WordPress保守とは、WordPress本体・テーマ・プラグインの更新、バックアップ、稼働監視、トラブル対応を継続的に行い、サイトを安全に動かし続けるための管理業務です。外注する場合の費用は月額5,000円〜5万円程度(中心帯は1〜3万円)が目安です(2026年7月時点)。
この記事では、WordPressで自社サイトを運営する中小企業の経営者向けに、保守の中身(毎月何をしてもらえるのか)、自社でできる範囲、外注する場合の判断基準と「契約前に聞くべき質問」までを解説します。読み終えれば、自社に必要な保守のレベルと、今の契約に何が足りないかを判断できるようになります。
WordPress保守とは?「作って終わり」にしないための継続管理
Webサイトは建物と同じで、完成した瞬間から劣化が始まります。WordPressの場合の「劣化」とは、見た目の古さではなく、使っている部品(本体・テーマ・プラグイン)に日々新しいセキュリティの穴が見つかっていくことです。保守とは、この穴を塞ぎ続け、万一に備え、異常にすぐ気づける状態を維持する仕事を指します。
「保守」「運用」「復旧」の違い
似た言葉が混同されがちなので、最初に整理します。発注時のすれ違いの多くはここから生まれます。
| 言葉 | 意味 | 例 |
|---|---|---|
| 保守 | サイトを安全に動かし続けるための予防的な管理 | 更新、バックアップ、監視、セキュリティ対策 |
| 運用 | サイトを活用して成果を出すための活動 | 記事作成、ページ修正、SEO、アクセス解析 |
| 復旧 | トラブルが起きた後の緊急対応 | ハッキング駆除、真っ白になった画面の復元 |
「保守契約」と言ったとき、通常含まれるのは1行目だけです。記事の修正やSEOは「運用」であり、多くの保守プランでは別料金です。また、保守は復旧を安くする保険でもあります。保守なしでトラブルが起きた場合の復旧作業は、単発で数万円〜数十万円になることが珍しくありません。
なぜWordPressに保守が必須なのか
WordPressは「更新され続けること」を前提に設計されたソフトウェアだからです。セキュリティ企業Patchstackの調査(2025年版)では、2024年に報告されたWordPress関連の脆弱性の96%はプラグインが原因でした。プラグインの穴は放置された分だけ積み上がり、公表された脆弱性を狙う自動攻撃は数時間〜数日で始まります。脆弱性の仕組みと放置した場合に起きることは、別記事で詳しく解説しています。(関連記事:WordPressの脆弱性とは?放置リスクと経営者が取るべき対策)
WordPress保守の作業内容——毎月「何をしてもらえるのか」
保守は中身が見えにくく、「毎月払っているが何をしてくれているのか分からない」という不満が生まれやすいサービスです。標準的な保守に含まれる作業を、優先度順に並べます。
- 定期バックアップと復元体制——ファイルとデータベースの両方を定期取得し、いざというとき戻せる状態を保つ。「復元テスト済みか」が品質の分かれ目(関連記事:WordPressバックアップの正しい方法)
- 本体・テーマ・プラグインの更新——更新前バックアップ→更新→表示確認までがワンセット。壊れたら切り戻す
- 死活監視——サイトが落ちたら(お客様より先に)検知して対応する仕組み
- セキュリティ対策・改ざんチェック——ログイン保護、不審なファイルや改ざんの定期確認
- 障害時の一次対応——表示崩れ・エラー発生時の窓口と初動
- 月次報告——何を実施し、何を検知したかの報告。これがない保守は実施の確認ができない
見落とされがちな「保守契約に含まれないこと」
トラブルの大半は「やってくれていると思っていた」の思い込みから起きます。次の項目は、標準的な保守契約には含まれないことが多いため、必要なら契約前に範囲を確認してください。
- 記事・お知らせの作成代行、既存ページの文言修正やデザイン変更(=運用)
- SEO対策・広告運用・アクセス解析レポート
- サーバー・ドメインの契約更新料の支払い管理(名義と支払いが誰か、は特に重要)
- ハッキングされた後の駆除・復旧作業(保守プランでも別料金のことが多い)
- PHPバージョンアップなどサーバー側の大規模作業
WordPress保守は自分で(自社で)できるのか?
できます。ただし条件付きです。「月1回・約1時間の定例作業を、担当者を決めて確実に回せるなら」自社保守は現実的な選択肢です。逆に、担当者が決まらない・続かないなら、それは体制の問題なので外注が向いています。
自社でやる場合の月次チェックリスト(担当者にこのまま渡せます)
- バックアップが直近で取れているか確認する(ファイル+データベースの両方)
- 手動でバックアップを1回取ってから、プラグインを更新する
- テーマ→WordPress本体の順に更新する
- トップページ・問い合わせフォーム・主要ページの表示と動作を確認する
- 使っていないプラグイン・テーマを削除する
- 管理画面のユーザー一覧に身に覚えのないアカウントがないか確認する
年1回は、これに加えて「バックアップからの復元テスト」と「PHPバージョンの確認」を行ってください。
自社保守がつまずく3つのポイント
- 更新に失敗したとき戻せない——チェックリストの中で本当に難しいのはここだけです。切り戻しの経験がないと、画面が真っ白になった時点で手が止まります
- 異常に気づけない——監視の仕組みがないと、サイトダウンや改ざんに気づくのは「お客様からの指摘」になります
- 属人化——担当者の退職と同時に保守が止まり、数年後に「誰もログインできないサイト」になるのが典型パターンです
外注する場合の費用相場
保守会社各社が公開している料金を横断すると、月額の分布はおおむね次のとおりです(2026年7月時点の目安)。
| 月額の目安 | 含まれる内容の目安 | 向いているサイト |
|---|---|---|
| 5,000円〜1万円 | 更新・バックアップなど最低限 | 会社案内中心の小規模サイト |
| 1万〜3万円 | 上記+死活監視・セキュリティ対策・軽微な修正 | 一般的な中小企業サイト |
| 3万〜5万円 | 上記+改ざんチェック・月次報告・優先サポート | 集客・採用をサイトに頼る企業 |
| 5万円〜 | 上記+EC対応・大規模サイト・個別要件 | ECサイト・多店舗・メディア |
単発(スポット)での復旧依頼は1回1万〜10万円超になりがちで、ハッキング駆除はさらに高額です。月額保守は「復旧費の分割払い」ではなく「復旧を発生させないための費用」と捉えるのが実態に合っています。費用の詳しい内訳・勘定科目・値切りどころは別記事で解説予定です。(関連記事:ホームページの保守費用はいくら?月額相場と内訳)
失敗しない保守会社の選び方——契約前に聞く7つの質問
パンフレットの比較よりも、次の7つを直接聞くほうが確実です。即答できるかどうか自体が、その会社の運用品質を表します。
- 契約に含まれる作業と含まれない作業を書面で示してもらえますか?
