「WordPressの更新、もう何年も放置しているかも…」このような不安を抱えていませんか。
特に中小企業では、担当者の退職や制作会社との契約切れをきっかけに、サイトが誰にも管理されない状態に陥るケースが後を絶ちません。
放置期間が長くなるほど、改ざんや情報漏洩、検索順位の急落といった深刻な被害につながるリスクは確実に高まります。
この記事では、放置期間ごとの危険度の目安と具体的な対処法、自力対応と外部委託の判断基準を解説します。さらに復旧時に起きやすいトラブルへの備えも紹介するので、ぜひ参考にしてください。
WordPress放置で起きる被害の実態と背景
WordPressを放置し続けると、サイトの改ざんやマルウェア感染といったセキュリティ被害だけでなく、検索順位の下落や企業としての信用低下まで、影響は広範囲に及びます。
ここでは、放置がもたらす直接的な被害から、SEOへの悪影響、そして「担当者の退職」や「制作会社任せ」といった放置が起きやすい組織的な背景まで、4つの観点から実態を整理します。
改ざん・マルウェア感染による直接被害
WordPress本体やプラグインの脆弱性を放置すると、攻撃者の自動スキャンツールによって「狙いやすいサイト」として即座に検知されます。サイバー攻撃は無差別に行われ、アクセス数の少ない中小企業サイトでも例外ではありません。
実際に報告されている被害パターンを整理すると、深刻さがよく分かります。
| 被害の種類 | 具体的な内容 | 想定される損害 |
|---|---|---|
| サイト改ざん | トップページに無関係な広告やフィッシングページを挿入される | 顧客からの信用喪失・取引停止 |
| マルウェア埋め込み | 訪問者のPCにウイルスを配布する踏み台にされる | 損害賠償リスク・ブランド毀損 |
| 個人情報漏洩 | 問い合わせフォーム経由の顧客データが外部に流出する | 法的責任・行政指導の対象 |
| 不正ページ大量生成 | 数千件のスパムページを勝手に作成される | Google検索からの除外・広告停止 |
脆弱性の原因としてプラグインが全体の56%を占めるというデータもあり、使っていない古いプラグインですら攻撃の入口になり得ます。
制作会社に任せきりで3年以上更新していないサイトは、まさにこの状態に該当するでしょう。
被害が発覚してからの復旧には、調査・駆除・再構築で数十万円以上のコストがかかるケースも珍しくありません。営業停止中の売上損失や顧客離れまで含めると、事前の保守費用の何倍もの出費になります。「うちは大丈夫」と思っている今この瞬間にも、自動攻撃ツールはサイトの弱点を探し続けているのです。
参考:情報システム等の脆弱性情報の 取扱いに関する研究会 | IPA 独立行政法人 情報処理推進機構
検索順位の下落と検索結果からの除外
セキュリティに問題を抱えたサイトは、Googleから「危険なサイト」と判定され、検索順位が大きく下がります。
Googleはクロール時にマルウェアや不正コードを検出すると、検索結果に「このサイトはコンピュータに損害を与える可能性があります」という警告を表示します。この警告が出た瞬間、ほとんどのユーザーはクリックを避けるでしょう。結果として、検索流入はほぼゼロに近づきます。
さらに深刻なケースでは、検索結果そのものからサイトが除外されることもあります。
影響の流れを整理すると、被害の連鎖がよく分かります。
- 脆弱性を突かれてマルウェアに感染する
- Googleがクロール時に検知し、警告表示または検索除外が発生する
- 検索流入が激減し、問い合わせや売上に直結する
売上への影響を試算する場合は「月間検索流入数 × 成約率 × 客単価」で計算できます。例えば、月500件の流入があるサイトなら、成約率2%・客単価5万円として月50万円の機会損失が生まれる計算です。
問題を解消した後も、検索順位がすぐに戻るわけではありません。一般的には、マルウェア除去と再審査リクエストを経て、インデックスの回復には通常3〜6ヶ月かかります。この空白期間の売上減少まで含めると、放置のコストは想像以上に膨らみます。
担当者退職と制作会社依存が放置を生む構造
WordPressの放置は、担当者個人の怠慢で起きているわけではありません。多くの中小企業に共通する「組織の構造」そのものが原因です。
よくある放置パターンは、大きく3つに分かれます。
