WordPress保守管理サービスのメリット・デメリット

中小企業や個人事業主のウェブサイトでWordPressを使って制作するケースは非常に多いです。様々なサイト制作に携わってきた中で、WordPressサイトの公開後はどのように保守や管理をしていますか？と聞くと、社内でも外注でも自身持って保守管理していますと答えられる方は少ない印象です。

その理由として、保守や管理って何をしているのかよく見えづらいことや、作業内容がわかりづらいことなどがあると思います。その結果、保守をしないままサイト運用し気づいたときにはハッキングされていた！ということにもなり得ます。（実際にそういった事例がありました）

そうならないために、WordPressで運用している会社やサービス向けにWordPressの保守や管理を行うサービスがあります。制作した会社が保守に対応していない場合や、保守管理だけを依頼したい場合などに利用できるため、社内で対応できない場合は検討する価値があるでしょう。

この記事ではWordPress保守管理サービスを利用した場合のメリットやデメリットを書いていきます。

WordPressと一般的なサイト制作サービスの違い

まず基本的なところのお話です。WordPressは誰もが無料で使えるCMS（コンテンツマネジメントシステム）です。オープンソースという思想のもと、WordPressの核の機能はWordPressによって提供されますが、テーマやプラグインは第三者が制作・開発されたものを導入することほとんどです。また、サーバーやドメインは基本的に利用者側で用意するため、一つのサイトを制作・公開・運用するには様々な人や会社が関わっています。

• サーバー: サーバー会社A
• ドメイン: ドメイン事業者B
• CMS: WordPress
• テーマ: テーマC（第三者による制作）
• プラグイン: プラグインD, プラグインE, プラグインF, プラグインG（第三者による制作）
• サイト制作: 制作会社Hまたは自身

一方、最近は無料でウェブサイトが制作できるWixやJimdo、ペライチやSTUDIOといったサービスもあります。そういったサービスは原則、提供側が全て一元管理しています。

• サーバー: サービス提供元
• ドメイン: サービス提供元（または有料でドメイン持ち込み可）
• CMS: サービス提供元
• テーマ: サービス提供元から自由に選択
• プラグイン: サービス提供元から自由に選択
• サイト制作: 自身（対応している制作会社も有り）

WordPressは必要な機能やデザインなどはすでにあるプラグインやテーマを探してきて自身のサイトにインストールし適用します。必要であれば、プログラムは全てカスタマイズすることも可能です。

しかし一般的なサイト制作サービスは、どのような機能やデザインがあるかは提供元次第となり、カスタマイズできる領域は解放されているものの、制約があるのが通常です。

よって、WordPressの場合はサーバーの保守、ドメインの更新、WordPress関係のアップデート、アップデートに伴うサイトの保守など、多くのことを行う必要がある一方、一般的なサイト制作サービスでは基本的には全て提供元が保守してくれ、同じサイトでも保守の範囲や内容が全く異なってくるのです。

WordPress保守管理サービスを利用するメリット

サービスによって異なりますが、先に述べたようなWordPressの場合に発生する多くの保守や管理作業を社内や自信で行う必要がなくなるというのがメリットです。以下に紹介するメリットは事業者により内容は変わってきますので、導入時にどのようなサービス内容なのかをよくご確認ください。

定期的なバックアップをしてくれる

WordPressはテーマ関連データや各種プラグイン、画像等のメディアファイルなどのサーバー上にあるデータ関連に加え、管理画面から作成した記事やページの保存先であるデータベースによって構成されています。よって、サイト全体をバックアップ取る場合はこのWebデータとデータベースの2つをバックアップする必要があります。

バックアップ先は現在のサイトを稼働させている本番環境上にバックアップすると、万が一サーバー全体に影響があった場合にバックアップデータが安全ではないため、稼働中のサーバーとは別のサーバーへ保存するのが安全です。頻度は毎日実行など、なるべく期間が短いのが好ましいですが、バックアップ先や頻度はサービスにより異なります。

