ある製造業の会社から、慌てた声で電話がかかってきたことがあります。「取引先から『おたくのサイト、開こうとするとウイルスの警告が出るんだけど』と言われた。何のことか分からない」——調べてみると、数年前に作ったきり一度も更新していなかった WordPress のプラグインの脆弱性を突かれ、サイトの各ページに見覚えのない海外向けの不正リンクが大量に埋め込まれていました。Google には「危険なサイト」と判定され、Chrome で開くと赤い警告画面が出る状態。担当者は「公開してから一度も触っていないので、何がどうなっているのか全く分からない」とおっしゃっていました。
これは特殊な事故ではありません。立て直しの相談を受けるとき、原因の多くは「作って公開したあと、誰も保守していなかった」という一点に集約されます。ホームページは家電のように「買えばあとは動き続ける」ものではなく、放っておくと静かに劣化し、ある日突然事故として表面化する。本記事では、放置されたサイトに何が起きるのかを症状ベースで洗い出し、保守に本来含むべきこと、自社で守るか外注するかの線引きまでを、発注する側の目線で整理します。
放置されたサイトに起きること
まず、「作って終わり」のサイトが具体的にどう壊れていくのかを、起きる順に見ていきます。怖いのは、どれも当事者が気づきにくいという点です。
最も多いのが、WordPress 本体・プラグイン・テーマの未更新による改ざんです。WordPress は世界中で使われているぶん攻撃者からも狙われやすく、脆弱性が見つかると更新プログラムが配布されますが、これを当てずに放置すると、その穴は開きっぱなしになります。突かれると、冒頭の事例のように不正リンクを注入される(SEO スパム)、マルウェアを埋め込まれて訪問者の端末を感染させる、管理画面を乗っ取られて勝手にページを書き換えられる——といった被害につながります。やっかいなのは、見た目のトップページは正常に見えることが多く、内部で起きている改ざんに自社では気づけないことです。気づくのはたいてい、検索順位が急落したとき、あるいは取引先や Google から警告が来たときです。
次に多いのが、SSL 証明書の期限切れです。アドレスバーの「保護されていない通信」という警告を見たことがある方も多いと思いますが、証明書は無期限ではなく、更新を忘れると失効します。失効した瞬間、訪問者のブラウザには大きな警告が表示され、多くの人はそこで引き返します。せっかく検索や広告から来た見込み客が、サイトを見る前に「危ないサイトかもしれない」と判断して離脱する。SSL の仕組みや有効期間の短縮トレンドについては SSL証明書の種類と選び方の記事 で詳しく整理していますが、放置で最も起きやすく、最も信用を削るのがこの期限切れです。
そして見落とされがちなのが、問い合わせフォームの故障です。これは事故というより「静かな機会損失」で、被害額が見えないぶんたちが悪い。送信先のメール設定が変わって通知が届かない、スパム対策の reCAPTCHA の連携が切れてフォーム自体が動かない、迷惑メールフォルダに問い合わせが埋もれて誰も気づかない——こうした故障が起きても、サイトの見た目は何も変わりません。「最近、問い合わせが減ったな」と感じたときには、実は数か月前からフォームが死んでいて、その間の商談機会をまるごと失っていた、というケースを何度も見てきました。
このほか、料金・スタッフ・実績といった情報が古いままになっているのも放置サイトの典型です。終了したサービスが載っている、退職した人の名前が代表挨拶に出てくる、数年前の価格表のまま——こうした情報は直接の事故ではありませんが、見た人に「この会社、ちゃんと動いているのか」という不安を与え、静かに信用を削ります。加えて、画像が重いまま放置されたりリンク先が消えていたりすると、表示速度や Core Web Vitals のスコアが下がり、検索順位やコンバージョンの低下にもつながります。
最後に、最悪のシナリオが二つあります。バックアップを取っていなかったために、事故が起きても復旧できないこと。そして、ドメインやサーバーの契約更新を忘れて、サイトそのものが消えることです。ドメインの更新切れは、気づかぬうちに第三者に取得されてしまうと取り戻すのが極めて困難で、メールアドレスごと使えなくなる事態にもなります。どれも「ちゃんと管理していれば防げたのに」というものばかりです。
なぜ放置が「事故」になるのか
ここで一度、整理しておきたいことがあります。なぜホームページは放っておくと壊れるのか。それは、サイトが外部環境の変化にさらされ続けているからです。
WordPress やプラグインは、世界中で日々新しい脆弱性が見つかり、それに対応する更新が出続けています。SSL 証明書には有効期限があり、ブラウザのセキュリティ基準も年々厳しくなっています。Google の検索アルゴリズムも、サーバーの仕様も、外部サービスとの連携 API も、すべてこちらの都合とは無関係に変わっていく。サイトは公開した瞬間に止まった状態ではなく、まわりの世界が動き続けるなかに置かれているのです。
だから「何も触っていないのに壊れた」という感覚は、正確には「何も触らなかったから、変化に取り残されて壊れた」が正しい。放置はゼロではなくマイナスに向かって進行します。この前提を持てるかどうかが、保守を必要経費と捉えられるかの分かれ目です。Web セキュリティの最低限の備えについては Webサイトのセキュリティ対策入門の記事 にまとめているので、自社の現状を点検する出発点として読んでみてください。
保守・運用に本来含むべきこと
では、「保守」とは具体的に何をすることなのか。制作会社に「保守もお願いします」と言ったとき、何が含まれていて何が含まれていないのかを発注側が把握していないと、いざというときに「それは契約外です」となりがちです。本来含むべき項目を早見表に整理します。
