学習塾サイトでPHP7.1のWordPressをPHP8.3に引き上げた事例

ウェブロードへのお問い合わせの中で、ここ数年はっきりと増えているのが「サーバー会社からセキュリティ警告が届いた」「PHPを引き上げたいのに動かない」というご相談です。

今回ご紹介するのは、地方で個別指導の学習塾を運営されているD様からの事例で、8年前にリリースされたWordPress本体と古いPHPが組み合わさって止まっていたサイトを、PHP8.3と最新WordPress6.9.4まで引き上げた事例です。

サイト管理者様からの「セキュリティに重大な弱さがある」という指摘

D様のサイトは、過去に他社制作で立ち上げた後、別の管理者様が保守をしながら運営されていました。

きっかけは、その管理者様から「セキュリティに重大な弱さがあり、リニューアルが必要ですが、多忙で対応できないので、他社で構わないからすぐに対策してほしい」と告げられたことのようでした。

管理者様からは、エックスサーバーがサイトに対して実施した制限内容も共有されていました。

エックスサーバー社からの実際のメールは下記のような内容でした。

サポートにて実施した制限内容として、貴社ドメインにおいて、国外からのアクセスを制限いたしました。これに伴い、国外から貴社ドメインへのアクセスは403エラーとなる状態となっております。国内からは通常通りアクセス可能です。

なお上記制限により、当該ドメインのサーバーパネル「アクセス拒否設定」において、拒否されているIPアドレス一覧に「all」の記述が追加されております。こちらの記述は削除なさいませんようお願いいたします。「all」と記述がある状態ですが、国内からのアクセスは許可している状況ですので、国内からは通常通りアクセス可能な状態です。

さらなるスパムメールの大量送信などの不正アクセスによる被害の拡大を防ぐため、上記対応を実施しましたことを、何卒ご了承くださいますようお願いいたします。
国外アクセス制限の解除をご希望の場合は、お手数ですが、ご利用の各プラグイン、テーマファイルについて下記の点をご確認いただき、原因の特定・対処を行われた後、当サポートまで詳細をご報告ください。

１．reCAPTCHAを導入する
２．配布元等で脆弱性が公開されていないかどうか
３．古いバージョンのまま利用していないかどうか(脆弱性が残ったままの古いバージョンのプログラムを使用し続けると、不正アクセスの対象として狙われやすくなります)
４．ファイルの改ざん、不正ファイルの設置がないかどうか

問題がないと判断しましたら、該当ドメインの国外アクセス制限を解除いたします。
以上、何卒よろしくお願い申し上げます。ご不明な点などございましたら、お気軽にお問い合わせください。
XServer ホスティングサービス

スパムメールの大量送信などの不正アクセス被害の拡大を防ぐため、ドメインに対する国外からのアクセスがサーバー側で全面遮断されている状態だったのです。

解除するには、reCAPTCHAの導入、プラグインの脆弱性確認、古いバージョンの更新、ファイル改ざんの点検といった対応を行ったうえで、エックスサーバーに報告する必要がありました。

「ドメインにおいて、国外からのアクセスを制限。さらなるスパムメールの大量送信などの不正アクセスによる被害の拡大を防ぐため、上記対応を実施しました」

サーバー会社側が暫定的に国外アクセスを全遮断したうえで、解除条件として、reCAPTCHAの導入、プラグインの脆弱性確認、古いバージョンの更新、ファイル改ざんの点検を求める、という内容でした。

つまり、サイト側のセキュリティが相応に弱っている状態と判断されていたわけです。

D様ご自身は、以前の制作会社から「更新時に他社にドメインやサーバーを保守契約で移管した」という経緯をお持ちで、現在の管理者様も多忙で対応できないとのことでした。

管理者様から弊社ウェブロードへの伝言として

「過去に他社から引っ越してきたテーマなのでテーマの詳細はまったく分からず、WordPress・プラグインとも自動ではアップデートできず手動、さらに結果がどうなるかは分かりません。phpは現在7.1.33で、それ以上にすると動作しません」

というような内容でご連絡をいただきました。

現状確認で見えた「8年止まっていたサイト」

お預かりしたWordPress管理画面にログインしてみたところ、現在のWordPressバージョンは4.9.5でした。

これは2018年4月3日にリリースされたバージョンで
参照 : https://ja.wordpress.org/2018/04/04/wordpress-4-9-5-security-and-maintenance-release/

