WordPressの更新を長期間放置すると、セキュリティの脆弱性を狙ったハッキング、サイトの表示崩れ、プラグインの互換性エラーといった深刻な問題が発生します。JEPA(日本電子出版協会)の調査では、ハッキングされたWebサイトの約43%がWordPressサイトであり、そのほとんどがWordPress本体やプラグインの更新を放置していたケースです。特に2年以上更新されていない放置サイトは、既知の脆弱性が複数存在する「穴だらけの状態」であり、マルウェア感染、フィッシングサイトへの転用、SEOスパム注入のリスクが極めて高くなります。この記事では、放置サイトを安全に復旧するための手順と、今後の更新を習慣化する方法を解説します。
この記事でわかること
WordPress更新を放置するリスク / 安全な復旧の5ステップ / 更新前に必ず行うバックアップ方法 / プラグインとテーマの更新手順 / PHP・サーバーの互換性確認 / 今後の更新を習慣化する方法
WordPress更新を放置するリスク
| リスク | 具体的な被害 | 放置期間の目安 |
|---|---|---|
| マルウェア感染 | サイトにウイルスが埋め込まれ、訪問者のPCにも感染。Googleから「このサイトは危険」と警告表示される | 6ヶ月〜 |
| 改ざん・乗っ取り | サイト内容が書き換えられ、詐欺サイトやフィッシングサイトに転用される | 1年〜 |
| SEOスパム注入 | 不正なリンクや隠しテキストが挿入され、Googleからペナルティを受けて検索順位が消滅 | 1年〜 |
| プラグイン互換性エラー | プラグイン同士の互換性が崩れ、サイトが真っ白になる(ホワイトスクリーン) | 3ヶ月〜 |
| PHP非互換 | サーバーのPHPバージョンが上がり、古いWordPressが動作しなくなる | 2年〜 |
最も怖いのはSEOスパム注入です。サイトの管理者が気づかないまま不正なコードが埋め込まれ、Googleの検索結果にスパムページが表示されるようになります。この状態を放置するとGoogleからマニュアルアクション(ペナルティ)が適用され、復旧には数ヶ月かかります。ホームページ放置のリスクも参照してください。
安全な復旧の5ステップ
完全バックアップの取得(最重要)
更新前にサイト全体(データベース+ファイル)のバックアップを取得します。プラグイン「UpdraftPlus」を使えばワンクリックでバックアップ可能です。バックアップ先はGoogle DriveまたはDropbox等のクラウドストレージを推奨します。万が一更新で問題が起きても、バックアップから完全に復元できます。バックアップなしで更新を行うのは絶対に避けてください。
現状のセキュリティチェック
更新の前に、サイトがすでにハッキングされていないか確認します。Sucuri SiteCheck(無料)にURLを入力するだけで、マルウェアやブラックリスト登録の有無がわかります。もしマルウェアが検出された場合は、通常の更新ではなくサイトの駆除・クリーンインストールが必要です。この場合はプロに依頼してください(駆除費用:3〜10万円程度)。
プラグインとテーマの更新
WordPress管理画面→「ダッシュボード」→「更新」で、更新可能なプラグインとテーマの一覧が表示されます。プラグインは1つずつ更新し、各更新後にサイトの表示を確認してください。一度に全て更新すると、どのプラグインが問題を起こしたか特定できなくなります。使っていないプラグインはこの段階で削除してください。
WordPress本体の更新
プラグインとテーマの更新が完了した後に、WordPress本体を更新します。メジャーバージョン(例:5.x→6.x)をまたぐ更新は互換性の問題が起きやすいため、段階的に1バージョンずつ更新するのが安全です。WordPress 5.0以前のバージョンからの更新は特に注意が必要で、ブロックエディタ(Gutenberg)への移行が伴います。
動作確認+セキュリティ強化
全ページの表示確認、問い合わせフォームの動作テスト、SSL証明書の有効期限確認を行います。その後、セキュリティプラグイン(Wordfence推奨、無料版で十分)をインストールし、不正アクセスの監視を開始します。管理画面のパスワードも変更してください。
更新前に確認すべきPHP互換性
WordPressはPHPというプログラミング言語で動作しています。レンタルサーバーのPHPバージョンが古すぎると最新のWordPressが動作せず、逆にPHPバージョンが新しすぎると古いプラグインが動作しません。2026年現在のWordPress推奨PHPバージョンはPHP 8.1以上です。
| PHPバージョン | サポート状況 | 推奨アクション |
|---|---|---|
| PHP 7.4以下 | サポート終了 | 至急PHP 8.1以上に更新。サーバーの管理画面からPHPバージョンを変更可能 |
| PHP 8.0 | セキュリティのみ | PHP 8.1以上への更新を推奨 |
| PHP 8.1〜8.3 | 推奨 | そのまま使用可能。WordPress最新版との互換性も問題なし |
