※本記事にはプロモーションが含まれています。
WordPressサイトを公開すると、すぐに自動ボットによるスキャンが始まります。
「有名サイトじゃないから攻撃されない」と思われがちですが、実際には小規模サイトでも機械的なスキャンの対象になります。
この記事では、実際のサーバーログをもとにWordPressサイト公開直後にアクセスされたbotスキャンのURLを集計し、ランキング形式でまとめてみました。
その結果、特定のURLにアクセスが極端に集中していることが分かりました。
※集計期間:2026/2/22〜2/28
※総ログ数:約5100リクエスト
WordPressサイトのbotスキャンURLランキングTOP5
| 順位 | URL | アクセス数 |
|---|---|---|
| 1位 | /wp-admin/setup-config.php | 321 |
| 2位 | /wordpress/wp-admin/setup-config.php | 318 |
| 3位 | /xmlrpc.php | 21 |
| 4位 | /wp-login.php | 19 |
| 5位 | /.git/config | 9 |
今回のログから、WordPress関連の探索アクセスを集計しました。
1位
/wp-admin/setup-config.php 321回
WordPressインストール画面の探索。
2位
/wordpress/wp-admin/setup-config.php 319回
サブディレクトリ設置の探索。
3位
/xmlrpc.php 21回(2パターン合計)
WordPressのXML-RPCへのアクセス。
4位
/wp-login.php 19回
WordPressのログインページへのアクセス。
5位
/.git/config 9回
Git設定ファイルの探索。
6位以降
その他少数。
なぜこれらのURLがスキャンされるのか
今回のランキングに登場したURLは、どれもWordPressサイトの管理機能や設定に関係する場所です。
攻撃ボットは、WordPressサイトを見つけるために次のようなURLを機械的にスキャンします。
- WordPress管理画面
- WordPressインストール画面
- ログインページ
- APIや設定ファイル
これらのURLが存在するかを確認することで、攻撃者はWordPressサイトかどうかを判断します。
攻撃ボットはURLリストを使ってスキャンする
多くのスキャンボットは、あらかじめ用意されたURLリストを順番にアクセスします。
例えば次のようなURLです。
/wp-admin/setup-config.php
/wp-login.php
/xmlrpc.php
/.git/configこのようなアクセスは、人間が手動で行うものではなく自動化されたスキャナーによるものと考えられます。
小規模サイトでもスキャン対象になる
これらのスキャンは特定のサイトを狙った攻撃ではなく、インターネット上のサイトを機械的に探索するボットによるものです。
そのため、小規模なWordPressサイトでも公開するとすぐにスキャンが始まることがあります。
ログから見えた攻撃ボットの動き
今回のログを確認すると、いくつか興味深い特徴が見えてきました。
① setup-config探索が圧倒的に多い
今回のログで特に目立ったのは、/wp-admin/setup-config.phpへのアクセスが非常に多かったことです。
setup-config.php はWordPressのインストール画面にアクセスするURLです。
攻撃ボットは、未インストールのWordPressサイトを探すためにこのURLをスキャンすることがあります。
もし未インストールのWordPressが見つかると、攻撃者がインストールを実行して管理者アカウントを作成できてしまう可能性があります。
そのため、多くの自動スキャナーはこのURLを優先的に探索します。
② WordPressディレクトリ探索が行われている
ログでは /wordpress/wp-admin/setup-config.php へのアクセスも多く確認されました。
これはWordPressがサブディレクトリに設置されていないかを確認するスキャンと考えられます。
多くの攻撃ボットは、次のようなディレクトリを機械的に探索します。
/wordpress
/blog
/siteこのようなアクセスは、特定のサイトを狙った攻撃というより、インターネット上のサイトを自動的に探索するスキャンと考えられます。
③ ボットは サイト存在確認 → WordPress探索 の順でアクセスする
興味深いことに、今回のログでは攻撃スキャン数とサイトトップ(/)へのアクセス数がほぼ同じでした。
これは多くのボットが次のような順序でアクセスしている可能性を示しています。
サイト存在確認
↓
WordPress探索
まずトップページへアクセスしてサイトの存在を確認し、その後にWordPress関連のURLをスキャンするという流れです。
このような挙動は、自動化されたスキャナーによく見られるパターンです。
WordPressサイトを守る最低限のセキュリティ対策
WordPressサイトは公開した直後から、自動ボットによるスキャンの対象になります。
そのため、基本的なセキュリティ対策を行うことが重要です。
ここでは最低限実施しておきたい対策を紹介します。
① XML-RPCを無効化する
WordPressのXML-RPC機能(/xmlrpc.php)は、ブルートフォース攻撃などに利用されることがあります。
特に使用していない場合は、セキュリティプラグインやサーバー設定で無効化しておくと安心です。
② ログインURLを変更する
WordPressのログインページ/wp-login.phpはボットによる攻撃の対象になりやすいURLです。
ログインURLを変更することで、機械的な攻撃の多くを回避できます。
ただし、ログインURLの変更は完全な対策ではありません。
実際には、URLを変更していてもログインページへのアクセスが確認されるケースもあります。
▶ ログインURL変更後のアクセス例については、別記事で解説しています。
③ 不要なファイルを公開しない
ログでは次のようなファイルを探すアクセスも確認されました。
.git/config
.env
config.ymlこれらのファイルには機密情報が含まれることがあるため、公開ディレクトリに配置しないよう注意しましょう。
④ WordPressとプラグインを最新状態に保つ
WordPress本体やプラグインの脆弱性は、攻撃の大きな原因になります。
そのため、
- WordPress本体
- テーマ
- プラグイン
は常に最新バージョンに更新しておくことが重要です。
⑤ セキュリティプラグインを導入する
WordPressではセキュリティ対策を行うプラグインも多く提供されています。
例えば次のような機能があります。
- ログイン試行回数制限
- 不正アクセス検知
- ファイアウォール
これらを活用することで、攻撃リスクを下げられます。
WordPressサイトのセキュリティ対策では、サーバー側の機能も重要です。
例えばエックスサーバーでは、WAF(Web Application Firewall)などの機能を利用でき、不正なリクエストをブロックできます。
ただし、今回のログのようなURLスキャンは完全に防げるわけではないため、WordPress側の設定とあわせて対策を行う必要があります。
まとめ│WordPressサイトは公開直後から攻撃される
今回のログ分析では、WordPressサイト公開直後でも自動ボットによるスキャンが行われていることが確認できました。
特に多かったのはWordPressのインストール画面を探すアクセスで、攻撃者がWordPress未インストールサイトを探索している可能性があります。
WordPressサイトを公開した時点で、このようなスキャンは日常的に発生するため、基本的なセキュリティ対策を行うことが重要です。