8年前のまま止まっていました。

現在の最新安定版は6.9.4ですので、メジャーバージョンで2世代以上の差があります。

一方、PHP7.1についてもPHP公式のセキュリティサポートは2019年12月に終了しており、エックスサーバー側でも既に提供終了済みです。

サイトは、WordPressもPHPも、2つの基盤ソフトウェアが同時に寿命を超えて、騙し騙し走り続けている状態だったということです。

その上で弊社からお出ししたお見積りが、「WordPressのPHPバージョンアップサービス」です。

テスト環境の構築から、段階的バージョンアップ、本番反映までを含めた費用です。着手金は不要でご発注をいただきました。

テスト環境を立てて、1行ずつコードを書き換える

作業は最初、PHPバージョンの不整合による関数エラーの修正から入りました。

本番に触らず弊社サーバー上にサイトのコピーを作り、PHP8.3へ引き上げたうえで動作検証を行いました。

最初の1日で発覚した修正点は次のようなものでした。

• テーマ内admin.phpのFlamingoプラグイン処理でエラー。メニューデータの存在確認(isset)を追加
• 同ファイル595行目で記号文字化けがあり、「'title' => 'マーカー ・'」を「'title' => 'マーカー 黄'」へ修正
• index.phpで動画IDが未入力でも動画枠が表示される不具合。iframe出力に条件分岐を追加
• footer.phpのURL記述ミス(contets→contents)を修正
• header.php内CSS読み込みの相対パス指定を、home_url()を付与した絶対指定に変更
• PHPアップデート後にエラーとなった絵文字プラグインを、セキュリティ観点も含めて削除

さらに調査を進めると、もう一つ大きな問題が見つかりました。

通常WordPressではCSS・フォント・画像・JavaScriptをすべてテーマフォルダ内に格納しますが、このサイトではWordPress本体のディレクトリの外側に独自4フォルダ(css・font・images・js)が独立して設置され、そこからリンクで参照する構造になっていました。

これは前任の制作会社が独自に組んだ構造で、現在の管理者様も触れる状態になかったもののようです。

PHPとWordPressの更新に伴い、このリンク関係の全面的な再設定が必要で、ここにかなり時間を要しました。

また、WordPressテーマにおいては、PCサイトは「pc」、スマートフォン版は「sp」という別テーマで構成されており、閲覧環境でプラグインが切り替わる仕組みだったため、修正は両テーマで並行して実施する必要がありました。

jQueryを新しいバージョンに入れ替えた際にPCサイトのドロップダウンメニューが効かなくなった際は、新しいjQueryに加えて互換性を保つための過去のライブラリも併せてリンクさせることで解消しました。

ACF PROライセンスの新規購入

検証作業を進める中で、現行サイトのテーマが Advanced Custom Fields PRO(以下、ACF PRO)を前提に組まれていることが判明しました。

ACF PROは、繰り返しフィールドやフレキシブルコンテンツといった高度なカスタムフィールド機能を提供する有償プラグインで、無料版のACFでは代替できない箇所が複数のテンプレートファイルに含まれていました

参照 : https://www.advancedcustomfields.com/pro/

しかし、現在の管理者様から引き継がれたサイトのデータには、ACF PROのライセンスキーが含まれておらず、有効な契約情報も確認できませんでした。

前任の制作会社が自社ライセンスで導入し、移管時に引き継ぎが行われなかったというパターンです。

ライセンスのないままでは、プラグインの自動更新が止まり、新しいPHPやWordPressに対応した最新版を適用することができません。

これは長期的にはサイトの脆弱性放置に直結するため、D様にご説明のうえ、新規でACF PROを購入していただくこととなりました。

料金は記事執筆時点で年間49ドルからのプランがあり、1サイト用ライセンスで対応できる内容です。

弊社にてライセンスキーの設定、プラグインの最新版へのアップデート、動作確認までをまとめて実施しました。

これで以降の更新も安心して継続できる状態になりました。

本番反映と、エックスサーバー間でのドメイン移し替え

弊社の検証用エックスサーバー上で全ページの表示と動作が確認できた段階で、本番反映作業の日程調整に入りました。

今回のケースで難易度が上がったのは、現在の管理者様が契約しているエックスサーバーから、D様が新たに契約されたエックスサーバーへ、同じドメインのままサイトを移し替える必要があったことです。

