WordPressのバックアップ設定と復元手順 プラグイン選定から運用設計まで
「WordPressサイトが突然表示されなくなった」「プラグインのアップデート後に画面が白くなった」「不正アクセスによってサイトが改ざんされた」――このような事態に直面したとき、バックアップが存在するかどうかで、その後の対応は大きく変わります。バックアップがあれば数時間以内に復旧できるケースでも、バックアップがなければ全データを失い、再構築に数週間を要することもあります。
本記事では、WordPressのバックアップ方法と復元手順を体系的に解説します。UpdraftPlusやBackWPupなどの主要プラグインの設定方法、バックアップ先の選び方、実際の復元手順、そして運用設計の考え方まで、WordPress担当者が知っておくべき内容をまとめています。
1. WordPressのバックアップが必要な理由
1-1. WordPressサイトが障害を受けるリスクとは
WordPressはCMS市場で世界シェア60%以上を占める最も普及したCMSです。その普及規模の大きさは、攻撃者にとって「一つの攻撃手法で多数のサイトを標的にできる」という意味でもあります。実際、自動化されたボットによるブルートフォース攻撃や、プラグインの脆弱性を突いたマルウェア感染は、規模の大小を問わずすべてのWordPressサイトに対して行われています。
障害の発生原因は外部攻撃だけではありません。プラグインやテーマのアップデートによる競合、WordPressコア本体のバージョンアップによる不具合、サーバーの障害、誤った設定変更や誤削除なども、サイトが正常に表示されなくなる原因となります。こうしたリスクはWordPressを運用しているかぎり、常に存在し続けます。
1-2. バックアップなしで障害が起きた場合の影響
バックアップが存在しない状態でサイトに障害が発生すると、影響は広範囲に及びます。まず、これまで積み上げてきたコンテンツ(記事・画像・固定ページなど)がすべて失われる可能性があります。ECサイトであれば注文データや顧客情報も喪失しかねません。
サイトが停止している間は訪問者にサービスを提供できず、機会損失が発生します。SEO評価も低下し、停止期間が長引くほど検索順位の回復に時間がかかります。さらに、バックアップなしでの復旧作業は、プロのエンジニアが関与しても数日から数週間を要するケースがあり、その間の対応コストも無視できません。
1-3. バックアップを「仕組みとして」整備する重要性
バックアップは、「何か起きたときに取ればいい」という発想では不十分です。障害が発生してからバックアップを取ろうとしても、その時点のデータはすでに壊れていたり、改ざんされていたりする可能性があります。重要なのは、障害発生前の正常な状態のデータを定期的・自動的に保存しておくことです。
WordPressのバックアップは、一度設定すれば自動で動き続ける仕組みを構築することが基本です。プラグインを活用した自動スケジュール設定と、外部ストレージへの自動転送を組み合わせることで、人手をかけずに安全なバックアップ体制を維持できます。
WordPressの導入メリット・デメリットやセキュリティリスクの全体像については、「WordPress導入前に必ず知っておきたいメリット・デメリットと運用のポイント」で体系的に解説しています。バックアップ設計の前提となるWordPressの特性を理解したい方はあわせてご参照ください。
2. WordPressのバックアップ対象と種類を理解する
2-1. バックアップが必要な2つの要素
WordPressサイトは大きく「データベース」と「ファイル」の2つの要素で構成されており、完全なバックアップにはその両方が必要です。
データベース(MySQL)には、記事・固定ページのコンテンツ、カテゴリ・タグの設定、ユーザー情報、コメント、プラグインの設定値、Webサイトの各種設定(サイト名・パーマリンク設定など)が格納されています。WordPressの「中身」にあたる部分であり、最も重要なバックアップ対象です。
ファイルには、WordPressのコアファイル(wp-core)、テーマファイル、プラグインファイル、アップロードした画像・PDF等のメディアファイル(wp-content/uploadsディレクトリ)、設定ファイル(wp-config.phpなど)が含まれます。特にwp-content/uploadsはサイト固有のコンテンツが集まる重要なディレクトリです。
2-2. フルバックアップと差分・増分バックアップ
バックアップの方式には、主に「フルバックアップ」「差分バックアップ」「増分バックアップ」の3種類があります。フルバックアップは、データベースとファイルのすべてを丸ごと保存する方式です。復元が最もシンプルで確実ですが、保存データ量が大きくなるため、バックアップ先のストレージ容量と通信コストに注意が必要です。
