初心者向け!WordPress初期設定の完全ガイド
この記事の要点
- 公開前にSSL化とパーマリンク(投稿名)を必ず設定
- 設定は土台・効率化・防御の順で進める必須10項目
- adminの不使用・バックアップ・プラグイン最小化で防御を固める
WordPressをインストールしたものの、管理画面に並ぶ設定項目を前に「結局、最初に何をやればいいの」と手が止まっていませんか。
初期設定は順番を間違えると、あとからURLが全部変わってリンク切れを起こしたり、公開直後に不正ログインを受けたりと、地味に痛い失敗につながります。この記事では、SEOとセキュリティで損をしないための設定の正しい順番と必須10項目を、専門知識がなくても進められるように整理しました。AIで内製化したい方向けの注意点まで、現場目線でお伝えします。

Contents / 目次
結論。初期設定は「順番」と「公開前に固める項目」で決まる
先に結論からお伝えします。WordPressの初期設定でいちばん大事なのは、個々の設定の良し悪しよりもどの項目を公開前に固めておくかという順番の判断です。
なぜなら、設定には「あとから変えても問題ないもの」と「あとから変えると大事故になるもの」が混ざっているからです。たとえばパーマリンク(記事URLの形)は、公開後に変えると過去の全URLが変わり、検索エンジンの評価もシェアされたリンクもリセットされます。逆にサイトのキャッチフレーズなどは、いつ変えても実害はほとんどありません。この「触っていい順番」を知っているかどうかで、初期設定の安全度が大きく変わります。
やるべきことを大きく分けると、次の3グループになります。まず公開前に必ず固める「土台グループ」、次に運用を楽にする「効率化グループ」、最後に攻撃から守る「防御グループ」です。下の表で、それぞれ何をいつやるかの全体像をつかんでください。
| グループ | やること | タイミング | 後回しの危険度 |
|---|---|---|---|
| 土台 | SSL化・パーマリンク・サイトタイトル・サンプル削除 | 公開前に必ず | 高(やり直しが大ごと) |
| 効率化 | テーマ・必須プラグイン・カテゴリー整理・解析連携 | 公開前〜公開直後 | 中 |
| 防御 | ログイン保護・バックアップ・更新ルール | 公開前〜運用開始時 | 高(事故ると復旧困難) |
ここだけ覚えれば大丈夫。「SSL化」と「パーマリンク」だけは、記事を1本でも書く前に終わらせてください。この2つは後戻りのコストが段違いに高い項目です。
具体的なやり方。必須10項目を正しい順番で進める

ここからは、実際に管理画面で何をするかを順番に見ていきましょう。ツールのボタン位置は更新で変わるため、ここでは「何を、どの順でやるか」というプロセスを中心にお伝えします。細かい画面操作は、使っているレンタルサーバーの公式ヘルプを合わせて見るのがおすすめです。
ステップ1。土台を固める(公開前に必ず)
- SSL化(https化):サーバー側で無料SSLを有効にし、WordPressの「設定→一般」でアドレスを「https://」に書き換えます。鍵マークが付き、ブラウザの「安全ではありません」表示が消えます。詳しくは常時SSL化の重要性と具体的対策で解説しています。
- パーマリンク設定:「設定→パーマリンク」で「投稿名」を選びます。URLが意味のある単語になり、SEOにも有利です。公開後の変更は厳禁なので最初に決めます。
- サイトタイトルとキャッチフレーズ:「設定→一般」で会社名やサービス名を入れます。検索結果やブラウザのタブに出る、サイトの看板部分です。
- サンプル投稿の削除:初期状態の「Hello world!」やサンプル固定ページは削除します。中身のないページが検索に拾われるのを防ぎます。
ステップ2。運用を楽にする土台を作る
- テーマの選定:スマホ表示に自動対応する(レスポンシブ)テーマを選びます。カスタマイズする予定があるなら、更新で上書きされないよう「子テーマ」を用意します。
- 必須プラグインの導入:お問い合わせフォーム、バックアップ、SEO補助、画像軽量化などを最小限だけ入れます。日本語環境の不具合を防ぐ「WP Multibyte Patch」も定番です。
