WordPressセキュリティ診断を依頼する場合の費用目安
この記事はこんな人向けです
- 自社サイトの改ざん・マルウェア感染が不安で、第三者のセキュリティ診断を検討している
- WordPressのセキュリティチェックを外注する場合の費用目安や範囲をつかみたい
- 依頼前に社内で準備すべき情報や、実施後の対応の流れを知っておきたい
WordPressレベル別 読みどころガイド
赤:外注依存度「高」 オレンジ:外注依存度「中」 緑:外注依存度「低」
右のレベル表(スマホは画面下)を参考に、記事内の「赤・オレンジ・緑」のパートを読み分けてください。
※「外注依存度」とは、作業や確認を自分でどこまで対応するか、もしくは外注に任せるかの度合いを示しています。
セキュリティ診断に関する基本
WordPressのセキュリティ診断は、設定ミス・古いプラグイン・脆弱なテーマ・権限設計の甘さなど「攻撃の入口」を洗い出す取り組みです。
診断の範囲と深さによって費用は大きく変わるため、目的(健全性の確認/インシデント対応/監査用途)を最初に決めると無駄が減ります。
診断はゴールではなくスタート。結果にもとづく是正(修正)と再診断、運用ルール整備まで含めて計画しましょう。
セキュリティ診断 ~WordPressレベルごとの確認ポイント
「丸ごとお任せ」で。まずは現状把握と緊急度の判定を
専門用語やツールに不慣れな赤レベルの方は、「怪しい挙動があるか/緊急対応が必要か」を最優先で見極め、全体像をレポートで受け取りましょう。サイトの状況に応じて、健全性チェック(非侵入)から始め、必要に応じて簡易脆弱性診断→是正対応へ進む流れが安心です。
確認ポイント
- 最近の症状:改ざん表示/不審なリダイレクト/送信フォームのスパム増加/管理者の覚えのない追加 など
- 契約情報:サーバー会社・プラン・PHP/WordPressバージョン・バックアップ有無・WAF/IPSの稼働状況
- ログイン体制:共用アカウントの有無、二段階認証の導入状況、パスワードの管理方針
- 公開範囲:管理画面の国別IP制限やBASIC認証の有無、XML-RPC/REST-APIの制御方針
費用の目安
- 健全性スクリーニング(改ざん/マルウェア痕跡・ブラックリスト確認):3~5万円
- 簡易脆弱性診断(主要プラグイン/テーマ/設定の棚卸し+危険度マップ):8~15万円
- インシデント初動(感染疑いの隔離・バックアップ退避・復旧計画):15~30万円
- 是正作業は別途見積(更新・置換・権限整理・WAF調整など)。再診断(リテスト)は通常3~8万円
準備しておきたいもの
- サーバー/WordPressのログイン情報(2段階認証の承認者)と緊急連絡先
- 直近30~90日のバックアップと、変更履歴のわかるメモ(テーマ編集やプラグイン追加の日時)
- プライバシーポリシー・問い合わせフォームの同意文言(情報漏えい時の連絡方針確認に必要)
範囲を絞って効率診断。是正と再発防止をセットで
基本操作や保守の流れを理解しているオレンジレベルの方は、「設定・プラグイン・権限」など論点別にスコープを明確化し、診断後の是正・再診断までを一連のパッケージで比較すると無駄が出ません。監査証跡や社内説明用のレポート品質も事前に確認をしましょう。
確認ポイント
- 対象の確定:本番のみ/ステージング含む/API・Webhook・決済連携の有無
- 権限設計の棚卸し:管理者の数、編集者/投稿者の分離、アカウント貸与・共用の禁止徹底
- 更新ポリシー:コア/テーマ/プラグインの更新基準、互換性検証、ロールバック手順
- 公開インターフェース:REST-API/GraphQL/フィードの開放範囲、XML-RPC無効化、ログイン試行制限
- 運用監視:ログ保存期間、通知ルール、ファイル改ざん監視、バックアップの頻度と保存先
費用の目安
- 標準脆弱性診断(設定/プラグイン/テーマの総点検+危険度評価):12~25万円
- ログレビュー+権限設計レビュー:8~15万円
- 是正作業セット(優先10項目の修正+再診断):20~45万円
- 四半期の定期診断プラン:月額2~6万円(範囲と報告粒度による)
準備しておきたいもの
- プラグイン一覧(バージョン・提供元・有効/無効)と、独自コードの所在(子テーマ等)
- 想定ユーザー/攻撃シナリオ(管理画面狙い・フォーム悪用・ファイルアップロード等)
