WordPress(ワードプレス)は、世界シェアで6割超える人気NO.1のCMSです。日本でも多くの中小企業が自社のサイトにWordPressを導入しており、シェアが高いということは機能面、使いやすさの面で評価の高い証でもあります。
WordPress(ワードプレス)の特徴のひとつに(iPhoneのOSアップデートのように)ソフトウェア本体、プラグインとも頻繁に新しいバージョンがリリースされるという点があります。常に機能が進化して、セキュリティが強化されていることがWordPressの大きな魅力なのです。
ワードプレスで構築した自社のホームページを常に最新版にしておくことは特にセキュリティの面で重要ですが、一方で使用しているサーバー環境、テーマの仕様、カスタマイズの度合いによっては注意すべき点も多々あります。
弊社では、WordPress(ワードプレス)が世の中に出始めた10数年前(2008年リリースの2.5 ブランチの頃)から、ワードプレスでのサイト構築をおこなっており、これまで数百件のWordPressサイトのアップデート、構築&カスタマイズしていますので、リスキーな点やスムーズな進め方を熟知しています。
バージョンアップせずに多少バージョンが古くても利用には差し支えはありませんが、でも昨今のセキュリティの問題を考えると常に最新版にしておくのが望ましいのはたしかです。
このページではWordPress アップデートの注意点と更新しないリスクについてご説明いたします。
ひとえにワードプレスといっても、そのシステムは複雑になっており、ホームページはコア部分の「WordPress本体のシステム」「プラグイン」「テーマ」で構成されます。
WordPressでサイトを作成公開後、運用してしばらく経つと、「WordPress本体のシステム」「プラグイン」「テーマ」がそれぞれアップデート情報が少しずつ表れ始めます。皆さんも見たことがあると思いますが管理画面メニューの左側に表示されるあの数字です。
この数字はバージョン更新をおこなうことで消えるのですが、多くの方はわかっていても「壊れたらいやだからそのままにしておこう」「未来のハッキングよりもいま障害が起きる方がいやだ」と考えて、積極的に更新をしたがる人はあまりいません。それはそうですね。
この項目では、アップデートが必要になるものについてご説明いたします。
一つ目は、WordPress本体のシステムです。公式サイトから入手が可能な基幹ソフトウェアです。
実はWordPressの本体のシステムは頻繁にバージョンアップされています。
バージョンのリリースは大別して2種類に分かれており、おおよそ4~6ヶ月ごとに実施されるメジャーリリース(新機能の追加など大がかりなバージョンアップ)と、数日から数週間ごとに実施されるマイナーリリース(セキュリティ問題の修正や不具合修正など軽微なバージョンアップ)です。詳しくは「WordPress のバージョンアップとは?内容と頻度を解説」ページ をご覧下さい。
注:ソフトウェア業界では、たとえば 「3.2.1」 というバージョンがあった場合、一桁目の「3」の桁をメジャーリリース、二桁目の「2」の桁をマイナーリリース、三桁目の「1」の桁をマイクロリリースと呼ぶケースもあります。
「6.3ブランチ」→「6.4ブランチ」など二桁目の変更は新機能の追加や開発者開発者向けの API を追加など大がかりなバージョンアップになります。最近の傾向ではおおよそ4~6ヶ月に1回(1年に2回程度)実施されています。
「6.2.1」→「6.2.2」など三桁目のバージョン変更はセキュリティ問題の修正や不具合修正など軽微なバージョンアップであることが多くなります。おおよそ数日から数週間ごとに実施されています。けっこう頻繁ですね。iPhoneのOSアップデートのように常に改良されていることからもWordPressの信頼度の高さが伺えます。
WordPressのシステムの更新は管理画面のメニューから「ダッシュボード → 更新」画面でおこなうことができます。利用者の権限によっては更新出来ない場合もあります。
二つ目は、WordPressの機能を拡張するプラグインです。WordPressをインストールすると一緒に入って来る Akismet Anti-Spam: Spam ProtectionやHello Dollyのほかに、お問い合わせフォームのContact Form 7やSEOのYoast SEOなどが有名です。
プラグインは配布元がそれぞれ異なるため、バージョンアップの時期やスパンもばらばらです。使用しているプラグインによって更新(アップデート)をおこなう必要があります。更新は公式サイトから入手したものであれば、管理画面のメニュー「プラグイン」画面でおこなうことができます。
