「ホームページの担当者になった。保守はどのようにしたらいいの。」
「自分でWordPressの保守をしているけど、保守が十分できているか、いまいちはっきりしない。」
WordPressの保守をするときには、考慮するべき点がたくさんあります。
自分 (自社) でWordPressの保守をするときに心がけることについて解説します。

WordPressの保守は怠らずにすることが前提

WordPressを保守するにあたっての心構えは、保守を怠らずにし続けることです。

WordPressサイトを立ち上げてそのまま放置は論外。また年一回程度ではいつ何時、悪意ある攻撃者に狙われても不思議はありません。WordPressサイトを公に公開した時点から世界中から繋がりアクセスされます。その時点から不正アクセスやセキュリティ侵害など攻撃者に狙われると考えてください。

多くの障害や不正アクセス、セキュリティ被害は、何らかの保守不備から起こります。またWordPress保守は、セキュリティ対策のほか、WordPressの障害を減らし安定した運用を維持するためにも不可欠です。

WordPressとテーマ・プラグインのアップデートは必ず行う

WordPressは、機能を追加したり、不具合やセキュリティホールの修正を絶えず行っています。WordPressのソースコードに変更を加えてアップデートし続けています。WordPressでサイトを立ち上げて運営している方は、その度にアップデートをする必要があります。

アップデートを行わないことは、WordPressサイトに脆弱性 (セキュリティホール)をずっと抱え続けていることを意味します。
脆弱性情報は、世の中にすぐに知れ渡り、攻撃者に利用されています。
アップデートしないWordPressサイトが安全でいられる期間はほとんどありません。
既知の脆弱性を無くすためには、アップデートを待ったり、遅らせず、セキュリティパッチが含まれたアップデートを行うことが不可欠です。

アップデートの対象は、WordPress本体だけでなくテーマやプラグインも含まれます。
アップデートの副作用として仕様の変更で一部機能が動かなくなる不具合になる可能性もあります。
また制作者によってWordPressの更新ができない仕様でウェブサイトが作成され、アップデート不可な場合があります。そのWordPressサイトは、保守性が欠如しており極めて危険な状態に置かれますので、更新ができるよう仕様の見直しとサイト再設計を行い、保守性をなんとしても確保しましょう。
WordPressサイトは、アップデートによる変更を絶えず受け入れられるように運用を行うことがWordPress保守をする上で大切です。

バックアップは必ず行う

WordPressサイトにおいて致命的なことは、もし何かがあったときに復旧する手立てがまったくないことです。何らかの対応策をあらかじめ持っていないことです。
最悪WordPressサイトを破棄する。そしてWordPressサイトを全く新しく作り直すことになります。その損害は、復旧再構築費用はじめ、時間、ビジネス機会とあらゆるものに及びます。

また致命的なことは、セキュリティ被害だけではありません。ハードウェアの故障によるデータ喪失、第三者の不手際などで致命的な状況に陥ることもあります。

その対策のひとつとしてバックアップがあります。
バックアップは、致命的な状況を想定してあらかじめ防ぐ。仮に起こっても復旧を容易にし損害を少なくすることができます。

バックアップをこまめに行い、健全なデータを保持し、いつ何時でも復旧できるようにすることが大切です。

セキュリティ対策次第で被害を軽減して防ぐ

悪意ある攻撃者は、WordPressの脆弱性 (セキュリティホール) だけを狙っているのではありません。
ネットワーク、サーバ、プログラム言語などWordPressサイトを構成するあらゆるものが攻撃の対象になります。
またその組み合わせによる設定や実行権限も盗み取ろうと試みます。

WordPressのセキュリティは、WordPressについてはもちろん、ネットワーク、サーバ、プログラム言語などインターネット技術の幅広い知識・スキルが求められます。
セキュリティの理解不足が実務においてセキュリティの甘さに繋がります。
設定不備で本来公開すべきでないファイルを公開してしまい、不正アクセスの原因を作りだします。