| 保守項目 | 内容 | 放置した場合のリスク |
|---|---|---|
| CMS・プラグイン更新 | WordPress 本体・プラグイン・テーマを定期的に最新化 | 改ざん・マルウェア・乗っ取り・SEOスパム |
| 定期バックアップ | サイトとデータベースを自動で取得・保管 | 事故時に復旧不能 |
| SSL・ドメイン・サーバー更新管理 | 証明書と各種契約の期限を管理し更新 | 警告表示・サイト消滅・メール不通 |
| フォーム死活監視 | 問い合わせが正しく届くか定期確認 | 商談機会の損失(気づけない) |
| 表示速度・リンク切れ点検 | パフォーマンスと内部リンクの健全性チェック | 順位・CV低下、信用低下 |
| コンテンツ更新 | 料金・実績・スタッフ情報の鮮度維持 | 信頼低下、機会損失 |
| 監視・障害対応 | 障害発生時の検知と一次対応 | 復旧の遅れ、長時間のダウン |
重要なのは、保守は「壊れたら直す」ではなく「壊れる前に防ぐ」活動だということです。とくに更新・バックアップ・期限管理の三つは、地味ですが事故の大半を未然に防ぐ土台になります。逆に言えば、ここさえ押さえておけば、改ざん・復旧不能・サイト消滅という致命的な三つはほぼ避けられます。
内製で守るか、外注するか
保守をどう回すか。社内でやる(内製)か、制作会社や運用会社に任せる(外注)かの線引きを考えます。
内製で十分なのは、料金やお知らせの文言修正、ブログ記事の追加といったコンテンツ更新です。WordPress の管理画面から文章や画像を差し替える程度の作業は、社内に一人「ある程度パソコンに強い人」がいれば回せますし、自社のことなので鮮度も保ちやすい。むしろここを外注するとスピードが落ちて費用もかさみます。
一方、外注したほうがいいのは、技術的な判断と継続的な監視が必要な領域です。プラグイン更新はボタンを押せばいいわけではなく、更新でサイトの表示が崩れたり機能が止まったりすることがあるため、不具合が出たときに切り分けて直せる知識が要ります。バックアップの設計、サーバーやSSLの期限管理、フォームの死活監視、障害時の一次対応——これらは「気づける目」と「直せる手」を常に持つ必要があり、本業の片手間で確実に回すのは難しい。とくにセキュリティ更新を自己流で止めたり放置したりすると、それ自体が事故の引き金になります。
現実的な落としどころは、コンテンツ更新は内製、技術保守は外注という分担です。日々の情報更新は自社で機動的に行い、土台の維持管理は専門家に任せる。この組み合わせが、コストと安全のバランスが最も取りやすい形だと考えています。
ひとつ、印象的だった例を挙げます。ある士業事務所(業種は伏せます)から「サイトが改ざんされたので作り直してほしい」と相談を受けたとき、よく聞くと制作時に保守契約を結ばず、公開後三年間まったく更新していませんでした。作り直すこと自体は難しくありませんが、同じことを繰り返さないために提案したのは、月額の保守で更新と監視を引き受ける形でした。「作り直し費用」という大きな一度きりの出費より、月々数千円から一万円台の保守で事故そのものを起こさないほうが、結局は安く済む。発注側がこの計算を持てると、判断はぶれなくなります。
保守契約と費用の考え方
保守を外注する場合の費用感も、目安を示しておきます。あくまで相場のレンジであり、サイトの規模や求める範囲で変動しますが、判断の物差しにはなるはずです。
軽微な更新監視のみ、つまり「プラグイン更新とバックアップ、期限管理だけ見てもらう」という最小構成なら、月額数千円〜一万円台が目安です。これに加えて、月数回のコンテンツ更新代行や、フォーム監視・障害対応・簡単な改善までを含めると、月額一万〜五万円程度に広がります。ECサイトや大規模な更新を伴う運用ではさらに上がりますが、一般的なコーポレートサイトであれば、この範囲で「事故を起こさない体制」は十分に作れます。
ここで意識したいのは、保守費を「制作費の付属品」ではなく「サイトを資産として維持するための運用費」として見ることです。数十万円から百万円台をかけて作ったサイトを、月数千円の保守をケチって事故で失うのは、投資の観点で割に合いません。制作費そのものの相場感は ホームページ制作費用の早見表の記事 にまとめていますが、制作費を検討する段階で、公開後の運用費まで含めて予算を組んでおくのが本来の姿です。
保守を依頼する会社を選ぶときは、「何が保守の範囲に含まれるか」を契約前に必ず文書で確認してください。更新は含むが障害対応は別料金なのか、バックアップは取るが復旧作業は別なのか——ここが曖昧なまま契約すると、いざ事故が起きたときに「それは範囲外です」と追加費用を請求される。逆に言えば、保守範囲を明確に説明できる会社は、運用を真剣に考えている会社です。制作会社を選ぶ際の見極め方は Web制作会社の選び方の記事 でも触れているので、保守の観点と合わせて確認すると判断の精度が上がります。
放置をやめるための次の一歩
ホームページは作って終わりではなく、公開してからが運用の始まりです。放置されたサイトは、改ざん・SSL失効・フォーム故障・情報の陳腐化・サイト消滅といったリスクを、当事者が気づかないまま静かに溜め込み、ある日まとめて事故として吹き出します。
次のアクションは二つです。ひとつは、自社サイトの現状点検。SSL は有効か、最後にプラグインを更新したのはいつか、問い合わせフォームから実際にテスト送信して通知が届くか——この三つを今日のうちに確認するだけで、危険度の輪郭がかなり見えます。もうひとつは、保守体制の整備。社内で誰がコンテンツ更新を担い、技術保守をどこに任せるかを決め、保守契約を結ぶかどうかを判断することです。「うちのサイト、誰も見ていないかもしれない」と少しでも思い当たるなら、それが点検を始める合図です。