差分バックアップは、最後のフルバックアップ以降に変更があったデータのみを保存します。増分バックアップは、前回のバックアップ以降の変更分のみを保存します。小規模から中規模のWordPressサイトであれば、プラグインによるフルバックアップの定期実行が最も実用的です。コンテンツ更新頻度が高い大規模サイトでは、フルバックアップと差分バックアップを組み合わせた設計を検討してください。
2-3. バックアップ世代数の考え方
バックアップは「何世代分保持するか」を設計することも重要です。一般的には、最低でも3世代分(直近3回分)のバックアップを保持することが推奨されます。更新頻度が高いメディアサイトや、障害時の損失が大きいECサイトでは、7世代以上保持するケースもあります。バックアップ世代数が増えるほどストレージ容量が必要になるため、バックアップ先の容量とのバランスを考慮した設計が必要です。
3. 主要バックアッププラグインの設定方法
3-1. UpdraftPlus:世界で最も使われているバックアッププラグイン
UpdraftPlusは、WordPressの公式プラグインディレクトリで有効インストール数300万以上を誇る、最も普及したバックアッププラグインです。無料版でも基本的なバックアップと復元機能を利用でき、Google Drive・Dropbox・Amazon S3などの外部クラウドストレージへの自動転送に対応しています。
インストール・有効化後の基本設定手順は以下のとおりです。管理画面「設定」→「UpdraftPlus バックアップ」を開き、「設定」タブをクリックします。バックアップスケジュールの項目で、ファイルのバックアップ頻度(毎日・毎週など)とデータベースのバックアップ頻度をそれぞれ設定し、保持する世代数も合わせて指定してください。次に、リモートストレージを選択し(例:Google Drive)、Googleアカウントとの連携を完了させます。設定後に「今すぐバックアップ」で動作確認を行い、クラウドストレージにファイルが保存されることを確認します。
無料版の主な制限として、増分バックアップへの非対応、一部の高度なスケジュール設定の制限があります。大規模サイトや複数サイトを管理する場合は、有料のUpdraftPlus Premiumへのアップグレードを検討してください。
3-2. BackWPup:細かい設定ができる国内外で人気のプラグイン
BackWPupは有効インストール数60万以上のバックアッププラグインで、バックアップ内容や保存先を細かく設定できる点が特徴です。「ジョブ」という単位でバックアップ設定をまとめて管理できるため、「データベースのみ毎日バックアップ」「フルバックアップを週次で実行」といった複数のスケジュールを組み合わせた運用が可能です。
設定手順は、管理画面「BackWPup」→「新規ジョブを追加」から行います。「このジョブの作業」でバックアップの種類を選択し、「スケジュール」タブでcronを使った実行スケジュールを設定、バックアップ先(Dropboxなど)を指定します。なお、BackWPupの無料版ではGoogle Driveへの直接転送がサポートされていません(Google Drive対応は有料のBackWPup Pro)。Dropbox・Amazon S3・FTPサーバーへの転送は無料版でも利用できます。
3-3. All-in-One WP Migration:バックアップと移行が一体化
All-in-One WP Migrationは、バックアップと移行・復元の両機能を持つプラグインです。「エクスポート」操作でサイト全体のバックアップファイルを生成し、「インポート」操作で復元できます。本番環境からステージング環境への複製にも広く利用されています。ただし、無料版では復元できるファイルサイズに上限があるため(デフォルトは数百MB程度)、大規模なサイトでは導入前にサイトの総容量を確認することをおすすめします。
4. バックアップ先の選定と外部ストレージの活用
4-1. サーバー内保存のリスクと外部ストレージの必要性
バックアップファイルをサーバー内のみに保存する設定は、最も避けるべき運用の一つです。サーバー自体に障害が発生した場合、バックアップファイルも同時に失われます。ランサムウェア攻撃によってサーバー内のファイルが暗号化された場合も同様です。
バックアップの基本原則として「3-2-1ルール」がよく参照されます。「データのコピーを3つ作成し、2種類の異なるメディアに保存し、そのうち1つはオフサイト(遠隔地)に保管する」という考え方です。WordPressの運用に置き換えると、「サーバー内にバックアップを保持しつつ、外部クラウドストレージにも自動転送する」構成が最低限として推奨されます。
4-2. 主な外部ストレージとその特徴