- 更新の前にバックアップを取りますか? 失敗したら切り戻せますか?
- サイトが落ちたとき、何分(何時間)以内に検知し、誰がどう動きますか?
- 緊急時の連絡手段と受付時間は?(メールのみ・平日のみ、は要注意)
- 毎月、実施内容の報告はもらえますか?
- ハッキングされた場合の復旧は契約範囲内ですか? 別料金ならいくらですか?
- 解約時に、サイトの管理権限・バックアップ・各種ログイン情報はすべて引き渡してもらえますか?
特に7番は見落とされがちです。解約したらログイン情報が返ってこない——という「囲い込み型」の契約は、制作会社とのトラブルで最も多いパターンのひとつです。
「安すぎる保守」の注意点
月額数千円のプランの中には、「自動更新をONにするだけ」「バックアップはサーバー任せ」という実質放置に近いものもあります。安いこと自体は問題ではありませんが、「何をして、何をしないか」が書面で明確かだけは確認してください。上の7つの質問に答えられない格安プランは、払っていても守られていない可能性があります。
契約の前に、まず現状を知る——無料診断のすすめ
保守のレベルを決めるには、まず「今どれくらい危ないのか」の現在地が必要です。当サイトの無料診断は、サイトのURLを入力するだけで、外部から確認できる17項目(設定ファイルの露出、ユーザー名の漏洩、HTTPS設定など)を点検し、危険度スコアを表示します。ログイン情報は不要です。
診断の結果、問題がなければ自社保守で十分かもしれません。問題が見つかった場合は、その内容をもとに必要な保守範囲をご提案できます。
よくある質問
Q. 保守を頼まずに運用するとどうなりますか?
すぐには何も起きません。それが一番の落とし穴です。更新が止まったサイトには公開済みの脆弱性が静かに積み上がり、ある日、改ざん・乗っ取り・サイトダウンとして表面化します。表面化してからの復旧費用は、予防としての保守費用より一桁高くつくのが通例です。
Q. 制作会社に毎月払っている費用は「保守費」ではないのですか?
内訳の確認をおすすめします。サーバー代・ドメイン代の立替だけで、更新やバックアップは含まれていないケースが実際に多くあります。「毎月の費用で、更新・バックアップ・監視のどれを実施していますか」と一度聞いてみてください。
Q. レンタルサーバーの自動バックアップがあれば十分ですか?
最低限の備えにはなりますが、十分とは言えません。確認すべきは「何世代残るか」「データベースも含まれるか」「復元は自分で操作できるか(有料か)」の3点です。改ざんに数週間気づかなかった場合、保存期間の短いバックアップは改ざん後のデータで上書きされてしまいます。
Q. 保守とセキュリティ対策は別物ですか?
重なりますが同じではありません。更新やバックアップは保守の中核であり、同時に最大のセキュリティ対策でもあります。一方、WAF(攻撃を遮断する仕組み)の導入や改ざん検知などは、プランによって含まれたり含まれなかったりします。「セキュリティ対策込み」という言葉の中身を確認してください。
Q. 途中でプラン変更や解約はできますか?
会社によります。最低契約期間(6か月〜1年)や解約予告(1〜2か月前)を設けている会社が多いため、契約前に確認してください。あわせて、解約時に管理権限・ログイン情報・バックアップ一式が引き渡されることを必ず書面で確認しておくと、将来の乗り換えで困りません。
まとめ——今日やることは3つ
WordPress保守とは、更新・バックアップ・監視・障害対応でサイトを安全に動かし続ける継続管理です。外注の中心相場は月額1〜3万円。自社でやるなら「月1回・担当者固定・戻せる体制」が条件です。経営者として今日やるべきことは次の3つです。
- 現在の契約内容を確認する——毎月の支払いに更新・バックアップ・監視が含まれているか、書面で確かめる
- 無料診断で現在地を知る——URLを入れるだけ。保守レベルを決める材料になる
- 自社でやるか任せるかを決める——月次チェックリストを回せる担当者がいるかどうかで判断する

この記事を書いた人
Spyral(スパイラル)/「サイトの主治医」運営 代表 佐藤 秀之
2011年創業、東京都八王子市。情報セキュリティコンサルティング会社でシニアコンサルタントを務めた後に独立し、中小企業のWEB集客・サイト運用を14年支援。ゼロトラスト・セキュリティの研究(Zero Trust Resilience Lab)と現場経験をもとに、WordPress保守・脆弱性診断サービス「サイトの主治医」を運営しています。運営者情報 →
本記事の料金レンジは2026年7月時点の各社公開情報に基づく目安です。脆弱性統計はPatchstack「State of WordPress Security」によります。