WordPressを使いたい方や社内で担当者になった方には、知識・スキルが十分でないため、難しいと思いますが。インターネット技術の幅広い知識・スキルを前提に想定されるセキュリティリスクに対して適切なセキュリティ対策を一つ一つ実施していくことが欠かせません。
そうすることで被害を軽減して防ぐことができます。

WordPressの他、サーバの保守やサーバリプレースが必要な場合も

保守は、WordPressだけでなく、サーバも保守しなければなりません。

日常の運用面では、レンタルサーバ (共用サーバ) を使っている場合、レンタルサーバ運営会社さんがプランやサービス内容に応じてサーバを定期にメンテナンスしてくれます。
クラウドサービスを使ってサーバを構築している場合は、ご自身でメンテナンスする必要があります。
それ相応の技術スキルを備えて保守できる体制を整えましょう。OSやサーバなどミドルウェアのセキュリティパッチの適用、障害対応を担います。

サーバは、日常的な保守では対応しきれない部分 (レンタルサーバ運営会社も対応しない部分でもある) が出てきます。
一つのプランを使い続けたり、長年使っているとハードの経年劣化やスペック不足など至るところが老朽化していきます。
CPUのスペック不足、メモリ使用量の逼迫、ファイルの大量格納によるストレージ容量の圧迫などサーバの処理能力の低下に見舞われます。
OSやプログラム言語のサポート期間が切れて、不具合や脆弱性が見つかったとしても、修正プログラムが提供されなくなります。
そのサーバ上で運用するWordPressもOSやプログラム言語のサポート範囲が決められています。
もしサポート範囲から外れていれば、WordPressのアップデートができません。保守が充分できなくなり、セキュリティの確保も適切にできなくなります。

そのような状況では、WordPressサイトの性能を十分に引き出せません。
その対応としてサーバリプレースがあります。
サーバリプレースは、日常的な保守で行うものではなく、長期的な計画を伴います。3〜5年程度 (電子機器の法定耐用年数が5年) の間隔で行います。

レンタルサーバでは、数年経つと新しいインフラに刷新したプラン (従来サービス体系からアップデートしたプラン) が提供されることがあります。WordPressサイトを動作検証して新しいプランへの切り替えやアップデートを行いましょう。
クラウドサービスを使ってサーバリプレースする場合は、ご自身で新しいサーバ基盤を構築する必要があります。
より計画性が必要な取り組みになるので、プロジェクトを立ち上げて円滑にWordPressサイトを新しいサーバ基盤に移行できるようにしましょう。

障害発生したときは緊急対応をする、すべての不具合は自分で対応して直す

WordPressサイトに生じた何らかの不具合や障害発生時の対応は、ご自身で行います。

WordPressサイトが全く見られない。サーバに負荷がかかっているなど障害発生はいつ何時起こり得るものです。すかさず対応が必要な緊急事態には24時間365日対応が欠かせません。

障害に見舞われたときは、その都度ご自身で原因を探り、対応をして解消しなければなりません。
障害発生が頻発する場合は、復旧対応では間に合わないこともあります。技術的な課題を見つけ出して根本的な解決を施す必要があります。

WordPressの保守が手に負えないと感じたときは

WordPressサイトを運営することには、ビジネスの成果など求められること、目的があるかと思います。
本来はそのWordPressサイトを運営する目的に集中したいものです。
WordPress保守は、それに付随する業務にあたります。しかしWordPressサイトを安定的に運営する上で欠かせないことです。

他のことで手が一杯でWordPressの保守に手が回らない。毎日時間が割けない。WordPressの保守がご自身で手に負えないと感じたときは、外部パートナーに協力を求めたり、WordPress 保守管理サービスを利用することも一手でしょう。

できるだけ付加価値に集中できるようにしましょう。

WordPressサイトを安定して運営していく上でWordPress保守の最低限押さえておくべきことを解説します。
自分でWordPressの保守をするときの参考にどうぞ。

