本記事では、WordPressのインストール直後に行うべき初期設定について、AIによるコンテンツ自動生成やAPI連携といった、現代的な運用を前提としたセキュリティ設計の観点から解説します。単なる手順紹介に留まらず、なぜその設定が必要なのか、AI自動化によってどのようなリスクが新たに生じるのかを技術的に解説し、実務担当者がすぐに実践できる具体的な設定内容を提示します。
1. 管理者IDの設定ルール
WordPressサイトの根幹を揺るがすブルートフォース攻撃(総当たり攻撃)への対策は、管理者IDの設計から始まります。特にAIによる自動化を導入する場合、APIキーの管理と同様に、推測されにくいユーザー名の設計が不可欠です。
「admin」を使用しない理由
WordPressのインストール時にデフォルトで提案されることの多い「admin」というユーザー名は、攻撃者にとって最初の標的となります。攻撃者は「admin」が存在することを前提にパスワードの総当たり攻撃を仕掛けてくるため、ユーザー名が既知であることはセキュリティリスクを著しく高めます。
ユーザー名推測攻撃の考え方
攻撃者は、ブルートフォース攻撃だけでなく、オーサーアーカイブページ(例: https://example.com/author/admin )などへのアクセスを試み、ユーザー名の一覧を推測しようとします。ユーザー名が推測されにくい、意味のない文字列であることは、攻撃の初期段階で侵入を諦めさせる有効な手段となります。
AI自動化時のAPIキー管理との関連
AIによる記事自動投稿やデータ連携では、WordPressのREST APIを利用します。この際、認証情報としてアプリケーションパスワードやAPIキーが発行されますが、これらが紐づくユーザーアカウントの権限が強すぎると、万が一キーが漏洩した際に甚大な被害に繋がります。APIキーは、それを使用するアプリケーションのIDと考えるべきであり、管理者IDと同様に厳格な管理が求められます。
権限分離(管理者・編集者・自動処理アカウント)
セキュリティの基本原則は「最小権限の法則」です。AIによる自動投稿、外部サービスとの連携など、目的ごとに専用のユーザーアカウントを作成し、必要最低限の権限(ロール)のみを付与することが極めて重要です。
- 管理者(Administrator): サイト全体の管理、プラグインのインストール、ユーザー管理など、全ての操作を実行できる最高権限。日常的な記事投稿には使用せず、サイトの設定変更時など、必要な場合にのみ利用します。
- 編集者(Editor): すべての投稿の公開、編集、削除が可能。他のユーザーの投稿も管理できます。コンテンツ管理の責任者が利用します。
- 投稿者(Author): 自身の投稿のみ、作成、編集、公開、削除が可能です。
- 寄稿者(Contributor): 自身の投稿の作成と編集はできますが、公開はできません。編集者以上の権限を持つユーザーによるレビューが必要です。
- 購読者(Subscriber): プロフィール編集など、自身の情報管理のみが可能です。
AIによる自動投稿用のアカウントには、記事の投稿に必要な「投稿者」や「編集者」権限を付与し、管理者権限は決して与えないでください。これにより、APIキーが漏洩しても、被害をコンテンツの改ざん範囲に限定し、サイト乗っ取りのような最悪の事態を防ぐことができます。
2. 初期設定で必ずやること
インストール直後のWordPressは、いわば無防備な状態です。以下の設定を速やかに行い、セキュリティの基礎を固めましょう。
サイトタイトル・一般設定の確認
ダッシュボードの「設定」→「一般」から、サイトのタイトルとキャッチフレーズを適切に設定します。 ここはSEOにも影響する部分ですが、インストール直後のデフォルト値「Just another WordPress site」のまま放置しないようにしましょう。konohaya.com
タイムゾーン設定
同じく「一般設定」画面で、タイムゾーンを「東京」に設定します。 これを怠ると、予約投稿の時間やログに記録される時刻がずれるなど、運用上の混乱を招きます。 WordPressのデフォルトタイムゾーンは協定世界時(UTC)に設定されているため、日本時間(UTC+9)への変更は必須です。
ディスカッション設定(コメント制御)
「設定」→「ディスカッション」で、コメント機能を無効化します。 AIによるコンテンツ生成がメインのサイトでコメント欄を開放する必要性は低く、むしろスパムコメントの標的となり、データベースを汚染し、セキュリティホールを生む温床となります。特に「他のブログからの通知 (ピンバック・トラックバック) を受け付ける」のチェックは必ず外してください。wordpress.com
不要テーマ・不要プラグインの削除
WordPressには、デフォルトで複数のテーマやプラグインがインストールされています。 使用しないものは「無効化」するだけでなく、必ず「削除」してください。 無効化された状態でも、ファイルがサーバー上に存在し続ける限り、その脆弱性を突いた攻撃を受けるリスクは残ります。 特に「Hello Dolly」のような機能的に不要なプラグインや、利用予定のないサーバー会社独自のプラグインは即座に削除しましょう。webdesign-abc.com
AIプラグイン導入時の注意点
AI関連のプラグインを導入する際は、そのプラグインがどの外部APIと通信しているか、どのようなデータを送信しているかを必ず確認してください。信頼性の低いプラグインは、サイトの情報を外部に漏洩させる可能性があります。また、長期間更新が停止しているプラグインは、新たな脆弱性が発見されても修正されないため、使用は避けるべきです。
3. パーマリンク設定