(プラグインは利用ユーザによってはアクセスすることができません)
三つ目は、WordPressのサイトの基本デザインや機能のテンプレート(テーマ)です。公式テーマディレクトリにある無料のもの、その他有償のもの、ウェブ制作会社が作成したオリジナルのテーマなどがあります。
テーマもプラグイン同様、作成元配布元がそれぞれ異なるため、バージョンアップの時期やスパンもばらばらです。
更新は公式サイトから入手したものであれば、管理画面のメニュー「外観→テーマ」画面でおこなうことができます。(外観は利用ユーザによってはアクセスすることができません)
制作会社が独自にオーダーメイドで作成したものであれば、「更新」という概念はあまりないかもしれません。
これは上記の3つとは厳密には異なりますが、
WordPress を実行するには、ホスティング環境の要件が定義されています。PHPのバージョンとMySQL バージョンまたは MariaDB バージョンです。
最新のWordPressをインストールして動かすには、古いPHPやMySQL ではなく、それなりに新しいバージョンが求められます。もし自社サイトのサーバー環境が古い場合はPHPのバージョンをアップするか、またはサーバーを変更する必要があります。WordPressサイトのサーバー移動は少しややこしいのでご注意。こちらの「WordPressの移行作業の重要点(企業サイトの引っ越し)」をご覧下さい。
WordPressをを更新する理由と更新しないリスク、古いバージョンのまま使い続けるリスクについてご説明いたします。
一つ目は、WordPressのセキュリティ面のリスク、危険度が高くなることです。
これはよく言われていることですが、WordPressはオープンソースのソフトウェアをサーバーにインストールして構築するため、プログラムの基本的な仕様はどのサイトも同じです。付随するプラグインもテーマもWordPress本体のシステムに合わせて動くように作成されています。
同じ仕様であるが故に、特に海外からのハッキングを目的とした不正アクセスに狙われやすいという弱点があります。世の中の悪意を持つハッカーは利用者数が多いWordPressの脆弱性(情報セキュリティ上の欠陥)を常に探していて、当該バージョンのWordPressを執拗に狙ってきます。
これは適切な対策をおこなっていれば、それほど大きな問題、リスクではないのですが、ソフトウェアをアップデートをしない(古いバージョンを使い続ける)ということは、日々、発見・改善されているセキュリティ問題の修正や不具合修正を放棄することになりますので注意が必要です。
自身のスマホのiPhoneのiOSのアップデートをほとんどおこなわずに古いまま使い続けている状態と同じようなイメージです。
ハッキングされる多くサイトは更新を怠っているのも事実です。WordPress本体のマイナーリリースにはセキュリティー脆弱性に対処したものも多々ありますので、なるべく常に最新バージョンへとアップデートするようにしましょう。→ 改ざん、ハッキングされたホームページの復旧対応をみる。
二つ目は、リスクというよりデメリットですが、新しい機能やスムーズな動作環境が手には入らないことです。
WordPressのアップデートはセキュリティ問題の修正や不具合修正といったもののほかに、新しい機能の追加や操作性の向上といった利便性の向上もおこなわれます。
iPhoneのiOSのアップデートをおこなうと、定期的に新しい機能が追加されて使いやすくなったり、便利になったり、常に進化していくのですが、WordPressもそれと同じです。
特に管理画面の操作性の向上はサイト運用の大事なポイントなので、なるべくアップデートするに越したことはありません。
WordPressを更新しないリスク、古いバージョンのまま使い続けることで起きるトラブル、不具合については、サイトトラブル・不具合対応例をこちらのページにも詳しく載せていますのであとでご覧下さい。
ワードプレスのシステムでは、更新が必要になると新しいバージョンの案内、注意喚起が出ます。皆さんも目にしたことがあるのではないでしょうか。
重要: 更新する前に、データベースとファイルをバックアップしてください。更新のヘルプが必要な場合は、WordPressの更新のドキュメントページにアクセスしてください。
WordPress本体のアップデート、プラグインのアップデートは、主に以下の2つの方法でおこなうことができます。
- WordPress管理画面から「ワンクリック更新」