エックスサーバーでは、同一ドメインを2つの異なるサーバーアカウントに同時に登録することができません。

そのため、新アカウント側でドメインを追加する前に、旧アカウント側で当該ドメインの削除作業を行っていただく必要があります

参照 : https://www.xserver.ne.jp/support/faq/domain_multi_setting_server_change.php

この削除と新規追加の間にサイトの表示が止まる時間が発生するため、可能な限り短時間で切り替えるための段取りが重要でした。

D様とご調整のうえ、アクセスの少ない平日夜の時間帯を押さえ、次の流れで作業を進めました。

1. 旧アカウント側で、現管理者様にドメイン設定の削除を実施いただく
2. 削除完了の確認後、ただちに新アカウント側でドメインを追加し、SSL設定とDNSの整合を確認
3. 弊社にて、新アカウント側のサーバー領域にサイトデータと最新化済みのテーマ・プラグインを配置
4. バックアップデータを新アカウント側のサーバーで復元
5. トップページから下層ページまで全画面の表示確認、お問い合わせフォームの送受信テスト

切り替え自体は、ネームサーバーの浸透とSSL設定完了待ちも含めて、3時間程度の作業時間で完了しました。

弊社では、保守管理のお客様にも「サーバーとドメインはご自身の名義で管理する」ことを原則としてお勧めしています。

ウェブサイトは事業の資産ですので、運営者ご自身が把握している状態が長期的には安心だからです。

結果として、ご自身のエックスサーバー新規契約、ドメイン移管、保守管理契約という流れへと発展し、弊社の保守管理サービスで継続対応させていただいております。

最終的にはエックスサーバー社からのご指摘を改善し、下記画像のやり取りを行い、問題なく正常な状態に戻しました。

１．reCAPTCHAを導入する
２．配布元等で脆弱性が公開されていないかどうか
３．古いバージョンのまま利用していないかどうか(脆弱性が残ったままの古いバージョンのプログラムを使用し続けると、不正アクセスの対象として狙われやすくなります)
４．ファイルの改ざん、不正ファイルの設置がないかどうか

この事例から学べること

WordPressが8年動いていたから壊れていないのではなく、「壊れる前に誰も手を入れられなかった」というのが実態に近いケースでした。

オリジナルテーマや独自ディレクトリ構造を含むサイトは、当時の制作担当者が離れた瞬間にブラックボックス化します。

PHPのサポート切れは数年おきに必ず来ますので、「その時期に引き上げられない」状態を放置するのは、サイトの寿命をそのまま縮めることと同じです。

ウェブロードでは、こうした「過去の制作会社が対応しきれなくなったサイト」の引き取りと立て直しを、今までに多数お引き受けし、その全てで問題なく解決させています。

テスト環境での段階的な調査と修正、本番反映、その後の保守管理までを一気通貫でお任せいただけます。

よくあるお問い合わせと回答

よくあるお問い合わせと回答のカテゴリの一覧です。キーワードでも検索できます。

検索

検索

投稿者プロフィール

山口 敦

2004年頃の会社員時代からブログ作成を始める。ブログ作成が楽しくなり、そのまま趣味が高じて2006年にホームページ制作で起業、2008年に株式会社ウェブロードを設立。現在は、個人・中小事業者のWordPressサイト制作・改善を中心に、Web業界20年の知識と経験を生かして、自治体案件等の大型案件のWebディレクターや中小企業・個人事業主へのWeb全般のアドバイザー、SEO/AIOのコンサルタントとしても活動中。　プロフィールはこちら

最新の投稿

• お知らせ2026年5月7日サイト運営で成果を出せるかはコンテンツ作成を「本業」にできるかどうか
• お知らせ2026年5月7日Claude Mythos(クロードミトス)時代、WordPressをどう守るか
• ご質問に対する回答2026年4月30日学習塾サイトでPHP7.1のWordPressをPHP8.3に引き上げた事例
• お知らせ2026年4月30日ゴールデンウィーク休業のお知らせ