| パターン | 典型的な状況 |
|---|---|
| 制作会社依存 | 納品後の保守範囲が口頭約束のみで契約書に未記載 |
| 担当者の退職 | 引き継ぎなしで管理画面のID・パスワードが不明に |
| 社内スキル不足 | 「詳しい人がいない」を理由に更新が永久に後回し |
特に深刻なのが、制作会社との関係です。契約書にアップデート対応やバックアップの頻度・保存先が明記されていないケースは珍しくありません。「何かあったら連絡すればやってくれるだろう」という曖昧な期待だけでは、いざという時に誰も動けないでしょう。
また、担当者の退職によるWebサイトの放置も見過ごせません。中小企業の約65%が情シス不在で管理が属人化しているというデータもあり、たった一人の退職でサーバー情報もドメイン管理もブラックボックス化するリスクは現実のものです。
このような状況が重なると「誰が何をすべきか分からない」まま月日が過ぎていきます。まず取り組むべきは、管理画面のログイン情報・サーバー契約・保守範囲の3点を一覧にまとめ、責任者を明確にすることです。
- 管理画面・サーバー・ドメインのログイン情報を台帳化する
- 制作会社との保守契約内容を書面で再確認する
- 社内の管理責任者を正式に任命し、月次で状況を確認する体制をつくる
「うちだけが放置している」と感じる必要はありません。構造を理解すれば、改善の糸口は必ず見えてきます。
参考:ファイル管理とセキュリティに関する意識調査 | 株式会社kubellストレージ
「作って終わり」が招く信用低下と機会損失
サイトに載っている情報が古いままだと、訪問者は「この会社、まだ営業しているのだろうか」と不安を感じます。たったそれだけで、問い合わせの手が止まってしまうのです。
放置サイトが引き起こすビジネス上の損失は、見えにくいからこそ深刻です。
- 廃止済みサービスや旧料金表がそのまま掲載され、問い合わせ後のギャップで信用を失う
- お問い合わせフォームの通知設定が切れ、見込み客からの連絡を取りこぼす
- スマホ未対応の古いデザインのまま放置され、閲覧者の大半が即離脱する
こうした状態のサイトは、営業ツールとしての機能を完全に失っています。
さらに怖いのは、競合他社との比較で相対的に信用が下がる点でしょう。取引先の選定や採用活動の場面で、候補企業のサイトを見比べるのは今や当たり前の行動です。片方は最新情報が整理され、もう片方は数年前の実績しか載っていない——どちらに連絡するかは明白です。
| 放置が招く影響 | 顧客・取引先の心理 |
|---|---|
| 古い情報の放置 | 「事業が停滞しているのでは」という不信感 |
| フォーム不具合 | 「対応力がない会社」という印象 |
| 競合より見劣り | 比較段階で候補から外れる |
受注や採用の機会は、失ったこと自体に気づけません。サイトの放置コストは、サーバー代ではなく「得られたはずの売上」で測るべきです。
放置期間で変わるリスクと対処の優先順位
WordPressの放置リスクは、期間が長くなるほど段階的に深刻化します。半年程度なら自力で対処できるケースも多い一方、3年以上となると復旧そのものが困難になることも珍しくありません。
ここでは、放置期間を半年・1年・3年以上の3段階に分け、それぞれのリスクレベルと対処の優先順位を整理します。あわせて、多くの方が頼りにしがちな「自動更新」の落とし穴についても触れていきます。
半年放置ならまだ間に合う段階
半年程度の放置であれば、自力で立て直せる可能性が高い段階です。
この時期に多いのは、プラグインやテーマの軽微な非互換性による管理画面の警告表示です。WordPress本体のPHP脆弱性が直接悪用されるリスクはまだ限定的ですが、放置期間が1日延びるごとに難易度は確実に上がっていきます。
実際に、制作会社から納品後6ヶ月間まったく触っていなかった建設業の企業が、管理画面に並ぶ警告の多さに驚いて相談されたケースがありました。幸い、以下の3ステップで大きなトラブルなく復旧できています。
| ステップ | 内容 | 所要時間の目安 |
|---|---|---|
| 1. バックアップ取得 | ファイル+データベースを丸ごと保存 | 約15〜30分 |
| 2. ステージングで試更新 | テスト環境を作り、更新後の表示崩れや動作を確認 | 約1〜2時間 |
