WordPressサイトを公開すると、すぐに攻撃されると言われています。
実際、アクセスログを見ると不審なリクエストが大量にあり、自分のサイトが狙われているのではないかと感じることもあります。
しかし、公開から1ヶ月分のログを観察してみると、少し違う事実が見えてきました。
結論から言うと、WordPressは特定の誰かに狙われているわけではありません。
しかし、「攻撃されていない」という意味でもありません。
実際のログを見ると、サイト公開直後からすでにスキャンは始まっており、その後は新しい攻撃が増えるのではなく、同じスキャンが繰り返されているだけでした。
そしてもう一つ重要なのは、Botは最初からアクセスしていて、時間とともに数が増えていくという点です。
この記事では、2026年2月22日〜3月22日(約30日間)のアクセスログをもとに、WordPressサイトに対する攻撃とBotの動きを整理します。
WordPressは公開直後からスキャンされる
まず前提として、WordPressは公開するとすぐにスキャン対象になります。
今回のログでも、以下のようなアクセスが確認できました。
/wp-admin/setup-config.php/wordpress/wp-admin/setup-config.php
未インストール状態のWordPressを狙ったり、設定ファイル作成前の状態を探すための典型的なスキャンです。
この段階では、サイトの中身を見ているわけではなく、既知のパターンを機械的に試しているだけです。
1ヶ月経っても攻撃は変わらない
公開から1ヶ月が経過しても、同じ種類(/wp-admin/setup-config.phpなど)のスキャンは継続していました。
通常であれば「このサイトは設定済みだ」と判断されて減りそうに見えますが、実際にはそうなりません。
攻撃は減らず、内容も変わらないまま続きます。
なぜ同じ攻撃が繰り返されるのか
理由は単純です。
攻撃者は個別のサイトを見ていません。
目の前のサイトを分析しているのではなく、インターネット上に存在する全てのサイトに同じリクエストを投げているだけです。
ログを見る限り、リクエストは決まったURLパターンで送られており、サイトの状態に応じた変化は見られません。
これは辞書型スキャンであり、既知のパスを順番に試しているだけです。
存在しないURLもスキャンされる
ログには以下のような複数パターンが確認できます。
/wordpress/wp-admin/setup-config.php/wp-admin/setup-config.php
重要なのは、これらのパスが実際に存在するかどうかは関係ないという点です。
攻撃はサイトの構造を理解して行われているわけではなく、あらかじめ用意された候補を機械的に試しています。
狙われている、という感覚の正体
ログを見ると、
- 海外IPからのアクセス
- 繰り返されるリクエスト
- WordPress特有のURLへのアクセス
などが目立ち、自分のサイトがターゲットになっていると感じやすくなります。
しかし実際には、これらはすべて無差別に行われているものです。
つまり、狙われているのではなく、単に対象に含まれているだけです。
Botの動きは段階的に変わるのか?
よく、WordPressのBotは次のように変化すると言われます。
| 公開直後 | 攻撃中心 |
| 中盤 | 解析やチェック |
| 後半 | クローラーや検索エンジン |
一見すると段階的に変化しているように見えますが、実際にはすべて最初から存在しており、単に目立ち方が変わっているだけです。
実際は後から増える動きになっている
今回のログでは、以下のようなアクセスが確認できました。
攻撃系スキャン
/wp-admin/setup-config.phpSEOクローラー
AhrefsBotによる巡回
検索エンジン
Google系クローラー
AI関連Bot
OpenAI・ChatGPT系
これらは後から現れたのではなく、公開直後からすでに存在していました。
変わるのは種類ではなく数
今回のログでは、Botの種類が後から増えたわけではありません。
実際には、公開直後から
- 攻撃系のBot
- クローラー
- 検索エンジン
といった複数のBotがすでにアクセスしていました。
ただし最初の段階では、クローラーや検索エンジンの数は少なく、あまり目立ちません。
時間が経つにつれて、それらのアクセスが増えていきます。
その結果、
- 初期は攻撃系のアクセスが目立つ
- 後半はクローラーが目立つ
という違いが生まれます。
つまり、後から新しいBotが現れるのではなく、最初から存在していたBotの“量”が増えていくだけです。
よくある対策が効きにくい理由
この構造を理解すると、一般的な対策の限界も見えてきます。
海外IPアドレスブロック
攻撃は世界中から行われ、IPアドレスも変化するため完全な対策にはなりません。
ログインURL変更
一定の効果はありますが、既知のパスは引き続きスキャンされます。
これらは補助的な対策にとどまります。
どう考えるべきか
今回のログから、WordPressは公開直後からスキャンされることが確認できました。
特別なサイトだけが狙われるのではなく、公開されたすべてのサイトが常にスキャン対象になっているということです。
重要なのは「これから来るかどうか」ではなく、「来る前提でどう備えるか」です。
具体的には、
- 不要な機能の無効化
- 権限管理の見直し
- 基本的なセキュリティ設定
といった対策が現実的です。
基本的な対策については、こちらの記事でまとめています。
▶ WordPressのセキュリティ対策は何からやるべきか│初心者向けに最低限の設定を解説
まとめ
公開1ヶ月のログから分かったことは次の通りです。
- WordPressは公開直後からスキャンされる
- 1ヶ月経っても攻撃は変わらない
- 存在しないURLもアクセスする
- 攻撃やスキャンは無差別に行われている
- Botの数は増えていく
アクセスログに出てくるこれらのリクエストは、特別に狙われているというより、公開されているサイトであれば普通に発生するものです。
過剰に恐れる必要はありませんが、対策を怠るべきではありません。
このバランスが大切です。