中小企業経営層に知っておいてもらいたい自社ウェブサイト修正時の実態

社長さん、儲かってますなぁ…
何がって？
ウェブサイトの修正に余計なコストをかけていただいて、ありがとうございます。

これ、本音。

現状分析

下記は某所ウェブサイトのWordPressで作られたテーマファイル構成を分析した一部です。
素人目にはなんのことか全くわからないこのエクセルの図ですが、実はものすごく維持メンテナンスが高コストになっている原因です。

テーマファイルを構成しているファイルの中を見てみると、直接ページに表示されている内容が入力されています。
またファイル構成もarchive-xxx.phpと同じような名称のファイルが幾つも並んでいます。

上記の状態、どこかの企業の一例ではなく、実は数十社分のWordPressテーマ構成の一部をコラージュしてボカシたものです。
10〜5年ほど前に作られたWordPressサイトなら、多かれ少なかれ似たりよったりな状態だと考えられます。

修正コスト高の要因

自社ウェブサイトでSEO対策をする…そうした名目で営業されるケースも多く、実際契約されている社長さんも多いのではないでしょうか？
300〜500万円くらいのコストで見積もられて、最終的に1.5〜1.8倍まで膨らむケースはザラにあるかと思われます。

多くのSEO会社はサイトのファイル構成ノウハウが少ないので、CMS（ほとんどがWordPress）で作られていても、上記のようなファイル構成のどこをどういじればどうなるという見積もりはできないのです。

さらに問題なのはシステムに詳しい会社だったとしても、前述のような構成になっているWordPressテーマの「どこになんの問題があるか把握できない」のが現状です。

つまりどんな問題が生じるのかを弊社みたいなところに依頼されるパターンにつながってきます。

システムに詳しいのになぜわからないのか？

答え：自作システムとWordPressは開発の系譜が全く違うから。

システムに詳しいSEO会社の場合、中心となる仕組みは自分たちで設計したり、コアになるシステムからプログラミングを通して拡張して組み上げていくノウハウを持っています。
しかしWordPressはそもそも「ブログサイトを作るアプリ」として開発されているため、「見た目の拡張」しかできない仕組みとなっています。

開発する部分が骨組みから作るのか、内装だけ手掛けるのかくらいの差があり、ノウハウがまったく違うのです。

つまり修正する際、骨格を直さなければならないが、内装屋が勝手に一部骨格にまで影響を与える改造をした結果、修正部分がたまたまその部分にあたった場合、最悪崩壊の危険（リスク）が発生します。
そのため、事前調査が必要になるということです。

これが高コストの原因のひとつです。

テーマの作り直しをオススメ

100万円以上かけるなら、フルサイト編集対応テーマでサイトを作り直すことをオススメします。後々の改修コストが下がります。（内製化も可能です）
※ただしフルサイト編集をよくわかっている制作会社へ依頼すること！

なぜなら、SEO対策を取り入れてしまったら対策し続けることになる

つまりこういうことです。
SEOの場合、ほぼほぼGoogleでの検索結果に依存することになります。
また100万円くらいコストを掛けられるということは、1000万円程度の売上をウェブサイトから得ていることが考えられます。
逆にそこまでツールとして使われていないなら、維持コストをかけない方法（静的サイト化など）を考えるべきです。
※ちなみに現状のWordPressからファイルを書き出して静的サイト化する方法があり、5〜10万円ほどで実現できます。

SEO対策をしてしまったら、Googleの仕様変更に合わせて対策し続けることを覚悟して下さい。
そのとき、冒頭のテーマファイル構成だった場合、いちいち調査してから変更箇所を特定するなどの作業工数が増加するので、毎回数万〜数十万円単位で余計にコストがかかる可能性があります。

最新のWordPress6.6なら…

レイアウトも含めてノーコードで編集可能です。

なぜこのようなことになっているか？

WordPressを導入するきっかけとなったのは、おそらく「更新が楽にできるから」が大きな理由の一つだったはずです。
その話は2014〜2020年くらいまでずっと続いていました。今でもまだ聞きますが、さすがにそれだけではなくなってきましたので…。

特に2014年当時では、WordPressのバージョンが4.xで、今ほど自由度は高くなく、更新が簡単と言っても文字と写真の入れ替え程度が関の山。
レイアウト・デザインまでは簡単に更新できませんでした。

また多くのデザイン会社が、WordPressのことをよくわからないまま採用したことと、にわかプログラムコード（検索でヒットしたコードをそのままコピペして納品してある）により、強引な処理（見た目がそうなっていれば良い）状態のテーマファイルが多く使われていることで、メンテナンスがしにくい（冒頭の状態）構造となってしまった経緯があります。
※それだけでなく情報漏洩につながるコードも入っている場合があります。

そのため、サイトを作った本人でさえどこになんのコードが入っているのかわからず、またそのコードがメインプログラムを経由して動いていることなどもわからずに設置されているため、WordPress本体のバージョンがアップした場合にエラーが出てしまうことが起こります。
結果、本体のバージョンアップができないまま今に至っているケースがほとんどです。