Google Driveは、Googleアカウントがあれば15GB(無料)の容量を利用できます。UpdraftPlusの無料版から直接連携でき、小規模サイトのバックアップ先として手軽に利用できます。Amazon S3(AWS)は大容量・高可用性のオブジェクトストレージで、中規模以上のサイトや厳格なデータ保全が求められる組織に適しています。Dropboxは、UpdraftPlus・BackWPupともに無料版から連携できる外部ストレージで、小規模サイトであれば十分機能します。
4-3. バックアップファイルのサイズと保存期間の管理
バックアップファイルは積み重なるとストレージを圧迫します。不要な古いバックアップを自動削除する設定(世代管理)を必ず行い、ストレージの使用量が制限を超えないよう管理してください。保存期間の目安として、日次バックアップは直近7日分、週次バックアップは直近4週分、月次バックアップは直近3ヶ月分を保持するといった設計が一般的です。サイトの重要度やコンテンツ更新頻度に応じて調整してください。
5. WordPress障害発生時の復元手順
5-1. 復元前に確認すべきこと
バックアップからの復元作業を始める前に、使用するバックアップファイルの取得日時を確認してください。復元することで、バックアップ取得後に行った更新・変更がすべて失われます。どの時点に戻すかを慎重に判断した上で作業を進めてください。
次に、障害の原因を把握します。プラグインのアップデートが原因であれば、そのプラグインを無効化した状態での復元が有効です。マルウェア感染が原因の場合は、感染前のバックアップを使用し、復元後に感染経路の特定と対策を行う必要があります。復元作業前にあらためて現時点のバックアップを取っておくことも有効です。
5-2. UpdraftPlusを使った復元手順
UpdraftPlusでバックアップを取得している場合、管理画面にアクセスできる状態であれば復元は比較的容易です。管理画面「設定」→「UpdraftPlus バックアップ」→「既存のバックアップ」タブを開き、復元したい日時のバックアップを選択して「復元」ボタンをクリックします。復元するコンポーネント(プラグイン・テーマ・アップロード・その他・データベース)を選択して実行し、完了後にサイトの表示・機能を確認します。クラウドストレージ上のバックアップを使用する場合は、「リモートストレージからバックアップを再スキャン」を実行してからバックアップファイルを読み込んでください。
5-3. BackWPupのバックアップから復元する手順
BackWPupのバックアップファイルはZip形式で生成されています。バックアップZipファイルをローカル環境にダウンロードして展開し、FTPクライアント(FileZillaなど)を使って展開したファイルをWordPressのインストール先ディレクトリに上書きアップロードします。データベースはバックアップZip内のSQLファイルをphpMyAdminでインポートして復元します。復元完了後、wp-config.phpのデータベース接続情報(DB_NAME・DB_USER・DB_PASSWORD・DB_HOST)が環境と一致しているかも確認してください。
5-4. 管理画面にアクセスできない場合の復元方法
プラグインの競合や設定ミスによって管理画面にログインできない場合、FTPとphpMyAdminを使った手動復元が必要です。FTPクライアントでサーバーに接続してファイルを配置し、phpMyAdminで既存のデータベースにSQLファイルをインポートします。作業前に現状のファイルをローカルにコピーしておくことを推奨します。データベースの削除・インポートは取り消しが難しいため、慎重に進めてください。
5-5. 復元後の確認チェックリスト
復元完了後は、以下の項目を確認してください。
- サイトのトップページ・カテゴリページ・記事ページが正常に表示されているか
- お問い合わせフォーム・検索機能・ログインフォームが正常に動作しているか
- 画像・PDF等のメディアファイルが正しく表示されているか
- 管理画面にログインでき、投稿・設定などの操作ができるか
- Googleサーチコンソールでインデックス状況に異常がないか(マルウェア感染からの復元後は特に確認)
6. バックアップ頻度の考え方と運用設計
6-1. サイトの種類ごとに適切なバックアップ頻度は異なる
適切なバックアップ頻度は、サイトのコンテンツ更新頻度と、障害発生時にどこまでのデータ損失を許容できるかによって決まります。コーポレートサイト(更新頻度が低い)であれば週次または月次のフルバックアップで十分なケースがあります。ニュースサイトやオウンドメディアでは日次バックアップが基本です。ECサイトは注文・顧客データが常時更新されるため、日次またはそれ以上の頻度が必要です。
データベースはファイルと比べてデータの変化が速いため、データベースの取得頻度はファイルのバックアップ頻度よりも高く設定することが一般的です。例えば、ファイルを週次でバックアップしている場合でも、データベースは日次でバックアップするといった運用が考えられます。