WordPressとテーマ・プラグインのアップデートは必ず行う

WordPress はオープンソースソフトウェアです。プログラムを自由に利用できます。コードの変更改変も自由です。
自由にできる反面、技術サポートはありません。利用によって生じた責任や損害は、利用者ご自身で負います。
つまり、利用し続ける限り、保守も利用者ご自身で行いメンテナンスし続ける必要があります。

一般にソフトウェアには、バグや脆弱性 (セキュリティホール) が避けられません。その解消のためソフトウェアは頻繁に変更や修正を加え続けています。同じくWordPress本体、テーマ、プラグインも、頻繁に変更や修正を加えています。
その変更や修正をあなたが運営しているWordPressサイトに取り込んでいく必要があります。

WordPressにおいて改ざんなどのハッキング被害やマルウェア混入は、はじめに何らかの脆弱性を突かれてWordPressサイトおよびサーバを乗っ取ることから始まります。一度被害に遭うと、復旧し解消するのは至難の技です。個人情報漏えいなどさらに重大なセキュリティインシデントに発展すると、その被害回復や損害は相当なものになります。

脆弱性を排除し、脅威につながる脆弱性を無くすための対策で欠かせないのが、WordPressのアップデートです。
アップデートは、WordPress本体にはじまり、付随するテーマ、プラグイン、翻訳が対象になります。
理想のアップデートは、変更されたら直ちにアップデートすることです。脆弱性情報はあっという間に知られてしまい、悪意ある攻撃者に利用されてWordPressサイトが狙われます。その脅威に身をさらさないためにWordPressのアップデートはこまめに行うことが不可欠になります。

独自開発したテーマやプラグインやカスタマイズした部分のメンテナンス・運用開発は怠らずにする

アップデートの中には、対応できないテーマやプラグインがあります。
それはご自身で独自開発したテーマやプラグインです。またWordPressサイトを構築したときにカスタマイズした部分になります。
この部分は、設計開発に該当し、通常の保守ではアップデートから漏れることになります。

場合によっては、制作者に依頼して作ってもらったテーマやプラグインかもしれません。
その場合は、独自開発したテーマやプラグインが継続して開発できるようにエンジニアを確保しましょう。

独自開発したテーマやプラグインの継続開発ができなくなり停止によってWordPressのアップデートができないようにならないように、WordPressサイトの保守に支障をきたさないように、独自開発したテーマやプラグインは設計開発し続けることが大切です。

バグや脆弱性を作り込まず、WordPressの仕様変更などに対応し続けて独自開発したテーマやプラグインを正常に利用できるよう保ちましょう。

セキュリティ対策は、インターネット技術の幅広い知識・スキルを前提に行うことが大切

WordPressのセキュリティは、インターネット技術の幅広い知識・スキルを前提に想定されるセキュリティリスクに対して適切なセキュリティ対策を一つ一つ実施していくことが欠かせません。
WordPress (アプリケーション) についてはもちろん、ネットワーク、サーバ、プログラム言語などインターネット技術の幅広い知識・スキルが求められます。
つまり、技術背景を熟知し、具体的なリスクに対して有効な対策を確実に施していくこと。
そして、そのセキュリティレベルを一定して保ち続けることです。

知識・スキルが不十分な状態では、どのようなリスクに対して対策をしているのか把握するのは難しいかと思います。セキュリティ系プラグインを利用する場合でも、どのようなリスクに対してセキュリティ対策をしているのか把握できているでしょうか。

プラグインを利用してもリスクのほんの一部分、一面だけセキュリティ対策をしている場合があります。例えば、ログイン周りだけ対策をしている。設定が初期状態のままで、不十分な対策の状態になっているなど。セキュリティ系プラグインは、詳細な設定をすることで効果的な対策が生まれます。
ここでもインターネット技術の幅広い知識・スキルを前提に行うことが大切になります。

