WordPressアプリケーションパスワードの取得方法

BringRitera（リテラ）が生成AIで出力する記事は、HTMLコピーもできますが、WordPressに自動連携させることも可能です。
そのためには、WordPressアプリケーションパスワードが必要となりますので、その取得方法についてご説明します。

WordPressアプリケーションパスワードとは？

WordPressアプリケーションパスワードは、WordPressと外部からデータ連携するために発行可能なパスワードで、WordPressのログインパスワードとは別物です。

このWordPressアプリケーションパスワードを用いて利用する対象をRest APIと呼びます。APIはアプリケーションプログラミングインタフェースの略称で、WordPressに限らず広くデータ連携に用いられているものとなります。

どうしてデータ連携専用のパスワードが必要なのか？

WordPressのCMSにおける世界シェアは62.2%、日本においてはシェア83.2%となっており（2024年時点）、とてもメジャーです。

世界シェア引用元：
Usage statistics and market shares of content management systems
日本シェア引用元：
Distribution of content management systems among websites that use Japanese

そのため、例えばWindowsが古くからウイルスに狙われやすい状態なのと同様、WordPressもいたずら目的含む攻撃を受けやすく、攻撃者が用いる攻撃手法の主な１つは単純で、ログインパスワードを破るというものだそうです。

パスワードのデータベースへの保存自体は暗号化するものですが、通信は暗号化したままの状態では行えません。WordPressアプリケーションパスワードは、Rest APIを用いた通信のためのものなので、万が一漏洩したとしても、ログインに用いることはできませんし、いつでも変更することができます。ダメージは最小限で済みます。

Rest APIの通信にはログインパスワードを用いることもできるのですが、セキュリティのため、避けるべきことと言えます。そのためBringRitera（リテラ）で出力した記事を連携させる際には、ログインパスワードではなく、WordPressアプリケーションパスワードを採用しています。

WordPressのバージョンは常に最新に

なお、WordPressはセキュリティのため常に最新のバージョンにしておくことを強く推奨します。実際に攻撃を受けてしまった状態で相談を受けたことが複数回あるのですが、いずれのケースもバージョンが古いまま使っていました。

WordPressアプリケーションパスワードの取得方法

それでは、本題のWordPressアプリケーションパスワード取得方法についてご説明します。

管理者ユーザーが操作をする

WordPressアプリケーションパスワードの発行は、管理者ユーザーでなければ行うことができません。

管理者かどうかは、「ユーザー」メニューで確認することができます。

プロフィール編集画面に入る

管理者ユーザーが、自身のプロフィールの編集画面に入ります。

WordPressアプリケーションパスワードを発行する

管理者ユーザーのプロフィール編集画面の下の方にある「新しいアプリケーションパスワード名」に任意の名称を入力した後、「新しいアプリケーションパスワードを追加」ボタンを押します。

すぐにパスワードが発行され、「コピー」ボタンでコピーが可能です。

このパスワード、途中に半角スペースがありますが、その半角スペースは取らずに、そのまま用いてください。

パスワードを変えたい場合は、「コピー」ボタンの下の方にある「取消」を押して、現在のパスワードをまず無効にしたうえで再度パスワードを追加してください。