6-2. アップデート・変更作業前の手動バックアップ
定期バックアップの設定に加えて、重要な作業を行う前には必ず手動でバックアップを取ることを習慣にしてください。具体的には、WordPressコアのメジャーアップデート前、プラグインやテーマのアップデート前、テーマのカスタマイズ・コード編集前、サーバー設定の変更前などが該当します。UpdraftPlusであれば「今すぐバックアップ」ボタン一つで実行できます。
6-3. バックアップの動作確認と復元テストの重要性
バックアップを設定しただけでは安心できません。バックアップが自動実行されているか、クラウドストレージにファイルが届いているかを月に一度は確認してください。プラグインやサーバー設定の変更によって、設定したはずのバックアップが動作しなくなっているケースは実際に起こり得ます。
復元テストは、ステージング環境にバックアップデータを実際にインポートして、サイトが正常に復元できるかを確認します。定期的に実施することで、「いざという時にバックアップから戻せない」という事態を防ぐことができます。
7. バックアップを含む保守体制の整備が重要な理由
7-1. バックアップ単体では「守れない」側面もある
バックアップはWordPress運用において不可欠な仕組みですが、バックアップさえあればすべての問題が解決するわけではありません。例えば、マルウェア感染が発生した場合、バックアップで以前の状態に戻しても、感染の原因となった脆弱性が残ったままであれば、すぐに再感染するリスクがあります。
バックアップは「データ損失への備え」であり、「障害を防ぐ」対策ではありません。本質的な安全性を確保するには、定期的なアップデート管理、不審なログインのモニタリング、セキュリティプラグインによる常時監視といった、複合的な保守体制が必要です。
7-2. 保守体制として整備すべき4つの柱
WordPressサイトの安定的な運用のために整備すべき保守体制の柱は、以下の4つです。
- 定期バックアップの自動化:データベースとファイルの定期バックアップを自動実行し、外部ストレージに転送する仕組みを構築します。
- アップデート管理:WordPressコア・テーマ・プラグインを常に最新バージョンに保ちます。特にセキュリティ関連のアップデートは速やかに適用することが重要です。
- セキュリティ監視:Wordfenceなどのセキュリティプラグインによるファイル変更検知・不審なログイン試行の検知・マルウェアスキャンを継続的に実施します。
- 死活監視:サイトが正常に応答しているかを外形監視ツールで常時チェックし、障害発生時に即座に通知を受け取れる体制を整えます。
これらを社内の人員だけで継続的に実施し続けることが難しい場合は、保守体制の一部または全部を専門の制作会社に委託することも有効な選択肢です。
7-3. WordPressの運用保守を制作会社に依頼するメリット
WordPressの運用保守を専門の制作会社に依頼する場合、バックアップ管理・アップデート対応・障害発生時の対応を一元的に委託できます。特に社内にWebの専任担当者がいない場合や、本業に集中するために運用コストを外部化したい場合に、保守委託は現実的な選択肢となります。
担当者が属人的に対応している状態では、担当者の退職や異動によってバックアップ設定が見直されず、気づかないうちにバックアップが取れていなかったというケースも珍しくありません。保守体制を「仕組み」として整備し、定期レポートや設定の見直しを継続的に行う体制を構築することが、長期的なWebサイト運用の安定につながります。
8. まとめ:WordPressのバックアップ設計と運用のポイント
WordPressのバックアップで最も重要なのは、「定期的・自動的に」「外部ストレージに」「複数世代を」保存する仕組みを最初から構築することです。UpdraftPlusやBackWPupといったプラグインを活用すれば、技術的な専門知識がなくても、こうした仕組みを比較的容易に整えられます。
バックアップがあれば、プラグインの競合で画面が真っ白になった場合も、不正アクセスによってサイトが改ざんされた場合も、迅速に復旧できます。しかし、バックアップが適切に取れていなければ、復旧に多大なコストと時間を要する事態になりかねません。
本記事で解説した設定手順と復元手順を参考に、まず現在の運用状況を確認してください。バックアップが自動化されていない場合は、今すぐUpdraftPlusを導入して基本設定を行うことをおすすめします。すでにバックアップを設定している場合は、復元テストが実施されているかも合わせて確認してください。
フォー・クオリアでは、WordPress保守・バックアップ設計から障害対応まで、Webサイトの安定運用を総合的にサポートしています。「現在の保守体制が不安」「バックアップ設定の見直しをしたい」という場合は、お気軽にご相談ください。