放置リスクと犯罪加担リスクの話

にわかプログラムコードには当時はそれで良かったけど、そのやり方はいまではとても危険というものがあります。
たとえば、ログインを促す（会員制サイトなど）で、会員情報が登録されているか判断する場合、以下のようなNGコードを使っている場合があります。

//SQLインジェクションを誘発させる書き方（今ではやっちゃだめなやつ）
$query = "SELECT * FROM users WHERE username = '" . $_POST['username'] . "'";
$result = mysqli_query($connection, $query);

WordPressが乗っ取られるパターンで、かなりの確率でこの書き方が使われていました。
何が危険かというと、入力フィールドに悪意のあるSQLコードを挿入することで、データベースの内容を不正に取得・変更または削除することができます。例えば、' OR '1'='1 と入力をされると、全てのユーザー情報が取得される可能性があります。

またページを表示する際、冒頭のようにテーマファイルが増えることを嫌って、条件ごとに別ファイルの内容を読み込むケースでもNGコードが使われている例も多かったです。
※これ、ものすごく多い例で、かなりのケースで使われていると思います。

//やっちゃうと危険な選択されたページを動的に読み込むコード
include $_GET['page'] . '.php';
//下記の書き方も危険
$file = $_GET['file'];
include '/var/www/html/' . $file;

何が危険かというと…
サーバー上の任意のファイルにアクセスすることで、機密情報が漏洩する可能性があります。
例えば、../../etc/passwd というファイルパスを指定されると、システムのパスワードファイルが公開される可能性があります。

他にも危険パターンがあるのですが、何がやばいかって…ハッカーはこの手の脆弱性パターンを知り尽くしているプロだということと、ウェブページのソースを見るだけで、何年頃に作られたWordPressのサイトで、にわかコードがどこに埋められているかの判断をわりと瞬時にしてしまうこと。

最近はパターンをAI学習させ、1日に何万件ものサイトを巡回して、自動で攻撃するシステムができてしまっているということを認識したほうが良いでしょう。

犯罪者が狙っているのは身代わり情報

ウチのサイトから盗られる情報なんてないから大丈夫って声をよく聞きますが、そのサイトから情報を直接盗るのではなく、身代わりさせることも目的です。これ、注意しないといけないやつです。

一番わかりやすいのがスパムメール。
スパムメールの差出人ドメインをハッカー本人が契約しているドメインを使ったら、すぐに身バレしてしまいます。
そこで身代わりを立てるために、第三者が契約しているサーバとドメインを経由する方法を考えます。
最も簡単なのはフォームメールからメールを送信する仕組みを乗っ取ってしまう方法。
それもはじめからサーバにその機能が備わっていたら、わざわざ自作のプログラムを苦労してアップロードしなくても、そのまま使えてしまいます。
WordPress構築サイトならほぼフォームメール機能がプラグインで入っているため、ハッカーとしては環境が整ったシステムを、身バレなく使い放題となります。

結果、スパムメールの差出人はハッキングされたサイトのドメインとなり、Googleなどが該当ドメインをブラックリストに入れてしまった場合、検索に二度と表示されることもなく、最近ではブラウザでアクセスしても危険サイトとしてシャットアウトされるまでになっています。つまり、そのドメインは二度と使えなくなりますし、社名と紐づいていた場合は、ドメインを変更しても、検索結果に影響が残る場合が多々考えられます。
社名にブランド価値があった場合、大変な痛手です。

他にもスパムメールのリンク先として、アクセス先ページに悪意のあるJSコードを忍ばせておき、そのページを開いた瞬間、ウィルスなどをインストールさせるための囮ページとしても、ハッキングされたサイトは使いやすくなります。（犯罪者にとって）

セキュリティ対策放置リスクと情報漏洩リスク

上記はわかりやすい例の一部です。
最低限WordPress本体を最新版に保つことで、６割ほどセキュリティ対策は完了します。
さらにプラグインなどでリアルタイム監視のセキュリティ強化などを加えれば９割以上対策は完了します。

残りの部分はテーマファイルの対策になるのですが、先に上げた古いコードのままではいくら本体のセキュリティを上げても大きな穴が空いたままとなりますので注意してください。

これらの対策をせず、万が一他サイトの情報漏洩へとつながった場合の訴訟リスクは跳ね上がります。
また免責割合にもよるでしょうが、セキュリティ対策を放置した場合、かなりの割合で和解金等の分担に応じなければならなくなる可能性があります。

GoDaddy WordPress data breach: A timeline

ましてサイトでの売上が1000万円を超えている場合、古いコードを使い続けるリスクと、情報漏洩などに巻き込まれるまたは当事者となるリスクを考えて対策をすることをおすすめします。

※弊社は企画・調査会社です。ウェブ制作は行っていません。
WordPress設計の相談はお気軽にどうぞ。

ことほむ 合同会社｜時代考証・文化観光ブランディング