PHPバージョンの確認方法はレンタルサーバーの管理画面、またはWordPress管理画面の「サイトヘルス」→「情報」→「サーバー」で確認できます。PHPバージョンの変更はサーバーの管理画面から数クリックで完了しますが、変更後に全ページの表示確認を行ってください。古いプラグインがPHP 8系に対応していない場合、エラーが発生する可能性があります。
今後の更新を習慣化する3つの方法
方法1:自動更新を有効化
WordPress管理画面→プラグイン→各プラグインの「自動更新を有効化」をクリック。マイナーバージョンの自動更新はデフォルトで有効ですが、メジャーバージョンは手動を推奨
方法2:月次の保守ルーチン
毎月1日に「バックアップ→プラグイン更新→テーマ更新→WP本体更新→動作確認」を実施。Googleカレンダーにリマインダーを設定して忘れ防止
方法3:保守会社に外注
月額5,000〜3万円で更新・バックアップ・セキュリティ監視を代行。自社に技術者がいない場合はこの方法が最も安全
よくある質問
更新ボタンを押したらサイトが真っ白になりました
プラグインの互換性エラーの可能性が高いです。FTPまたはサーバーのファイルマネージャーでwp-content/pluginsフォルダ内の各プラグインフォルダ名を変更(例:plugin-name → plugin-name-disabled)して、原因のプラグインを特定してください。特定後、そのプラグインを削除し、代替プラグインをインストールします。バックアップがあれば復元が最も確実です。
3年以上更新していないサイトは自分で復旧できますか
技術的には可能ですが、セキュリティリスクが高いためプロに依頼することを推奨します。3年以上放置されたサイトはマルウェア感染の確率が高く、単純な更新だけでは解決しないケースがあります。復旧費用は5〜20万円程度です。自社で行う場合は、必ずSucuri SiteCheckでセキュリティチェックを行い、バックアップを取得してから作業してください。
WordPressの自動更新は有効にすべきですか
プラグインのマイナーアップデート(セキュリティパッチ)は自動更新を有効にすることを推奨します。ただし、メジャーバージョンアップ(機能変更を伴う更新)は手動で行い、更新前にバックアップを取得してください。WordPress本体のメジャーバージョンアップも手動を推奨します。
更新するとデザインが崩れることはありますか
テーマの更新によってカスタマイズしたCSSが上書きされる場合があります。子テーマ(Child Theme)を使用していれば、テーマ更新でカスタマイズが消えることはありません。子テーマを使用していない場合は、テーマ更新前にカスタムCSSをバックアップしてください。WordPressリニューアルの費用と手順で子テーマの活用方法を解説しています。
セキュリティプラグインは何を使えばいいですか
Wordfence Security(無料版)が最もおすすめです。ファイアウォール、マルウェアスキャン、ログイン試行制限、二要素認証の機能が無料で利用できます。日本語環境での動作も安定しており、中小企業サイトであれば無料版で十分です。SiteGuard WP Pluginとの併用も効果的で、管理画面のURLを変更して不正ログインを防止できます。
まとめ
WordPressの更新は「面倒だから後回し」にしがちですが、放置期間が長くなるほど復旧コストは指数関数的に増加します。6ヶ月以内なら自力で対応可能(0円)、1〜2年放置で専門家への依頼が必要(5〜10万円)、3年以上放置でクリーンインストールが必要(10〜20万円)——この事実を踏まえると、月1回30分の更新作業は最もコスト効率の高い保険です。WordPressの更新を放置するとハッキング、マルウェア感染、SEOペナルティという深刻なリスクが発生します。安全な復旧の鉄則は「バックアップ→セキュリティチェック→プラグイン個別更新→WP本体更新→動作確認」の5ステップです。復旧後は月次の更新ルーチンを習慣化し、二度と放置状態に戻らない体制を整えてください。自社での対応が難しい場合は、月額5,000〜3万円の保守契約で外注する方法もあります。
関連記事
ホームページの無料診断を実施中
株式会社仁頼は、放置サイトの現状診断からSEO/GEO対策まで一貫して支援しています。
「自分でやるか、プロに頼むか」の判断からお手伝いします。まずは無料診断から。
株式会社仁頼 代表取締役。横浜市在住。 2018年からデジタルマーケティング業界に携わり、Google広告・SEO・コンテンツマーケティングを中心に8年以上の実務経験を持つ。これまでに制作した記事は9,000本以上、70名を超える専門ライターとのチーム体制で、幅広い業界のWebマーケティングを支援してきた。 2022年9月に株式会社仁頼を設立。「受けた御恩を忘れず、信頼を得られるよう迅速かつ最適な対応をする」という信念のもと、SEO・広告運用・サイト制作などのマーケティング支援を行っている。 近年は、ChatGPTやPerplexityなどのAI検索でサイトが引用される「GEO(生成エンジン最適化)」の分野にいち早く注力。自社サービス「GEO Hack」を通じて、AI時代の新しい集客手法を企業に提供している。 「難しいことをわかりやすく、小さな会社にも大きな成果を」をモットーに、日々クライアントと伴走中。