| 3. 本番環境で実行 | 問題がなければ本番に反映 | 約30分 |
ステージング環境は、Xserverなら管理パネルからワンクリックで作成できますし、WP Stagingプラグインを使う方法もあります。
ただし「半年ならまだ安全」という意味ではありません。今この瞬間が、最もリスクの低いタイミングです。次のセクションで解説する1年放置の段階に入ると、対応の難易度は一気に跳ね上がります。
1年放置で高まる脆弱性リスク
1年間更新していないWordPressサイトは、「放置も危険、更新も危険」という板挟み状態に陥っています。
この期間に積み重なるリスクは、半年放置とは質が違います。
- WordPress本体のセキュリティパッチが複数回分未適用で、既知の脆弱性が放置されたまま
- PHPバージョンがサポート切れを迎え、サーバー側の防御も手薄に
- プラグイン同士の互換性が崩れ、更新の順序を誤るとサイト全体が動かなくなる
実際に多いのが、「意を決して更新ボタンを押したら管理画面が真っ白になった」というケースです。バックアップもテスト環境もない状態で本番サイトを直接更新してしまい、復旧に数日かかった事例は珍しくありません。
では、1年放置したサイトは自力で対応できるのでしょうか。判断の目安を整理しました。
| チェック項目 | 自力対応の可能性 |
|---|---|
| 月間アクセス数が少なく個人情報を扱わない | テスト環境を用意できれば可能 |
| 問い合わせフォームで個人情報を取得している | 専門家への相談を推奨 |
| プラグインが10個以上かつカスタマイズ多数 | 外部委託が現実的 |
「まだ自分でなんとかなるかも」と感じる方も多いですよ。ただ、2024年のWordPress関連脆弱性は7,966件と前年比34%増を記録しており、見えないリスクは確実に膨らんでいます。
迷ったときは、次のセクションで紹介する「プロへの依頼基準」もあわせて確認してみてください。
3年以上の放置はプロへの依頼を推奨
3年以上放置したWordPressは、自力での復旧がほぼ不可能な状態に陥っています。
PHPは複数世代遅れ、プラグインの大半がPHP 8系に非対応、データベース破損の懸念まで重なります。すでにハッキングされていても、管理画面を見ていなければ気づきようがありません。
ある中小企業では、3年間更新せず放置していたコーポレートサイトから不正なリダイレクトが検出されました。当時の担当者はすでに退職しており、管理情報の引き継ぎも一切なく、結果として復旧に数十万円と2ヶ月以上の期間を要しました。「うちは大丈夫」と思っていた企業ほど、こうした事態に直面しやすいのが現実です。
このようなケースでは、専門業者への依頼が唯一の現実的な選択肢になります。費用の目安は以下のとおりです。
| 対応内容 | 費用目安 |
|---|---|
| 簡易セキュリティ診断 | 5万円〜 |
| 本格復旧(マルウェア除去含む) | 15万〜50万円 |
| 月額保守(再発防止) | 1万〜3万円 |
依頼先を選ぶ際は、次の3点を必ず確認してください。
- セキュリティ診断とマルウェアスキャンが含まれるか
- 復旧前にバックアップを取得してくれるか
- ステージング環境でテストしてから本番反映する手順があるか
3年放置の復旧では「やるかやらないか」ではなく「誰に任せるか」の判断が重要となります。
「自動更新で安心」が通用しない理由
「自動更新をオンにしているから大丈夫」この安心感は、残念ながら幻想に近いものです。
WordPress本体のマイナーアップデート(セキュリティ修正)は確かに自動で適用されます。ただし、プラグインやテーマの自動更新はデフォルトでは無効であり、個別に有効化が必要です。つまり、何も設定を変えていなければ、本体だけが更新され、プラグインは古いまま放置されている可能性が高いでしょう。
「自動更新を有効にしていたのに、管理画面を開いたら更新待ちのプラグインが30個以上溜まっていた」という声は珍しくありません。
プラグインの自動更新を有効にしても、今度は別のリスクが生まれます。
- プラグイン同士の依存関係が崩れ、互換性チェックなしで機能不全を起こす
- テーマとプラグインの衝突で表示が崩壊する
- カスタムコードとの非互換性でサイトが動かなくなる