- カテゴリー整理:記事を書き始める前に、サイトの構成に合わせたカテゴリーを2〜5個ほど決めます。あとから整理し直すより、最初に骨組みを作るほうが断然ラクです。
- 解析ツールの連携:Google Search ConsoleとGoogleアナリティクスをつなぎます。連携のやり方はGoogleサーチコンソール徹底活用術も参考にしてください。
ステップ3。攻撃から守る
- ログイン保護:ユーザー名を推測されやすい「admin」にしない、ログイン試行回数を制限する、できれば二要素認証を入れます。
- バックアップ体制:自動バックアップのプラグインを入れるか、サーバーのバックアップ機能をオンにします。「壊れてから」では遅いので、最初に決めておきます。
初めての方は、まず次の「初動3ステップチェックリスト」だけ終わらせれば、公開しても恥ずかしくない最低ラインに届きます。
初動3ステップチェックリスト。①SSL化とパーマリンクを「投稿名」に設定した/②サンプル投稿を消し、ユーザー名をadmin以外にした/③バックアップとお問い合わせフォームを用意した。この3つにチェックが付けば、土台は合格です。
ここで2026年らしい選択肢も一つ。最近はCursorやv0、LovableといったAIでコードを書くツールを使い、テーマのデザイン調整やオリジナルのブロックを自分たちで作る会社も増えています。つまり、これまで制作会社に頼んでいた細かいカスタマイズを、AIに下書きさせて内製化する流れです。ただし後述するように、AIが出すコードをそのまま本番に貼るのは危険な面もあります。どこまで自分でやり、どこからプロに任せるかは、後半でしっかり線引きします。
効果・成果イメージ。きちんと設定するとどう変わるか

初期設定を丁寧にやると、目に見える形で運用が楽になります。いちばん大きいのは「あとからのやり直し」が消えることです。たとえばパーマリンクを公開前に正しく設定しておけば、数か月後に「URLを変えたいけど全部リンク切れになる」という悩み自体が発生しません。これは時間にすると、数十ページ分のリダイレクト設定や貼り直し作業をまるごと省ける計算になります。
セキュリティ面の効果も無視できません。WordPressは世界のサイトの41.9%で使われている人気ソフトで、その分だけ攻撃の標的にもなりやすいという特徴があります。これはエックスサーバー公式の初期設定解説などでも繰り返し注意喚起されているポイントです。ログイン保護とバックアップを最初に入れておくだけで、「ある朝、サイトが改ざんされて真っ青になる」リスクを大きく下げられます。
表示速度の面でもじわじわ効きます。プラグインを必要最小限に絞り、画像を軽量化しておくと、ページの表示が速くなり、訪問者が離脱しにくくなります。検索エンジンも表示の速いサイトを好むため、結果として問い合わせの入口が広がります。
成功している会社の共通点。派手な機能を盛るより、「土台・効率化・防御」の基本を最初にきっちり固めています。逆に、最初の設定をすっ飛ばして記事を量産した会社ほど、半年後に「URL構造を直したい」「重くて遅い」と作り直しに追われがちです。
よくある失敗と回避法

ここでは、現場で本当によく見かける失敗を取り上げます。どれも「知っていれば防げた」ものばかりなので、自分のサイトに当てはまっていないか確認してみてください。
失敗1。記事を書いたあとにパーマリンクを変える
これはどんな状況で起きるかというと、運用を始めてしばらく経ってから「URLがごちゃごちゃで気持ち悪いから変えたい」と思い立つケースです。変えた瞬間、過去の全記事のURLが切り替わり、検索エンジンの評価もSNSでシェアされたリンクも一斉にリンク切れになります。防ぐには、記事を1本でも書く前に「投稿名」で固定しておくこと。これだけで一生悩まずに済みます。
失敗2。バックアップを取らずに更新する
WordPress本体やプラグインの更新を、何のバックアップもなしに実行してしまうパターンです。たいていは問題なく終わりますが、ごくまれにプラグイン同士の相性で画面が真っ白になり、復旧できずに数日サイトが止まることがあります。回避法はシンプルで、自動バックアップを常時オンにし、大きな更新の前は手動でもう一度取ること。「戻せる状態」を作ってから更新する習慣が、いちばんの保険です。
失敗3。プラグインを入れすぎる
