このブログを始めるにあたり、どの CMS を使うべきか考えています。
広く使われているのは、言うまでもなく WordPress です。 テーマやプラグインが豊富で、機能追加も容易です。コンテンツ制作やマーケティングに携わる人にとっては、「何でもできる」環境と言えるでしょう。
一方で、インフラを扱う立場から見ると、構成の重さや運用負荷、セキュリティリスクなど、気になる点もあります。
ここでは、インフラエンジニアの立場から見た WordPress の課題について整理してみます。
1. 攻撃対象になりやすい
- wp-login.php や xmlrpc.php へのボットアクセスが非常に多い
- 公開直後から自動スキャンの対象になる
- WordPressであること自体が「狙われやすいシグナル」
- ブルートフォース・脆弱プラグイン狙いなど常時リスクがある
- 「特に何もしていなくても心配が続く」
公開サーバーである以上、無関係な攻撃トラフィックに常に晒される
2. メンテナンスコストが重い
- 動的CMSであり、常時アプリケーションが稼働
- Webサーバー + DB + PHP 実行環境が必要
- セキュリティパッチ適用が前提
- 本体アップデート
- プラグイン更新
- PHPバージョン互換問題
- アップデート時の不具合リスク
手放しで放置しておけない構成
3. 仕組みが大きすぎる
- フレームワーク的で自由度が高い
- プラグイン依存になりやすい
- 機能が増えるほど攻撃面も増える
- ちょっとしたブログでも巨大な仕組みを動かしている感
- 必要十分を超えている印象
ミニマル構成を好む人には過剰
4. インフラエンジニア視点での違和感
- 静的配信で済む用途なのに動的アプリを常駐させる
- DBを置く必然性が薄いケースも多い
- 「記事を書く」という目的に対して構成が重い
結論的な本音
- ブログ程度なら静的サイトで良いのでは?
- HTMLを生成して配信するだけで十分
- アプリケーションを公開しない構成のほうが安心
- 攻撃面を最小化できる
- 運用負荷が極小