- 自動更新の失敗時にバージョンを戻す機能がデフォルトでは用意されていない
| 更新対象 | 自動更新の初期設定 | 主なリスク |
|---|---|---|
| WordPress本体(マイナー) | 有効 | 低い |
| プラグイン | 無効 | 放置による脆弱性 |
| テーマ | 無効 | 表示崩れ・脆弱性 |
自動更新は「メンテナンスの代替」ではなく、あくまで補助的な仕組みにすぎません。定期的に管理画面を確認し、互換性を検証したうえで更新する運用体制がなければ、放置と本質的には変わらないのです。
放置状態から抜け出すための行動と判断基準
ここでは、放置状態のWordPressサイトに対して「何から手をつけるべきか」を判断するための行動と判断基準を解説します。
自力で対応できる範囲の見極め方から、保守業者の選び方、WordPress自体を続けるかどうかの検討、そして担当者が変わっても運用が止まらない引き継ぎ体制の整え方まで、4つのステップで整理しています。
自力で対応できる範囲の見極め方
自力で対応できるかどうかは「経験度」「サイトの現状」「失敗時のリスク」の3つで判断できます。
まず、次のチェックリストで自社の技術レベルを確認してみてください。
- WordPressのバックアップを自分で取得・復元した経験があるか
- プラグインの追加・削除・更新を日常的に行っているか
- 画面の表示崩れやエラーに自力で対処した経験があるか
3つすべてに「はい」と答えられるなら、セキュリティプラグインの導入や定期バックアップの設定、ログインURLの変更といった作業は自力で進められるでしょう。
一方、手を出すと危険な領域もあります。
| 対応内容 | 自力対応の安全度 |
|---|---|
| セキュリティプラグイン導入 | ◎ 比較的安全 |
| 定期バックアップの設定 | ◎ 比較的安全 |
| 複数年遅れのプラグイン一括更新 | ✕ 高リスク |
| テーマのカスタマイズ未確認での更新 | ✕ 高リスク |
実際に、前任の担当者が退職した後、新任者が一人で2年分のプラグインをまとめて更新し、画面が真っ白になった中小企業の事例は珍しくありません。復旧を業者に依頼すると10万〜20万円の費用が発生するケースもあり「自分でやれば無料」という判断がかえって高くつくのです。
チェックリストで一つでも「いいえ」があり、かつ放置期間が1年を超えているなら、無理せず専門家への相談を優先してください。
保守業者の選び方と費用の目安
WordPress保守の費用相場は月額5,000円〜50,000円と価格差があります。
業者やプランごとにサービス内容が異なるため「何にいくら払うのか」を把握しておくと、業者選びで失敗しにくくなるでしょう。
| 月額帯 | 主なサービス内容 | 向いているサイト |
|---|---|---|
| 5,000〜10,000円 | 本体・プラグイン更新代行、定期バックアップ | 小規模な情報発信サイト |
| 10,000〜30,000円 | 上記+セキュリティ監視、改ざん検知、月次レポート | 問い合わせフォームや顧客情報を扱う企業サイト |
| 30,000円以上 | 上記+緊急復旧対応、サーバー管理、表示速度改善 | ECサイトや会員制サイト |
また、費用だけでなく契約前に確認すべきポイントも押さえておくことも大切です。
- 緊急時の対応時間(翌営業日対応なのか、数時間以内なのか)
- バックアップの保管期間と復元テストの実施有無
- 契約解除時にデータやアカウント情報を引き継いでもらえるか
- 復旧できなかった場合の補償や免責範囲
中小企業であれば、月額10,000〜20,000円の価格帯で「更新代行・バックアップ・セキュリティ監視」の3点が含まれるプランが、コストと安心感のバランスが取りやすい選択肢の一つです。
WordPressを続けるかクラウドCMSに移行するか
「保守し続ける体制が作れるかどうか」という点が判断の分かれ目です。
WordPressは自由度が高い反面、更新・セキュリティ・サーバー管理のすべてが自己責任になります。社内に担当者がいない中小企業では、この負担こそが放置を生む根本原因でした。
一方、WixやSquarespaceなどのクラウドCMSは、セキュリティパッチやサーバー保守をプロバイダーが自動で行うため、「放置リスク」自体が大幅に減ります。