「便利そう」という理由で、似た機能のプラグインを10個も20個も入れてしまう状況です。こうなるとサイトが重くなり、プラグイン同士がぶつかって不具合の原因切り分けも難しくなります。防ぐには、1つの目的につき1つだけと決め、使わなくなったものは無効化ではなく削除すること。無効化しただけのプラグインも、放置すると脆弱性の入口になります。
失敗4。ユーザー名を「admin」のままにする
初期設定でつい「admin」を使ってしまうケースです。攻撃者はまずこの定番名で総当たりログインを試すため、推測されやすい名前はそれだけでリスクになります。回避法は、ログインIDを推測されにくい文字列にし、サイト上に表示される投稿者名(ニックネーム)はIDと別にすること。IDと表示名を分けるだけで、入口の安全性がぐっと上がります。
現場の本音。AIで内製するときの落とし穴と任せどころ
ここからは、教科書には載りにくい「現場で見えた限界」を率直にお話しします。WordPressは自分たちで作れる範囲が広いツールですが、全部を内製しようとすると、かえって高くつく場面があります。
まず、AIでカスタマイズする内製化について。Cursorやv0にお願いすれば、テーマの見た目調整やちょっとした機能追加のコードはすぐ出てきます。ここはAIが得意なところで、デザインのたたき台づくりや文章作成は積極的に任せていい範囲です。一方で、AIが出したコードをそのまま本番に貼るのは危険です。お問い合わせフォームやログイン周りなど、外部とやり取りする部分のコードは、入力チェックの抜けがあると情報漏えいや乗っ取りの穴になります。AIは「動くコード」は書けても、「安全なコード」かどうかまでは保証してくれません。ここは人の目、できれば分かる人のチェックが要る範囲です。
業者選定で気をつけたいのは、「初期設定だけ安く請け負って、運用は丸投げ」になっていないかという点です。WordPressは作って終わりではなく、更新とバックアップという地味な保守がずっと続きます。見積もりを取るときは、初期費用だけでなく「公開後に誰が更新を見るのか」「バックアップは誰の責任か」まで確認しておくと、あとで「聞いてない」が減ります。CMSそのものの選び方は広報担当者のためのCMSの選び方でも掘り下げています。
コストの見落としもよくあります。WordPress本体は無料ですが、サーバー代、有料テーマ、セキュリティ対策、保守の手間は確実にかかります。「無料だから安い」と思って始めると、トラブル対応の人件費でかえって高くつくこともあります。社内に手を動かせる人が一人もいないなら、最初の土台づくりだけプロに任せ、日々の更新だけ社内でやる、という分担がいちばん現実的です。
よくある質問(FAQ)
初期設定にはどれくらい時間がかかりますか
必須項目だけなら、慣れていない方でも半日〜1日が目安です。SSL化とパーマリンクなど土台の4項目は1〜2時間で終わります。一度にやろうとせず、土台→効率化→防御の順で分けて進めると無理がありません。
無料テーマと有料テーマ、どちらがいいですか
まずは無料テーマで十分です。ただしスマホ表示への対応と、更新が止まっていない(メンテされている)ことは必ず確認してください。デザインや機能で物足りなくなってから有料に乗り換える流れで問題ありません。
設定を間違えてサイトが表示されなくなったらどうすれば
まず慌てずに、直前に変えた設定を元に戻すのが基本です。アドレス設定をいじって管理画面に入れなくなった場合は復旧が難しいので、バックアップから戻すか、サーバー会社のサポートに相談しましょう。だからこそ事前のバックアップが効きます。
AIに初期設定そのものを任せられますか
設定の調べ物やコードの下書きはAIが得意です。ただしセキュリティに関わる設定や、外部とやり取りするコードは、人のチェックが必要です。AIは「やり方の案内役」として使い、最終判断は人がする、と分けるのが安全です。
ここまで読んで、「順番は分かったけれど、自社のリソースだと最後までやり切れるか不安」と感じた方もいるはずです。コレットラボでは、AIを活かしたサイトの内製化と運用効率化を、丸投げでも伴走でも選べる形でお手伝いしています。まずは現状を整理するだけでも大丈夫なので、AI業務システム化の詳細はこちらから気軽にご相談ください。
30分の無料相談
現状をお聞きし、優先順位を一緒に整理します。
予約する →