セキュリティに関しては、初心者の方や知識やスキルが身についていない人には厳しい面がありますが、セキュリティに詳しい方に確認してもらうなりして、セキュリティ不備がない状態のWordPressサイトにしましょう。

障害発生時の緊急対応やセキュリティ被害に遭ったときの復旧対応を準備しておく

何らかの不具合や障害発生時の復旧対応は、利用者ご自身で行います。
WordPressの保守が不十分な状態では、この復旧対応が頻発しがちです。
さらに最悪の事態であるハッキング被害やデータ消失などに見舞われると、WordPressサイトの復旧は不可能になります。

そのための復旧対応をあらかじめ準備しておくことが重要になります。
その対応策のひとつが、バックアップです。
こまめにバックアップを行いましょう。
被害や損害を少なくするために健全なバックアップデータを安全に保持し、いつ何時でも復旧できるようにすることが要になります。

WordPressの保守がなぜ必要なのでしょうか。保守をしないとどうなるのか。
ビジネス視点を交えてそのリスクはどのようなものか。
またWordPressの保守で目指すべきことを解説します。

WordPress保守が必要な理由

保守と聞くと、考えたくもないようなどこか面倒なイメージがあります。またホームページ制作だけに終始して公開運営後の保守のことは頭の中にない。または後回しということも。

保守は、縁の下の力持ちです。WordPressサイトにおいて安定的に運営する上での基盤です。
その基盤からウェブサイトの成果が生み出されます。その基盤を保ちつつ確固たるものにしているのが保守です。

保守が万全でないWordPressサイトは、設計段階から何らかの問題を抱えがちです。適正な管理がされていないので何をやっても円滑に行えず、費用ばかりかかり、最終的に得られるウェブサイトの成果も得られる見込みが薄い。
保守の必要がないWordPressサイトは、サイトの必要性がそもそもなく、存在意義がなくなっているのかもしれません。そのような放置状態のウェブサイトがたくさんある一面。

翻って何らかの成果を求めるWordPressサイトは、保守が行き届いています。マーケティングを行い、顧客や取引先と関係性を築き、運営を通じて何らかの利益やビジネス機会を得ていきます。WordPress保守は、ビジネスや存在意義に直接的または間接的に寄与し続けるために欠かせない活動の一つといえるでしょう。

WordPress保守をしないとどうなる?

保守を軽視したり、保守をしていないとWordPressサイトはどうなるのでしょうか?

よくあるのは、管理者 (担当者) が存在しないということ。最初は管理者がいたが退職や配置転換などで引き継ぎをせず、保守が止まってしまう。WordPressサイトがそのまま放置状態になってしまった。気づいたときには、すでに数年経た状態で保守をしようにも手が出せない。

こうなってしまったウェブサイトをいざ活用しようとしても、まずは整備が必要になります。
そのような整備が必要なWordPressサイトは溜まりに溜まった負債を抱えた状態です。
その状態で保守を行うことは、まるで止まっている大きな玉を転がし始めるためには、最初に大きな力 (エネルギー) が必要なように、いままで保守をしていなかった以上の費用や労力をかけて健全な状態を取り戻すようなものになります。

その間、脆弱性 (セキュリティホール) を抱え続けるWordPressサイトが運営されています。その脆弱性を突かれてハッキング被害やファイルの改竄などセキュリティ事故を起こすことも多いでしょう。事態に気づくことにも遅れて、すでに深刻化していることもありえます。その復旧は緊急事態の中、相当な時間と費用をかけて行うことになります。

ビジネスへの損失が甚大

このように保守をしないことは、むしろ逆に保守をしている以上の時間と費用が発生します。
場合によっては想定外の時間と労力、費用の負担をする羽目になります。それでも完全に解消することはありません。
ハッキング被害やマルウェアに感染すると、今のウェブサイトを廃棄して新しいウェブサイトを作り直しすることになります。

