WordPressを安全に保つための“簡単月1”ルーティン【バックアップと脆弱性対策】
「更新が怖くて何カ月も放置した結果、サイトが真っ白に……」
こうした声は、中小企業やNPOのご相談で本当によく耳にします。WordPress は低コスト・短納期で始められる半面、“保守をしないと脆弱化する”という宿命を背負っています。
今回は 「月に一度、誰でも簡単保守ルーティン」 をご紹介。IT 専任者がいない組織でも バックアップ → 更新 → セキュリティ確認 の流れを習慣化できるよう、ステップ別に解説します。
月1ルーティンの全体像
- 所要時間:慣れれば 60〜90 分。実作業は20分程度。
- 準備物:管理者権限のアカウント、FTP 情報(万が一の手動復旧用)
- 作業フロー
- 作業前チェック
- フルバックアップ取得
- WordPress/プラグイン/テーマのアップデート
- セキュリティスキャン+権限見直し
- 表示テスト & ログ確認
この順番は鉄板です。特に1、2を飛ばすと、最悪復旧手段を失います。作業前にバックアップを取るクセを付けましょう。
作業前チェック
- 管理者アカウントでWordPressにログインする。
- サーバーまたはプラグインに最新のバックアップが残っているか確認。
権限不足で更新に失敗したり、バックアップがないまま作業を進めると復旧不能になる危険があります。
作業前のバックアップを癖づけましょう。
フルバックアップ
使用プラグイン:UpdraftPlus(無料版可)
- WordPress 管理画面 → 設定 › UpdraftPlus Backupsを開く。
- 「今すぐバックアップ」をクリックし、データベースとファイルを含む にチェック。
- 保存先をGoogle Drive・Dropboxなど外部ストレージに設定。(PCなど、ローカルにダウンロードしても構いませんが、管理に注意)
レンタルサーバー側の自動バックアップとも併用するとより安心です。
本体・テーマ・プラグイン更新
更新する順番=“リスク低減”の鉄則
本体 → テーマ → プラグイン
この順序で進めると、不具合を最小限に抑えられます。
自動更新オンするのは主要プラグインだけ手動が安全。
WooCommerceなどデータベースを大きく更新するプラグインは、リリースノートを確認してからアップデートするのが理想です。
不具合が出たら 直前のバックアップをリストア → 問題のプラグインだけ除外して再実行 でほぼ解決します。
セキュリティスキャン
使用プラグイン:Wordfence Security
- Wordfence › スキャンで「スキャンを開始」ボタンを押す。
- 検出結果が 0 件 であることを確認し「OK」をクリック。
検出があったら?
修正ボタンで自動クリーンできる場合が大半ですが、コアファイルに改ざんがある場合は開発会社、WEB制作会社などの専門家に連絡を!
動作・速度テスト
- ブラウザで主要ページを表示。
- フォーム送信テスト→確認メールが届くかチェック。
- PageSpeed Insights にURLを入力し、極端にスコアが低くなっていないか確認。
ログ記録 & 次月リマインド(非必須)
保守記録を残しておくことが理想ですが、一人個人事業などの場合は手順5までの対策でも十分です。
ログを残す理由
- トラブル発生時に「いつ何を更新したか」追跡できる
- 担当交代時に引き継ぎしやすい
記入例(Google スプレッドシート)
| 日時 | 作業者 | バックアップファイル名 | 更新内容 | スキャン結果 | 備考 |
| 2025/07/16 | ナガミネ | backup-20250716.zip | WP 6.5→6.6、SWELL 4.4.0、Contact Form 7 | 問題なし | – |
次月以降を自動化
保守作業をスケジューリングしておくと作業忘れなどのヒューマンエラーを回避できます。
- Google カレンダーで 毎月第1営業日 10:00〜11:30「WP保守」 を定期登録
- 本記事URLを説明欄に貼り付け、誰でも作業できる状態にしておく
まとめ
WordPressは保守が重要!
月イチ保守をテンプレ化すればトラブル対応に追われる時間とコストを大幅削減できます。
POG lab. Web Factoryでは、作って終わりではなく、守り育てていくWEBを目指しています。WEB制作でのお困りごとはお気軽にお問い合わせください。
参考リンク
この記事は 2025 年 7 月 16 日時点の情報をもとに執筆しています。プラグイン仕様は予告なく変更される場合があります。
