相談を日々お受けしています。 「うちのサイト、このままで大丈夫かな」と少しでも不安があれば、何か起きる前に、一度状況だけでも確認してみることをおすすめします。
ここまでお読みいただき、ありがとうございました。
関連リンク
- Hardening WordPress – Advanced Administration Handbook(公式ドキュメント)
- Security – WordPress.org(公式セキュリティページ)
- Wordfence: WordPress Security Plugin(公式サイト)
- Wix.com 日本語公式サイト
- PHP: Supported Versions(公式サポートポリシー)
FAQ
- Q1. WordPressサイトを放置すると、具体的にどんなリスクがありますか。
-
WordPress本体やプラグインを長期間アップデートしないまま放置すると、既に知られている脆弱性がそのまま残り続けます。 その結果、
- 見せるつもりのないファイルや情報が外部から見えてしまう
- データベースから顧客情報を盗まれる
- 管理者権限を乗っ取られてマルウェアを仕込まれる
- 訪問者が勝手に怪しいサイトへリダイレクトされる
といったことが起きる可能性があります。 サイトだけでなく、お客さま側にも被害が及ぶリスクがある点が重要です。
- Q2. WordPressのメンテナンスは、どれくらいの頻度で行うべきでしょうか。
-
理想を言えば、1日に1回程度はWordPress本体とプラグインの更新状況を確認し、可能なものはその都度アップデートするのがベストです。 実務上そこまで難しい場合でも、
- 少なくとも週に1回程度は管理画面にログインして更新状況を見る
- 主要なプラグインやテーマは、定期的に更新されているものを選ぶ
といった運用を心がけるだけでも、リスクはかなり下げられます。
- Q3. WordPressサイトのメンテナンス費用は、どのくらい見込んでおくべきですか。
-
サーバー費用とは別に、WordPressの保守としては、
- 制作やコンサルティングとセットであれば、月額1〜2万円台程度
- 保守だけを単体で依頼する場合は、月額5万円以上になることもある
- 数年おきのPHPバージョンアップで、10万円台〜20万円台程度の費用が発生することが多い
といったイメージになります(サイトの規模や内容によって大きく変わります)。 「初期費用はいくらか」だけでなく、こうしたランニングコストも含めて比較検討するのがおすすめです。
- Q4. Wixにすると、セキュリティやバージョンアップはどうなりますか。
-
Wixは、サーバーもソフトウェアも含めたオンラインサービスです。 WordPressのように自分で本体やプラグインをアップデートする必要はなく、Wix側がインフラやソフトウェアの更新・保守を行う前提になっています。
そのため、運用者側が意識すべきなのは、
- アカウント情報の管理(パスワードや二段階認証など)
- サイトの構成やコンテンツの更新
が中心になり、「サーバーのセキュリティパッチを当てる」といった作業からは解放される形になります。
- Q5. 今使っているサイトがWordPressかどうか分かりません。まず何をすれば良いでしょうか。
-
まずは、自分のサイトが何で動いているのかを把握するところから始めるのがおすすめです。 制作会社や管理をお願いしている会社が分かっていれば、そこに「WordPressで構築されていますか」と聞いてみるのが一番早い方法です。
分からない場合は、
- ソースコードを見てWordPress特有の記述があるか確認する
- 相談フォームから、サイトURLだけ送ってチェックしてもらう
といった形でも判断できます。 いずれにしても、「正体が分からないまま放置する」のが一番危ない状態なので、まずは現状把握から進めてみてください。
続きはPodcastをご覧下さい。
配信スタンド
- Apple iTunes 公式ストア Podcast(おすすめ)
https://itunes.apple.com/jp/podcast/zhong-shan-yang-pingno-non/id750899892 - YoutubePodcast(旧:GooglePodcast)
https://www.youtube.com/user/WebMarketingJAPAN - Spotify
https://open.spotify.com/show/0K4rlDgsDCWM6lV2CJj4Mj - Amazon Music
Amazon Podcasts
■Podcast /Webinar への質問は
こちらのフォームへどうぞ。
https://forms.gle/Lvy4nVauyJ2SRhJM7
運営・進行
株式会社ラウンドナップ(ラウンドナップWebコンサルティング)
代表取締役・コンサルタント 中山陽平
Webサイト:https://roundup-inc.co.jp/