WordPress、プラグイン、テーマ等の各種アップデートをおまかせできる

WordPressを使う以上、アップデートは避けられません。アップデートには以下の種類があります。

• WordPressコア
• プラグイン
• テーマ
• 翻訳

WordPressコアというのはWordPress本体のことで、記事執筆時点でのバージョンは5.4.2です。コアのアップデートは機能追加がメインのメジャーアップデート、セキュリティ修正や細かい修正等がメインのマイナーアップデートにわかれており、現在マイナーアップデートは標準で自動で行われています。問題は機能追加や大きな変更となるメジャーアップデートです。メジャーアップデートによってテーマやプラグインと衝突がありエラーメッセージが表示されたり、崩れや不具合が起きたりすることがあります。

プラグインのアップデートも安全な運用には欠かせません。例えば2019年にあったプラグインによる脆弱性が見つかったケースは以下のようなものがあります。

• WordPress自身が開発しており5百万以上のサイトにインストールされているJetPackプラグインの埋め込みコード脆弱性
• WP MaintenanceプラグインにてCSRFの危険性
• Safe SVGプラグインにクロスサイトスクリプティングなどの複数の脆弱性

参照： WordPress Vulnerability News, November 2019

テーマも注意が必要です。世界中で使われている有名なテーマであるDiviもつい先日脆弱性が発見されました。多くのWordPressサイトを見る機会がありますが、テーマのアップデートを全くしていないサイトも少なく有りません。WordPressコア、プラグインは対応していてもテーマから脆弱性が見つかるケースもあると認識し、常に最新のバージョンにアップデートすることをお勧めします。

あとは翻訳ファイルのアップデートです。基本的にはコアやプラグインのアップデート時に翻訳ファイルもアップデートされますが、まれに翻訳ファイル単体でのアップデートがあります。直接セキュリティリスクが低下するようなことはありませんが、こちらも最新にしておくのが安心です。

WordPressサイトの場合、上記のような各種アップデートを対応する必要があります。バックアップとアップデートだけでも日常的に対応するのはなかなかの作業のため、保守管理サービスを利用する価値があるかと思います。「毎日バックアップしているから、もし何かあったときには馴染みの制作会社に依頼する」という判断もたまに聞きますが、もしハッキングなどの被害があった場合、被害発生から修正や復旧までに迅速に対応できる環境は整っていますか？会社コーポレートサイトや製品サービスサイトなら信頼低下は致命的のため、可能な限り避けたいところです。

必要なセキュリティの対策ができる

WordPressの各種アップデートをしていたとしても、サイト側でのセキュリティ対策をしていないと防げないセキュリティリスクがあります。例えばログイン画面に総当たり攻撃を仕掛けて突破するブルートフォースアタックや、大量のアクセスを与えてサーバーに負荷をかけサイトを落としたりアクセスしづらくする攻撃などです。

そのために、二段階認証を導入したり、同一不正ログインの場合には接続元を一定期間遮断したり、ログインURL自体を変更（基本的にWordPressサイトのログインURLは固有のURLのためすぐにわかる）したりすることで、不正アクセスを防ぎます。

どのようなセキュリティ対策を行っているか、よくサービス内容を確認しましょう。

死活監視を導入できる

ウェブサイトが正常に稼働しているかどうか24時間365日チェックをし、何か問題があれば保守管理側とクライアント担当者へ通知する仕組みです。対応できる技術者がいない場合、死活監視ツールだけを導入してもその後の対応ができないため、死活監視と対応はセットであるべきと考えます。他社制作によるサイトの保守管理を受け付けているところも多いですが、どこまで対応するかという内容はまちまちですのでここもよく確認が必要です。

定期的な改ざんのチェックができる

見に覚えがないファイルがアップロードされていたとしても、WordPressを構成するファイルは数千とありますので普通はまず気が付きません。そこで、不正なファイルが設置されていないか毎日確認することで、被害を最小に抑えることができます。発見された場合原因を特定し、もし不正ファイルによる影響があると考えられる場合、バックアップデータから復旧する必要があります。

