生成 AI 時代の WordPress REST API ── AI フレンドリーなコンテンツ設計と落とし穴

こんにちは、ゼノクリース合同会社の齋藤です。このコラム記事では、最新の Web セキュリティに関する内容を紹介し、企業のサイトを守るための考え方と実践方法をご紹介します。

AI フレンドリーなサイトを作ることの重要性

ChatGPT をはじめとする生成 AI / AI エージェントが驚異的なスピードで普及する今、Web コンテンツは「人が読む HTML」だけでなく AI が直接読める形で持たせるということの重要さも増してきています。

最近では、MCP や LLMO などの用語も登場し、従来の REST API や SEO 以外の手段を取り入れる必要性に迫られています。

今回は初歩として、WordPress REST API の概要や使い所、気を付けるべきセキュリティについて紹介します。

WordPress REST API とは

WordPress REST API は、WordPress 4.7 から標準搭載された機能で、WordPress のデータ(投稿、固定ページ、ユーザー情報など)を JSON 形式で取得・操作できる仕組みです。

例えば、このサイトの(https://kusanagi.biz/wp-json/wp/v2/posts?per_page=5&_fields=title) というエンドポイントから、最新の記事のタイトルを取得することができます。結果は、以下のようになるはずです。

WordPress REST APIの活用例

WordPress REST API の主な使い所は、以下のようなものです。

1. ヘッドレス CMS の構築

フロントエンドを React や Vue.js で構築し、WordPress を純粋な CMS(コンテンツ管理システム)として活用できます。管理画面を全く別のドメインにすることでセキュリティ対策を実施しやすくすることや、表示速度の向上、ユーザー体験の改善などに繋がります。(もちろん、単に WordPress サイトを CDN でキャッシュして配信することも有効です)

2. モバイルアプリ連携

スマートフォンアプリから WordPress のコンテンツを取得・更新できます。ニュースアプリや EC アプリのバックエンドとして活用することができます。CMS を一から実装することは大変なので、このような方法も非常に有効だと思います。

3. 外部サービス連携

Slack や LINE BOT など、様々なサービスと WordPress を連携させることができます。記事公開通知や自動投稿などの自動化が可能です。データの分析など、その他にも様々な活用ができます。業務効率化にも繋がります。

セキュリティ上の落とし穴

しかし便利な反面、REST API には以下のようなセキュリティリスクが存在します。

ユーザー情報の漏洩

デフォルトでは `/wp-json/wp/v2/users` にアクセスすると、ユーザー名などが公開されてしまいます。これらの情報は、ブルートフォース攻撃の標的になる可能性があります。

※ここについては、SNS などでも色々な議論がありますが、私としては、「いかに狙われにくくするか」というのが大切だと考えています。リアルの家の空き巣対策と同じように、攻撃者に面倒だと思われること、ボットの攻撃対象の網にかかりにくくすることは大切だと考えているので、ユーザー名を隠すことには一定の意味あるという立場をとっています。

過度なアクセスによるサーバー負荷

レート制限が設定されていない場合、大量の API リクエストによってサーバーがダウンする可能性があります。(DDoS 攻撃を仕掛けられる)

認証なしでの操作

プラグインが提供するプログラムに脆弱性があったり、自前で実装する場合は `permission_callback` の設定ミスなどがあったりするために、本来は認証が必要な操作が外部から認証なしで行われてしまう(そして、そのことに気づきにくい)というリスクもあります。

セキュリティ対策の例

これらのような問題には、以下のような対策が有効です。

不要なエンドポイントの無効化

プラグインやテーマファイルなどの PHP コードで、不要なエンドポイントを無効化することができます。ただ、それによってプラグインやテーマの機能の一部が動作しなくなってしまうことがあるため(そのプラグインやテーマが WordPress REST API の機能を利用している場合など)、よく動作確認をしながら行うことが大切です

レート制限の実装

プラグインや WAF などを使用して、一定時間内のリクエスト数を制限します。ご自身で WAF を契約・設定することもできますが、プライム・ストラテジーの提供する KUSANAGI Security Edition が WAF にも対応しており、おすすめです。

最小権限の原則の適用

API 経由でアクセスするユーザーには、必要最小限の権限のみを付与します。読み取り専用のユーザーと書き込み可能なユーザーを明確に分けることが重要です。

まとめ

とはいえ、今回のコラムでご説明した内容はエンジニアや情シスの方でない方にとってはハードルが高く、これらをきちんと社内でカバーするのは現実的に難しいケースもあると思います。

  • アクセスログの定期的な確認
  • WordPress 本体やプラグインの定期的なアップデート
  • 脆弱性情報の収集と対応

など、プライム・ストラテジーの提供する

などのサービスで、安心して WordPress REST API を利用できるようにし、AI フレンドリーなサイトを作って行きましょう!

【著者】
ゼノクリース合同会社 代表(Web
齋藤智樹

在学中から高校や予備校、IT 企業に携わり、講師とソフトウェアエンジニアとして活動。
大学卒業後 (2020年4月〜) はフリーランスエンジニアとして活動を始め、以下のような幅広い業務を行う。2021年3月に、業務を拡大させるためにゼノクリース合同会社を設立。スタディングテックの WEB 開発コース主任講師も務める。

プライム・ストラテジーでは、Web担当者様、IT担当者様などの
お役立ち資料やYouTube動画を公開しています。ご興味ある方はぜひご覧ください。

お役立ち資料ダウンロード
YouTube動画を観る