この状況をビジネスの視点で見ると、
ビジネス機会を逃してしまっていることにも目を向ける必要があります。
そして何より、今まで築いてきたビジネスの根幹である、事業への信頼、顧客への信用も失います。
つまり、財務指標に現れない、目に見えない資産への影響に大きく響きます。
最終的には、収益や事業の成長性、競合との優位性に目に見える形で現れてきます。

経営感覚をお持ちの方は、容易に想像できるかと思います。
是非その点にも目を配ってみてください。

WordPress保守で目指すべきこと

保守が行き届いたWordPressサイトは、価値を生み出すことに集中できます。
保守を保守だけに終始せずにビジネス機会につなげることです。
顧客対応や情報発信を行ったり、広告プロモーションなど計画していたマーケティング施策を実施し、事業の成長に弾みをつけましょう。

WordPressの保守は、どのようなことをする必要があるのでしょうか。
WordPressの保守について解説します。
WordPressサイトの保守を行いたい方に、ぜひ参考にしてください。

WordPressサイトの理想の保守状態とはどのようなものか

WordPressの保守は何をする必要があるかを解説する前に、まずはWordPressサイトが常日頃どのような保守状態にあるべきかを述べてみたいと思います。

WordPress保守で理想とするべきことは、

• WordPressに関わる脆弱性 (セキュリティホール) が存在しない状態にし、セキュリティ被害リスクをなくすこと。
• 障害や改ざん被害など万が一の事態に備え、復旧体制を整えておくこと。そして実際に被害にあったときに即応できること。
• 不正アクセスやサイバー攻撃に対して常日頃から予防措置を取ること。

以上をWordPressサイトを立ち上げてから怠らずにしていることが理想の保守状態といえます。

WordPressサイトの保守状態を損なわず常に保ち続けることが大切

つまり、WordPress保守で安定した状態を損なわず、常にその状態を保つために保守し続けることに意義があるのです。

そういう意味では、WordPress のアップデートを1ヶ月間隔でしているようでは、意味がありません。たまに管理画面にアクセスしたときに、アップデートをしてメンテナンスをする場合も同様です。間をおかず対応することが必要になるのです。
WordPressプラグインに致命的な脆弱性があれば、すでにその脆弱性の情報が世の中に広まっています。悪意ある攻撃者は知れ渡った脆弱性を利用して、保守をしていないWordPressサイトを探して狙っています。
その時点でアップデートしていなければ、隙を突いて有名なサイトやアクセスがあまりないサイト関係なく何らかの被害が想定できます。

アップデート一つとっても、それだけ間をおかず保守し続けることが必要だと理解できるかと思います。
と同時に実際に保守をするにあたり、保守し続けることの難しさも分かるかと思います。

この記事をお読みの方は、WordPressサイトを作成したり、立ち上げることだけに終始せずに、WordPressサイトを公開した後の保守のことにも目を配っていただきたいと思います。

くれぐれも不正アクセス被害に遭われてウェブサイト閉鎖を余儀なくされることがないように。ビジネスの機会自体を失ってしまわないように。あなたが立ち上げたWordPressサイトの存続は、保守のあり方で決まります。

そのためにするべきWordPress保守作業とは

WordPressの保守作業は、どのようなものがあるのでしょうか。
大きく分けると以下の3つになります。

• アップデート
• バックアップ
• セキュリティ対策

それでは一つ一つ解説していきたいと思います。

アップデート

WordPress はご存知のとおりオープンソースソフトウェアです。
WordPressに付随するテーマやプラグインもオープンソースソフトウェアです。一部有料テーマ・プラグインを除いてライセンスによって例外がありますが、オープンソースソフトウェアによってWordPressは、自由に利用できます。コードの変更改変も自由です。その利用により生じた損害は、利用者ご自身で責任を負います。品質保証や技術サポートはありません。

そのようなWordPressを利用するにあたり、欠かせないのがアップデートです。
アップデートの対象は、WordPress本体にはじまり、テーマ、プラグイン、翻訳とすべて漏らさず、間を空けずにアップデートをするようにしましょう。