- 稼働時間帯・リリース禁止期間(診断の低負荷時間帯の希望)
仕様ベースで要件定義。リスク受容とコストの線引きを
緑レベルの方は、要件定義から管理できます。対象資産の洗い出し、攻撃面の仮説、許容リスクを明確にし、診断粒度(Black/Gray/White Box)やテスト観点(認証周り・権限昇格・CSRF/XSS・ファイルアップロード・CORS・キャッシュ・CSP)を指定。是正Issueと再診断SLAを契約に織り込み、計画的に回します。
確認ポイント
- スコープ定義:URL列挙、ログイン情報、ユーザー種別、外部連携、サブドメイン、CDN/キャッシュ層
- 情報分類/法令:個人情報の有無、決済/医療などの規制、ログ保全要件、監査証跡の粒度
- 環境制約:負荷上限、テストデータ、スロットリング、WAFルール一時緩和手順
- 成果物要件:CVSSベースの深刻度、PoCの有無、経営向けサマリー、JIRA/Asana連携
費用の目安
- 侵入を伴わない設定/実装レビュー(Grey/White):20~60万円
- 擬似侵入テスト(ログイン必須機能中心):40~120万円
- 大規模サイト(会員/決済/多言語・複数環境):80~200万円
- 是正支援/セキュリティハードニング一式+再診断:範囲次第(目安30~150万円)
準備しておきたいもの
- リポジトリ/CI設定、デプロイ手順、ロールバック設計、機密情報の管理方針(.env, Secrets)
- 脆弱性対応ポリシー(期限SLO、告知基準、第三者連携の窓口)
- WAF/IDS/ログ基盤のダッシュボード共有と、ルール調整の権限者
制作代行の依頼フロー(一般的な流れ)
- 目的と範囲を共有(健全性確認/監査/インシデント対応、対象URL・環境・時間帯・負荷制限)
- 前提情報の提供(サーバー/WordPress情報、プラグイン一覧、ログイン・バックアップ、連絡体制)
- 見積・提案受領(診断手法・注意事項・想定リスク・是正/再診断の扱い・レポートサンプル)
- 実施(低負荷帯で診断、検知時は一次連絡→応急措置、業務影響を最小化)
- 報告会(深刻度、再現手順、推奨修正、早期対処Top10、運用ルールの改善案)
- 是正対応&リテスト(修正Issue化→検証→本番反映→再診断→完了報告)
※ 「診断だけ」で終わらせず、是正・再診断・運用ルールの整備まで一体で考えると、費用対効果が高まります。
セキュリティ診断に関するよくある質問
無料のセキュリティプラグインだけで十分ですか?
基本的な攻撃や既知の脆弱性チェックには役立ちますが、設定ミスや権限昇格、複合的な脆弱性は見落としがちです。定期診断と運用ルールの整備を併用すると安心です。
診断でサイトが壊れたり、停止したりしませんか?
一般的な診断は安全性に配慮して行います。負荷上限や禁止操作を事前に取り決め、ステージング環境を優先して検証することでリスクを抑えられます。
本番の管理者アカウント共有は必要ですか?
不要な場合もあります。必要最小限の一時アカウントや、ステージングでの検証を推奨します。共用アカウントは原則禁止し、誰が何をしたか追跡できる状態を保ちましょう。
診断後、対応は自社で進めても大丈夫?
可能です。レポートの再現手順と修正方針に沿って対応し、完了後に再診断を受けると確実です。必要に応じて是正作業だけ外注する方法もあります。
WordPressのセキュリティ診断は、現状の弱点を可視化し、優先度順に潰していくための起点です。費用はスコープと深さで大きく変わるため、目的と範囲のすり合わせが最重要です。
赤は丸ごと依頼で健全性→是正→再診断の順、オレンジは範囲を絞って効率化、緑は仕様とSLAでコントロールが基本の見方です。
「相場より極端に安い」場合は、範囲が曖昧・再診断が含まれない・報告が粗いなどの落とし穴に注意しましょう。
診断は一度きりで完了ではありません。運用ルールと定期点検をセットで回しましょう。
迷ったらまずは現状の健全性チェックから。優先度を一緒に整理して、必要十分な範囲で進めるのが失敗しないコツです。
初心者 … ログインなど基本も不安
基本操作 … 投稿OK/更新は不安
投稿メイン … 記事更新・差替えはできる
更新ユーザー … テーマ/プラグイン更新経験あり
データ操作 … DBやバックアップを理解
カスタマイザー … 子テーマ・CSS修正が可能
マスター … コード/サーバーまで自走可能