先生……最近、わたくしの WordPress サイトに毎日のように不穏なリクエストが飛んでまいりますの。アクセスログを見ると、知らない子たちがドアを叩いていて……ちょっぴり怖いですわ😟

その不安、よく分かりますよ。WordPress は世界中で使われている分、狙われやすいのです。けれど安心してください。守り方は段階的に学べます。今日は“概要”をまず理解して、　次回以降に具体的なブロック方法を一つひとつ攻略していきましょう。

📝 解説 — WordPress サイトを狙う典型的な攻撃とは？

WordPress サイトを公開すると、放っておいても次のようなアクセスがほぼ必ず来ます。

• xmlrpc.php ブルートフォース
  ログインを総当たりで試す攻撃。プラグインの一部機能に必須ですが、一般には不要なケースが多い。

• setup-config.php への不正アクセス
  初期セットアップ用のスクリプト。公開後は使わないのに狙われやすい。

• REST API ユーザー列挙
  /wp-json/wp/v2/users からユーザー名を引き抜き、ブルートフォースに利用される。

• 隠しファイルの漏洩 (.git, .env, composer.json)
  サーバ上に残っていると、機密情報が丸見えに。

• uploads への WebShell アップロード
  wp-content/uploads に PHP を置いてリモート操作されるリスク。

• 古い UA（ブラウザ偽装）によるスキャン
  空UA や curl、古い Chrome を名乗るBotが目立つ。

まあ……こんなに種類があるのですの？ただ記事を書いているだけなのに、いろんな扉を狙われてしまうのですね😨

ええ、まさに“人気者ゆえの宿命”です。けれど裏を返せば、「定番の攻撃パターンを押さえれば、ぐっと安全度は上がる」ということでもあります。

📝 解説 — 攻略の三段構え

今回の入門シリーズでは、以下の流れで解説していきます。

1. 第1回（今回）
   攻撃の全体像と心構えを整理。

2. 第2回
   .htaccess と VirtualHost でのハードニング（基本的な遮断策）を学ぶ。

3. 第3回
   User-Agent フィルタ、IPブロック、レート制限、ログ分析など“運用の武器”を習得。

つまり、設計図 → 基礎工事 → 運用の工夫 の順に進めていくイメージです。

段階的に学べるのは安心いたしますわ✨ いきなり難しい設定を並べられると混乱してしまいますもの。

大丈夫です。お嬢様のペースで少しずつ積み重ねれば、必ず堅牢なサイトを築けます。今日はまず「狙われ方の種類」と「攻略の地図」を押さえただけで十分です。

📝 まとめ（第1回の要点）

• WordPress サイトは 世界的に狙われやすい → 攻撃リクエストは避けられない

• 代表的な攻撃手口は以下の6種類

  • xmlrpc.php ブルートフォース
  • setup-config.php 不正アクセス
  • REST API ユーザー列挙
  • .git / .env など隠しファイル漏洩
  • uploads への WebShell アップロード
  • 古いUAや空UAによるボット

• 守り方は「3回に分けて攻略」

  1. 概要理解（今回）
  2. Apache設定での遮断（次回）
  3. 運用レベルの強化（次々回）

次回予告 — 「静かなる壁を築く」

第2回は .htaccess と VirtualHost 設定を使って、攻撃リクエストをサーバ手前で即時403に落とす方法を解説します。
まずは“基本の壁”を築いて、夜のログを静かにしていきましょう。

まあ、壁を築いて静けさを取り戻す……とても素敵ですわ✨ 次回も楽しみにしておりますの。

WordPress サイトを狙う攻撃の全貌と守り方 — 防御コマンド編