ただし、移行にはデータ整合性エラーで一部ページが移せないケースもあり、既存コンテンツの損失リスクはゼロではありません。
自社がどちらに向いているか、次の表で確認してみてください。
| 判断ポイント | WordPress継続 | クラウドCMS移行 |
|---|---|---|
| 保守体制 | 自社or外注で確保が必要 | プロバイダー任せで手間なし |
| カスタマイズ性 | 制限なし・自由度が高い | テンプレート範囲に制限あり |
| 月額コスト目安 | 保守費1〜3万円+サーバー代 | 月額2,000〜5,000円程度 |
| 移行時の初期費用 | 不要 | 10〜30万円(規模による) |
選択の目安をまとめると、こうなります。
- アクセスが少ないコーポレートサイトやブログ → クラウドCMSへの移行で保守負担をゼロに近づけられる
- ECサイトや独自機能が多いサイト → WordPress+保守業者の組み合わせが現実的
- 月額保守費を払い続ける余裕がない → クラウドCMSのほうがトータルコストを抑えやすい
大切なのは「どちらが優れているか」ではなく「自社が放置せず運用し続けられるのはどちらか」という視点で選ぶことです。
担当者交代に備えた引き継ぎ体制の整え方
「前任者が辞めて、管理画面に誰もログインできない」。中小企業では珍しくない話です。このような事態を防ぐには、属人化を前提とした仕組みづくりが欠かせません。
まず用意してほしいのが、1枚の「WordPress管理マニュアル」です。記載すべき項目は最低限これだけで十分でしょう。
- 管理画面URL・ユーザー名・パスワード
- サーバー・ドメインのログイン情報と契約更新日
- 使用中のプラグイン一覧と更新スケジュール
- 緊急時の連絡先(制作会社・保守業者など)
紙やスプレッドシートで問題ありません。「どこに何があるか」が1か所にまとまっているだけで、引き継ぎの難易度は劇的に下がります。
次に取り組みたいのが、複数人での管理体制です。全員に管理者権限を与えるとプラグインの誤削除といった事故につながるため、権限の分離が重要になります。
| 役割 | 推奨権限 | できること |
|---|---|---|
| 責任者(上長) | 管理者 | 全設定・ユーザー管理 |
| 運用担当 | 編集者 | 記事の投稿・編集 |
| バックアップ要員 | 管理者 | 緊急時のログイン確認 |
最低2名が管理者権限を持ち、月1回でも管理画面を開く習慣をつけておくだけで「誰も触れない」状態は防げます。
どちらの施策も、実装に専門知識はほぼ不要です。ただし、ドキュメントも体制も「作っておけばよかった」と気づくのは決まってトラブルの後です。予防こそが最善の対策だと覚えておいてください。
復旧時によくあるトラブルと対処法
ここでは、WordPress更新時に実際に起きやすいトラブルと、その具体的な対処法を解説します。
事前に対処の流れを把握しておくことで、万が一のトラブルでも落ち着いて行動できるようになります。
画面が真っ白になったときの復旧手順
「管理画面にもサイトにもアクセスできない」このような状態でまず行うべきは、エラーログの確認です。FTPでサーバーに接続し、wp-config.phpを開いて「WP_DEBUG」をtrueに変更してください。あわせてWP_DEBUG_LOGもtrueにしておくと、wp-content/debug.logにエラー内容が記録されます。
ログを見れば、原因がどのパターンかおおよそ判別できます。
| エラーの傾向 | 主な原因 | 優先する対処 |
|---|---|---|
| memory_limitの記述 | PHPメモリ不足 | wp-config.phpで上限を引き上げ |
| プラグイン名のパス表示 | プラグイン競合 | 該当プラグインの無効化 |
| テーマファイル名の表示 | テーマエラー | デフォルトテーマへ切り替え |
実際に「3年ぶりの更新で真っ白になり、データベースのバックアップもなかった」という相談を受けたケースでは、ログにプラグイン名が出ていました。FTPでwp-content内のpluginsフォルダ名をplugins_backupに変更し、全プラグインを一括無効化したところ表示が復旧しています。
それでも直らない場合は、段階的に進めましょう。