改ざんについても発見だけなのか、対応まで含めるのか要確認です。

テスト用の検証環境が用意される

本番環境だけしかない場合、特定のアップデートを確認したり、本番適用前に一度関係者だけで検証したりといったことができません。利用頻度は低くとも、いつでも使えるように検証用のテストサイトがあると安心です。関係者しか閲覧できないため、訪問者や一般ユーザーには影響はなく、より安全な運用を実現します。できれば本番環境と同環境への構築が望ましいですが、色々な事情から難しい場合もあると思うので、どうしても別になる場合はPHPやMySQLのバージョンは最低でも揃えるなど、近づけるようにすることが前提となります。

PHPのアップデートに対応している

WordPressはPHPというプログラム言語でできているため、サーバーで有効となっているPHPのバージョンによりパフォーマンスやセキュリティが変わります。記事執筆時点で公式にサポートされているのはPHP7.2以上です 7.4以上になりました。

参考： PHP: Supported Versions

7.2 7.3以下は公式サポートが終了しており、7.2も2020年12月末でセキュリティサポートが終了となります。7.4も2022年11月末でセキュリティサポートが終了します。

最近のサイクルだとおおよそ3年でサポート終了となるため、公式サポート終了後即危険ということではないのですが、一度作ったサイトを3年以上ほったらかしておくとPHPのセキュリティリスクがあがります。

PHPのアップデートはレンタルサーバーなどでコントロールパネルからわりと簡単にできるところも今は多いのですが、アップデートにより非推奨となる関数や拡張モジュールなどがあるため、エラーメッセージが表示されるようになったり、一見問題なさそうにみえるけどフォーム関連の連携でエラーが出るようになった等、技術的な対応が必要な作業となります。

PHPのアップデートを行うには検証用環境が必須となります。WordPress保守管理でPHPアップデートを対応しているところはあまり多くない印象ですが、長く安全・快適にサイトを運用していくのであれば必須のアップデートとなりますので、対応しているかどうかチェックしましょう。

テクニカルサポートが受けられる

• エラーが表示されている
• 管理画面に不具合が発生している
• 特定のページの表示速度がとても遅い

というようなWordPressや保守管理業務に関する技術的なサポートを受けられます。サーバー自体やドメインに関する質問（オプションを申し込んでいない場合）や、テーマで利用しているCSSやJavaScript等のデザイン・動きなど、WordPress保守管理サービスに関わらない質問は基本的に対象外となることがほとんどです。比較的月額料金が高額なサービスの場合は対応していることもあるかもしれないので、必要とするサービス内容によって判断するといいでしょう。

パフォーマンスの改善ができる

本来は保守や管理の範疇ではないのですが、ページ表示速度の改善やサイト高速化といったパフォーマンスの改善をサービスに含んでいる場合もあります。

本来、ウェブサイトは訪問者に快適に利用できることが望ましいですが、WordPressサイトの場合データベースとの連携があり訪問者のリクエストによって都度画面を生成しているため、HTMLのみの静的なウェブページよりどうしても遅くなりがちです。ページ速度が遅いとコンバージョンに繋がるかもしれなかったアクセスを逃してしまうことになりますし、SEOにもいい影響を与えません。

• 画像の圧縮
• 画像のサイズを適正に変更
• 画像遅延読み込み
• キャッシュを利用
• モバイル端末用の最適化

というような対応を行うことで、訪問者のストレスをより小さくできます。「見た目はおしゃれだけど表示速度が遅めなウェブサイト」というサイトは割と少なくなく、デザインに優れている制作会社やフリーランスはパフォーマンス改善まで行うことはあまりないため、保守管理もしつつ高速化もできるとなお良いことは間違い有りません。