- FTPを使ってサーバーにアップロードする「手動更新」
もっとも簡単なアップデート方法は、ワードプレスの管理画面からの「ワンクリック更新」です。
サーバーの仕様や権限の問題で「ワンクリック更新」が使えない時、あえて前のバージョンに落とす「ダウングレード」などはFTPでサーバーに接続して「手動更新」をおこないます。
更新の前には念を入れてデータベースとファイルのバックアップをしておいた方が良いのですが、そのためには、下記のような流れで進めていくことになります。
- WordPressの管理画面のワンクリック更新を開く
- データベースとファイルのバックアップを取得する
- (場合によっては)テストサイトを立ち上げて、システムやプラグインの新しいバージョンでの表示や動作をチェックする
- 問題なければ、本番サイトの各所の更新ボタンを押して(またはFTPで接続してアップロード)、更新を実施
- 公開後、あらためて確認、不具合があれば修正。または取得したバックアップを使って過去に復元する。
このように少し手間がかかります。またバックアップを取ったところで、万が一不具合が発生した時にすぐに復旧出来ないとあまり意味がありません。
更新の度に「2」のDBやファイルのバックアップを取得したり、「3」のテストサイトを立ち上げることはそれなりに労力と時間、外部に依頼する場合は費用もかかりますので、実際のところ、更新にあたってどこまで念を入れて作業を実施するかは、企業のスタンスによって異なります。(下記で補足いたします)
この項目ではWordPress アップデートの注意点をご説明いたします。弊社はWordPress(ワードプレス)が世の中に出始めた10数年前(2008年リリースの2.5 ブランチの頃)から、ワードプレスでのサイト構築をし始めました。これまで数百件のお客様サイトを頻繁に更新をおこなっており、想定しないトラブルや失敗もいろいろと経験しています。下記は弊社の経験に基づいた注意点です。
WordPress本体のバージョンアップでは、常に機能が進化して、セキュリティが強化されています。新機能の追加など大がかりなメジャーリリースと、セキュリティ問題の修正や不具合修正など軽微なマイナーリリースがありますが、
メジャーリリースの場合は、大幅な仕様変更が含まれているケースもありますので、少し慎重にアップデートを実行した方がいいでしょう。本体に影響が出る事象もあります。
一方、マイナーリリースの場合は、多くはセキュリティや不具合・バグに関する対処アップデートであり、管理画面から更新ボタンを押してアップデートしても多くの場合は問題ありません。ほとんどのWordPress アップデートはうまくいきます。(経験上、時々不具合が発生します)
結果的に、マイナーリリースの場合は更新ボタンを押して更新、何かあればすぐに不具合対応、メジャーリリースの場合は同様に更新ボタンを押して更新するか、テストサーバーで検証をしてからアップデートというユーザーが多いように思えます。
本体のバージョンアップと異なり、プラグインの場合は第三者、世界中のユーザーが独自に提供しているものなので、更新の頻度が低いものから高いものまで多種多様です。プラグインの提供を主のビジネスにしてセキュリティを強固にしている会社もあれば、ほぼ自分の趣味やボランティアの範囲内でセキュリティの甘いプラグインを提供している人もいます。まちまちです。
この玉石混淆、多数のプラグインの存在がWordPressの魅力なのですが、もし自社のサイトに更新頻度の低いプラグインが入っている場合は注意が必要です。WordPressの現在のバージョンアップに適合できず、アップデートをした際に不具合を引き起こす可能性があります。(実際、プラグインが原因による不具合はよくあります)
現実的ではない「プラグインを一時的に全て無効化」
よく他のサイトに、アップデートの時は「プラグインを一時的にすべて無効化」と書いてあることがありますが、運用する側からするとこれは現実的ではありません。プラグインをすべて止めるということは、サイトが一時的に動かなくなる、壊れるのと同じです。本当にすべてのプラグインを無効化するのであれば、メンテナンスモードにして一時的にサイトを停止させるか、別サーバーでテストサイトを作っておこなう必要があります。
ホームページ制作会社に制作を依頼した場合、WordPressのデザインテーマは、お客様の要望に応じて、独自に作成するケースが多くあります。この場合、そのテーマを制作会社が定期的にテーマをアップデートしてくれることはあまり無く、大半は納品した状態のままになっています。
