WordPressは、コンテンツ制作やマーケティングに携わる方にとっては、豊富な機能や拡張性を備えた「何でもできる」便利な環境として魅力的に映るのかもしれません。実際、テーマやプラグインを活用すれば、多様な表現や機能追加が容易に実現できます。
しかしその一方で、インフラエンジニアの視点から見ると、構成の重さや運用上の負担、セキュリティリスクなど、気になる点も少なくありません。ここでは、あくまでインフラエンジニア目線で感じているWordPressの課題や違和感について、整理してまとめてみたいと思います。
1. 攻撃対象になりやすい
- wp-login.php や xmlrpc.php へのボットアクセスが非常に多い
- 公開直後から自動スキャンの対象になる
- WordPressであること自体が「狙われやすいシグナル」
- ブルートフォース・脆弱プラグイン狙いなど常時リスクがある
- 「特に何もしていなくても心配が続く」
公開サーバーである以上、無関係な攻撃トラフィックに常に晒される
2. メンテナンスコストが重い
- 動的CMSであり、常時アプリケーションが稼働
- Webサーバー + DB + PHP 実行環境が必要
- セキュリティパッチ適用が前提
- 本体アップデート
- プラグイン更新
- PHPバージョン互換問題
- アップデート時の不具合リスク
手放しで放置しておけない構成
3. 仕組みが大きすぎる
- フレームワーク的で自由度が高い
- プラグイン依存になりやすい
- 機能が増えるほど攻撃面も増える
- ちょっとしたブログでも巨大な仕組みを動かしている感
- 必要十分を超えている印象
ミニマル構成を好む人には過剰
4. インフラエンジニア視点での違和感
- 静的配信で済む用途なのに動的アプリを常駐させる
- DBを置く必然性が薄いケースも多い
- 「記事を書く」という目的に対して構成が重い
結論的な本音
- ブログ程度なら静的サイトで良いのでは?
- HTMLを生成して配信するだけで十分
- アプリケーションを公開しない構成のほうが安心
- 攻撃面を最小化できる
- 運用負荷が極小