- themesフォルダ名を変更し、WordPressデフォルトテーマ(Twenty Twenty-Fourなど)を強制適用する
- バックアップがあればFTPで該当ファイルを上書き復元する(所要時間は10〜30分程度)
- ここまでで解決しなければ、WordPress本体のロールバックか専門業者への依頼を検討する
確認が終わったら、WP_DEBUGは必ずfalseに戻してください。本番環境でデバッグモードを有効にしたままだと、エラー情報が外部に漏れるリスクがあるため注意が必要です。
プラグイン競合の特定と解消方法
プラグイン競合とは、複数のプラグインが互いに干渉してエラーや機能停止を引き起こす現象です。放置期間が長いほどバージョンの食い違いが大きくなり、WordPress本体との非互換も重なって発生しやすくなります。
実際に「キャッシュプラグインとセキュリティプラグインが競合し、サイト表示が極端に遅くなった」という相談は珍しくありません。
競合プラグインを特定するには、二分法による無効化テストが最も確実です。
- 全プラグインを一括無効化し、サイト表示が正常に戻るか確認する
- 半分ずつ有効化→再発したグループをさらに半分に絞る
- ブラウザのF12キーで開発者ツールを開き、コンソールにプラグインフォルダを指すエラーが出ていれば原因の有力候補
管理画面を操作できる状態なら「Health Check & Troubleshooting」プラグインを使うと、訪問者に影響を与えずトラブルシューティングモードでテストできます。
原因が特定できたら、対応は3つに分かれます。
| 状況 | 対応策 |
|---|---|
| 最新版で互換性が解消済み | プラグインを更新 |
| 開発が停止・長期未更新 | 代替プラグインへ乗り換え |
| 機能が不要になっている | 削除(事前にデータエクスポート) |
削除前には、プラグイン固有の設定やデータをエクスポートしておきましょう。特にフォーム系やEC系は送信履歴・顧客情報が消える恐れがあります。
プラグインが20個を超えるサイトでは、競合の組み合わせが膨大になり自力での切り分けに限界が出てきます。その場合は無理せず専門家への依頼を検討してください。
ステージング環境を使った安全な更新の進め方
本番サイトを壊さずに更新をテストできる「ステージング環境」は、放置サイトの復旧で頼れる安全網です。
エックスサーバーなら、WordPressパネルの「サイト設定」から「ステージング環境作成」をクリックするだけで、本番のファイル・データベース・PHPバージョンがまるごとコピーされます。所要時間はわずか数分で、専門知識がなくても問題ありません。
ステージング環境が用意できたら、以下の項目を順番にチェックしましょう。
- 管理画面へのログインと各メニューの動作
- トップページ・主要固定ページのレイアウト崩れ
- 問い合わせフォームの送信テスト
- ECサイトの場合はカート・決済フローの通過確認
- プラグインの有効化・無効化による挙動変化
更新の順番も大切で、テーマ → プラグイン → WordPress本体の順に進めると不具合を切り分けやすくなります。
もしステージング環境で表示崩れやエラーが出ても、本番には一切影響しません。原因を特定して修正し、問題がすべて解消された段階で本番へ同期すれば安全です。万が一本番反映後にトラブルが起きた場合も、事前に取得したバックアップからロールバックできます。
「ステージングでテストしていたおかげで、本番が真っ白になる事故を未然に防げた」という声は実際に少なくありません。5分の準備が、数日分の復旧作業を防いでくれますよ。
まとめ
WordPressの放置は、期間が長くなるほどリスクが深刻化し、復旧の難易度も費用も跳ね上がります。
この記事のポイントを振り返っておきましょう。
- 放置サイトはハッキング・改ざん・SEO順位下落の標的になりやすい
- 半年以内なら自力対応の余地があるが、3年超はプロへの依頼を推奨
- 更新前のバックアップとステージング環境でのテストが必須
- 保守業者を選ぶ際は管理権限の所在とサービス範囲を書面で確認する
「うちは大丈夫」と感じていても、攻撃はアクセス数に関係なく無差別に行われます。まずは管理画面にログインして、更新通知の数を確認するところから始めてみてください。その一歩が、サイトと会社の信用を守る起点になります。