テーマの定期更新契約などを結んでいないので当然と言えば当然なのですが、この状態で数年が経つと、作った当時のワードプレスのバージョンと現在のバージョンでかなりの乖離が出て来て、徐々にリスキーな状態になってきます。
何らかのタイミングで作成した制作会社にテーマのアップデートを依頼するか、自社でおこなう場合は、一度テストサーバーで検証をしてから実施すると良いでしょう。
もしホームページ制作会社が廃業などで連絡が取れずに困っている場合はこちらの対処ページをご覧下さい。
前述のように、WordPressのアップデートは、バックアップを取り、テストサイトで検証をして、OKであれば更新する方法が王道かつ安心な方法です。
ただ更新の度にDBやファイルのバックアップを取得したり、テストサイトを立ち上げることは、それなりの労力と時間、外部に依頼する場合は費用もかかります。中小企業にとって、バージョンアップの度にテストサイトを立ち上げるのは現実的ではありません。
それを考えると、中小企業のアップデートの進め方は、自社の事業規模やスタンス(自社ホームページの重要度)を鑑みながら、判断するのがベストでしょう。
自社サイトはそうそう停止出来ない企業や不具合による停止は短時間でも許されない企業で、かつ自社で更新作業をおこなう場合は、少し手間がかかりますが、バージョンアップの度に他のテストサーバーを用意して、新しい WordPressを入れて、動きを検証して、OKなら移植する方法でアップデートをおこなうべきです。何かあった時に自社の担当者の責任になっていまうのを避けるためです。
社内に専用スタッフがいない場合は制作会社などに都度依頼する必要があります。費用がかかりますが致し方ありません。
自社サイトに何か不具合が起きたらその時に直せば良いというスタンスの企業の場合は、メンテナンスモードにした上で、とりあず更新ボタンを押してアップデートして不具合が出たら対処という方法でいいでしょう。
外部エンジニアや制作会社に作業を依頼する場合でもこの方法の方が安くすみます。
ただ何か起きてから、依頼をしては、不具合表示のまま時間だけが経過していくことになりますので、作業の前に人員配置などの段取りをして待機しておくべきです。(それでも大幅なバージョンまたぎのアップデートは注意が必要です)
更新ボタンを押して何か不具合が発生するリスクより、何かあると困るし、とりあえず現状サイトの運用に支障が無いので、そのままにしておいて、何かのタイミング(半年に1回とか1年に1回とか)でアップデートのことも考える、という企業も少なくはありません。
特に中小企業の場合は、Webサイトの運用にそれほど費用をかけられる訳ではありませんから、自社の方針として「更新した方が良いことはわかっているけど・・・」というケースは多くあります。あまり望ましいことではありませんが、これはこれで「あり」でしょう。
自社のホームページに不具合やトラブルが出るのは誰しも避けたいものです。でも毎回アップデートのたびにデータベースやコンテンツのバックアップを取得して、自分の責任で「更新ボタン」を押したくないという心情も理解出来ます。進め方としては、自社のホームページに対するスタンスによって、アップデートの方法を決めるのがいいでしょう。
世界シェアNO1のCMSワードプレスは低コストで自社サイトの更新が容易に出来るとても優れたシステムですが、運用にあたってはコアシステムやプラグインの頻繁なバージョンアップ、PHPバージョンなどサーバーとの兼ね合い、データベース接続の問題、海外からの不正アクセスやハッキングなど、普通の人にはハードルの高い問題が数多く発生いたします。
ツアーオンラインの「WordPress 保守管理サービス」は、お客さまのホームページの更新代行、保守管理やセキュリティ対策、サーバーの保守管理をすべてサポート。ワードプレスのプロフェッショナルがお客様のサイトを安全に管理いたしますのでお客様も煩わしい問題から解放されます。
また、ツアーオンラインの「WordPressホームページ制作」は、お客様のご希望や目的、ご予算に応じて、シンプルで安価なものから高度で複雑なものまで、さまざまなパターンのWebサイトを作成することが可能です。
起業したばかりなのでまず会社案内用のWEBサイトが欲しい、コーポレートサイトとは別に商品・サービスに特化したサイトを立ち上げたい、ECサイト(ネットショップ)を作成したいなど、お客様のご要望をお教えください。ていねいにヒアリングさせていただきます。
全国どちらのエリアのお客様も承っています。ITが苦手な方にもていねいにご案内させていただきます。ぜひこの機会にツアーオンラインでのWebサイト制作をご検討ください。