パーマリンクは、各ページのURL構造を決定する重要な設定です。SEOの観点だけでなく、サイトの持続的な運用とAI生成コンテンツとの整合性を考慮して、慎重に決定する必要があります。
SEOとURL構造の関係
検索エンジンは、URLに含まれる単語をページ内容を理解するための一助とします。 そのため、IDベースのURL(例: ?p=123)ではなく、投稿名(ポスト名)など、内容が推測できる単語を含む構造が推奨されます。 シンプルで論理的、かつ人間が理解できるURL構造は、Googleも推奨しています。
後から変更するリスク
サイト公開後にパーマリンク構造を変更することは、原則として避けるべきです。 変更するとサイト内のすべてのURLが変わり、検索エンジンからの評価がリセットされ、検索順位が大幅に下落する可能性があります。 また、SNSでのシェア数や、他サイトからの被リンクもすべて失われることになります。 どうしても変更が必要な場合は、301リダイレクト設定が必須となりますが、技術的な負担とリスクを伴います。
AI生成記事との整合性
AIによって大量のコンテンツを自動生成する場合、一貫性のあるURL構造は極めて重要です。パーマリンク設定を「投稿名」にしておくことで、AIが生成した記事タイトルに基づいた、わかりやすいURLを自動的に生成できます。
スラッグ設計ルール
スラッグとは、URLの末尾部分を指す文字列です。 パーマリンク設定を「投稿名」にした場合、記事タイトルが自動的にスラッグになりますが、以下のルールに従って手動で最適化することが望ましいです。
- 半角英数字とハイフンのみを使用する: 日本語スラッグはURLエンコードされ、長く可読性の低い文字列に変換されるため避けるべきです。
- シンプルで短い単語にする: URLは短い方がユーザーにとって分かりやすいです。
- 単語間はハイフンで区切る: アンダースコアではなくハイフンを使用します。検索エンジンはハイフンを単語の区切りとして認識します。
- キーワードを含める: SEOを意識し、記事の主題となるキーワードを簡潔に含めると効果的です。
4. セキュリティの基本設定
WordPressを安全に運用するためには、サーバーレベルでの設定が不可欠です。特にAI連携でAPIエンドポイントを外部に公開する場合、基本的な防御設定がサイトの命運を分けます。
wp-config.phpの保護
wp-config.phpは、データベースの接続情報や認証キーなど、WordPressの最重要情報が記載されたファイルです。 このファイルへのアクセス権(パーミッション)を「600」や「400」に設定し、所有者以外は読み書きできないように厳しく制限します。 可能であれば、このファイルをWordPressのルートディレクトリの一階層上に移動させることで、Webブラウザから直接アクセスされるリスクをさらに低減できます。
データベース接頭辞の変更
WordPressのデータベーステーブル名は、デフォルトで「wp_」という接頭辞(プレフィックス)が付きます。 これを推測されにくいランダムな文字列(例: wp_a8x7z_)に変更することで、SQLインジェクション攻撃のリスクを低減できます。 この設定は、WordPressのインストール時に行うのが最も安全かつ簡単です。 インストール後に変更するには、wp-config.phpの編集とデータベース自体の書き換えが必要になります。
ファイルパーミッションの考え方
ファイルパーミッションは、サーバー上のファイルやディレクトリに対するアクセス権限を定義するものです。 不適切な設定は、サイトの改ざんや情報漏洩に直結します。 一般的な推奨設定は以下の通りです。
- ディレクトリ: 「755」
- ファイル: 「644」
- wp-config.php: 「600」または「400」
- .htaccess: 「604」または「644」
これは、所有者のみが書き込み可能で、他のユーザーは読み取りと実行(ディレクトリの場合)のみを許可するという設定です。
XML-RPCの扱い
XML-RPC(xmlrpc.php)は、外部からWordPressを操作するための古いAPIです。 現在はREST APIにその役割を譲っており、ほとんどのサイトで不要な機能となっています。 しかし、デフォルトで有効になっているため、ブルートフォース攻撃やDDoS攻撃の踏み台として悪用されるケースが後を絶ちません。 使用していない場合は、.htaccessファイルに数行のコードを追記するか、プラグインを利用して完全に無効化することを強く推奨します。
REST APIとAI連携のバランス
REST APIは、AI連携や外部アプリケーションとの接続に不可欠な現代的なインターフェースです。しかし、その利便性はセキュリティリスクと表裏一体です。不要なAPIエンドポイントを無効化したり、特定のIPアドレスからのみアクセスを許可したりするなど、アクセス制限を適切に行う必要があります。AI自動化で利用するエンドポイントを特定し、それ以外は原則として閉じる「ホワイトリスト方式」の運用が理想的です。
自動更新の有効化(コア・プラグイン)
WordPress本体(コア)、プラグイン、テーマの脆弱性は、サイトが攻撃を受ける最大の原因の一つです。 ダッシュボードの「更新」設定から、マイナーアップデート(セキュリティリリース)の自動更新は必ず有効にしておきましょう。 可能であれば、メジャーアップデートやプラグイン、テーマの自動更新も有効にすることで、常に最新の安全な状態を保つことができます。 ただし、自動更新によって互換性の問題が発生する可能性もゼロではないため、定期的なバックアップは欠かせません。
初期設定手順まとめPDF
AI自動化を前提としたWordPress初期構築時に確認すべき 「初期設定手順まとめPDF」を配布しています。