アップデートは手間がかかる作業です。最近は、WordPressの機能に自動更新が追加されたりしているので、できる範囲で活用すると便利です。

バックアップ

WordPressで使われるデータは、ファイル類とデータベースのデータの2つが主になります。
バックアップの対象には、この2つを含めます。

バックアップをしていない状態で、もしも障害や不正アクセス被害によってファイルの改竄やデータ消失に見舞われるとWordPressサイトの復旧は不可能になります。その時点で致命的になります。再度、費用と長い時間をかけてウェブサイトの作り直しをするはめになります。

データ保全の観点から見ると、被害や損害を少なくするために健全なデータを保持し、いつ何時でも復旧できるようにすることがバックアップの要になります。

そのためにはバックアップのとり方も確認しましょう。ただバックアップをしているだけでは不十分です。
たまに不定期に手動でバックアップしたり、1ヶ月に一回程度では、データの差分が生まれてしまい復旧に対応できません。
できるだけ1日一回バックアップするなどスケジュールを決めてデータの差分が極力ないようにこまめに行いましょう。

加えてバックアップデータの保管場所も重要です。
一番ダメなのが、安易にWordPressサイトと同じサーバ領域にバックアップを保存している場合です。
障害や不正アクセス被害は、そのサーバで起きるため、バックアップとして意味がありません。
サーバが停止したり、アクセスできないことも起こりうるため、復旧に必要なバックアップが取り出せません。仮に不正アクセス被害ならば、取り出せてもサーバはすでにデータ汚染の可能性によりバックアップの信頼性がありません。復旧するにあたってバックアップは利用できない状況が想定されます。
そうならないためにバックアップは、必ず別のサーバ領域、または別系統のシステムに保存するようにバックアップ体制を整えましょう。

セキュリティ対策

WordPressのセキュリティで考慮する点は、多岐に渡ります。
WordPressについてはもちろん、ネットワーク、サーバ、プログラム言語などインターネット技術の幅広い知識・スキルが求められます。
WordPressを使いたい方や社内で担当者になった方には、知識・スキルが十分でないため、難しいと思いますが。インターネット技術の幅広い知識・スキルを前提に想定されるセキュリティリスクに対して適切なセキュリティ対策を一つ一つ実施していくことが欠かせません。

実際、セキュリティに関する知識があまりない状態で安易にセキュリティ系プラグインを利用していても、実際はログイン周りだけ、つまりリスクのほんの一部分、一面だけしかセキュリティを配慮していなかったり。セキュリティ系プラグインは詳細な設定をすることで効果的な対策が生まれますが、どのようにしていいのか分からず初期状態 (不十分な対策の状態) のままにしていることがよく見受けられます。具体的なリスクに対して十分なセキュリティが担保されていないままWordPressサイトを運営することになります。

セキュリティに関しては、初心者の方やスキルが身についていない人には厳しい面がありますが、セキュリティに詳しい方*1 に確認してもらうなり、定期的にセキュリティ監査を実施するなりして、セキュリティ不備がない状態のWordPressサイトにしましょう。

1. セキュリティはWorPressの専門家では不十分です。またセキュリティのプロでも不十分です。リスクに対してどうするのかリスクマネジメントやコントロールの実務に熟知している方が適任です。

WordPress保守によって目指すべき状態になったら

保守は、考えたくもないようなどこか面倒なイメージがありますが。ウェブサイトを安定的に運営する上での基盤です。その基盤からウェブサイトの成果が生み出されます。その基盤を保ちつつ確固たるものにしているのが保守です。

WordPress保守をすることで、安全に安定的に運用できる環境が整ってきます。継続的な保守が障害発生リスク自体を減らします。そのような状態のWordPressサイトで顧客対応や情報発信など付加価値を生み出すことに集中してビジネス機会を作り出します。これがWordPress保守をする本来の意義です。

以上、お読みの方は、是非ビジネス機会を作り出すような取り組みを進めていただきたいと思います。