対応している保守管理サービスは限られてくるため、導入時にパフォーマンスまで含めているサービスを検討しましょう。

定期的にレポートが送られてくる

• 各種アップデート
• アクセス状況
• バックアップの実行データ
• セキュリティスキャン情報
• サイト稼働状況

といったレポートが定期的に送付されることにより、「今週は何件アップデートしたな」「ここ1ヶ月はサイトが一度も落ちていないな」といったなかなか見えづらい情報が把握できるようになります。

レポート内容はサービスによって様々のため、上記の情報を参考にどのような情報が送られてくるのか各種確認しましょう。

WordPress保守管理サービス利用によるデメリット

コストがかかる

これは当たり前なのですが、サービス導入によりサイト制作後でも料金が発生します。今まで社内だけで完結していたような会社や、自身で管理されていた個人事業主などの場合、いままでは発生しなかったコストとなります。費用レンジは初期費用0〜50,000円程度、月額費用10,000円弱〜50,000円程度と幅があります。

コストだけで考えるなら、保守管理を社内や自信で行った場合にかかる時間をコストとして計算し、安い方を選ぶでいいかと思います。

とはいえ、もしも起こってしまった最悪のケースを想定して社内だけで対応できないのであれば、備えの保険として外部に委託するのは一つの選択です。

社内にナレッジが蓄積されない

外部にバックアップやアップデート作業、復旧作業などを依頼するため、発生する作業を行っていくことにより社内に蓄積されたであろうノウハウや経験は貯まりません。

とはいえ、毎回不定期に発生する慣れない作業を社内だけで完結するよりかは、外部専門家のリソースをうまく使って、社内だけでしかできない作業に専念したほうが経営的には正しいのではないでしょうか。

一定のナレッジを蓄積させていくためには、不具合やエラーが発生した際に、何が原因だったのか・どのようにして解消したか・今後発生する可能性はあるか・発生した場合の対応方法といった点について説明できる・してくれる保守管理サービスを利用することをおすすめします。

今まで見えていなかった問題が浮き彫りになる

これは長期的にはメリットと捉えていますが、表面化していなかった問題が浮き彫りになってしまうケースがまれにあります。WordPressサイトといっても、作り方は制作者によって千差万別のため、なかには「なぜこのようなプログラムを組んだのだろう？」「もっとこうしたほうが簡素だし効率がいいやりかたがある」「このプラグインを選定した理由は……？」といった問題に直面することもしばしばあります。

保守管理事業者側としては業務上必要な場合において調査結果や原因は報告することとなると思いますが、クライアントによってはサイトを制作した会社やフリーランスに対して疑念を抱くことに繋がることもなくはありません。ただ、短期的にはそう見えますが、長期で考えると問題が見つかることはよいことなので、ゆっくりとじっくりと改善していけばいい話かなと思います。

まとめ

以上、WordPress保守管理サービス導入におけるメリット・デメリットのご紹介でした。社内でできるのか、できないならどの部分をお願いしたいのか、どの部分は対応して対応しない項目は何か、といったことを明確にしてから申し込むと、契約後に大きな問題なく今まで割かれていたリソースを減らすことに繋がるのではないかと思います。

WordPressはもともとブログを作るサービスとしてスタートしましたが、今ではコーポレートサイトやイベントサイト、会員サイトやオンラインショップまで、作れないものはないんじゃないかと思うくらい多様なサイトが作れるようになりました。（WordPressという選択肢がベストかどうか別として）

そのような特殊なケースにおいても保守はしていかないといけないですが、対応できていないという声はありますし、実際にセキュリティリスクがある状態で運用しているケースも見てきました。

本記事はハイファイブクリエイトが提供するWordPress保守管理サポートの内容をもとに記載しているため、サービス内容は事業者によって変わってきます。お申し込みの際にはどのようなサービスが提供されるのかよくご確認ください。

WordPressの保守管理を行っている事業者一覧は以下をご参考ください：
WordPress保守サービスの比較まとめ