大東 信仁(ものくろ) 
「WordPress の記事投稿、もっとラクにしたい」と思って
Claude Code の MCP(Model Context Protocol)サーバーを用いて、ターミナルからAIに話しかけるだけで WordPress を操作できるようにできました。
「記事を下書きで作成して」と打つだけで、WordPress に投稿ができちゃう。
しかも、この記事自体が Claude Code → MCP → WordPress という経路で下書きアップロードされています。
MCP サーバーってなんなの?
MCP っていうのは、Model Context Protocol の略で、AI(Claude)と外部のサービスをつなぐための仕組みです。
ざっくり言うと、Claude Code に「WordPress を操作するためのリモコン」を渡してあげるような感じ。このリモコン(= MCP サーバー)を通じて、Claude Code が WordPress の REST API と安全にやり取りできるようになります。
で、このリモコンを使うと何ができるのか?というと……。
Claude Code から WordPress でできること【全36ツール】
MCP サーバーを設定すると、なんと 36 個ものツールが使えるようになります。これがめちゃくちゃ便利。全ツールを一覧でお見せしますね。
サイト情報(3ツール)
get_site_info→ サイトの基本情報を取得wp_get_general_settings→ 一般設定を取得wp_update_general_settings→ 一般設定を更新
「サイトのタイトル何やったっけ?」って時に、いちいち管理画面を開かなくてよくなります。
投稿まわり(4ツール)
wp_posts_search→ 投稿の検索・フィルタリング(ページネーション対応)wp_get_post→ 投稿 ID を指定して取得wp_add_post→ 新規投稿を作成wp_update_post→ 既存の投稿を更新
これが一番使う機能。「最新記事を5件見せて」「この内容で下書き作って」が自然言語でできるのは感動モノです。
固定ページ(4ツール)
wp_pages_search→ 固定ページの検索wp_get_page→ 固定ページを取得wp_add_page→ 新規固定ページを作成wp_update_page→ 固定ページを更新
カスタム投稿タイプ(5ツール)
wp_list_post_types→ 登録済み投稿タイプの一覧wp_cpt_search→ カスタム投稿タイプの検索wp_get_cpt→ 個別取得wp_add_cpt→ 新規作成wp_update_cpt→ 更新
カスタム投稿タイプを使っているサイトでも、ちゃんと対応しているのがありがたい。
カテゴリー・タグ(6ツール)
wp_list_categories/wp_add_category/wp_update_categorywp_list_tags/wp_add_tag/wp_update_tag
「カテゴリー一覧見せて」「新しいタグ追加して」もターミナルから。
メディア(6ツール)
wp_list_media→ メディア一覧wp_search_media→ メディア検索wp_get_media→ メタ情報の取得wp_get_media_file→ ファイルの実データ取得wp_upload_media→ アップロードwp_update_media→ 情報の更新
画像のアップロードまでできるのは地味にすごい。アイキャッチ画像の設定もターミナルから完結します。
ユーザー管理(6ツール)
wp_get_current_user→ 現在のユーザー情報wp_users_search→ ユーザー検索wp_get_user→ ユーザー取得wp_add_user→ ユーザー追加wp_update_user/wp_update_current_user→ ユーザー更新
つまり、WordPress の管理画面でやっていたことの大半が、Claude Code のターミナルから話すだけで、出来ちゃう。
なんでやねん、って言いたくなるくらい便利です。
セットアップの流れ【5ステップ】
じゃ、どうすれば、いいのか? セットアップの全体像をお伝えしますね。
用意するもの
- Claude Code — Anthropic の CLI ツール
- 1Password CLI(op コマンド) — 認証情報の安全な管理用
- WordPress MCP プラグイン — WordPress 側に MCP サーバー機能を追加するプラグイン
- WordPress のアプリケーションパスワード — REST API 用の認証
ステップ 1:WordPress MCP プラグインのインストールと有効化
まず、WordPress 側に MCP サーバー機能を追加するプラグインをインストールします。Automattic(WordPress.com の運営会社)が公開している WordPress MCP プラグインを使います。
インストール手順:
- GitHub のリリースページから
wordpress-mcp.zipをダウンロード - WordPress 管理画面の【プラグイン】→【新規プラグインを追加】→【プラグインのアップロード】で zip ファイルをアップロード
- アップロード後、「有効化」をクリック
あるいは、wordpress-mcp.zip を解凍して /wp-content/plugins/wordpress-mcp ディレクトリに直接アップロードしてもOKです。
ステップ 2:WordPress MCP プラグインの設定
プラグインを有効化したら、WordPress 管理画面で認証トークンを発行します。
- 【設定】→【WordPress MCP】へ移動
- 「認証トークン」セクションで、トークンの有効期間(1~24時間)を選択
- 「新しいトークンを生成」をクリック
- 表示されたトークンをコピー
このトークンが、MCP クライアント(Claude Code)が WordPress とやり取りするための鍵になります。トークンには有効期限があるので、セキュリティ的にも安心な感じです。
ステップ 3:WordPress のアプリケーションパスワードを発行
WordPress の管理画面で、REST API 用のアプリケーションパスワードも発行します。
【ユーザー】→【プロフィール】→ 画面下部の「アプリケーションパスワード」セクションで作成できます。
ここで発行されたパスワードは、一度しか表示されません。表示されたらすぐにコピーしてください。あっ、コピーし忘れた……ってなると、もう一度作り直しになります。ここでハマりました。
ステップ 4:1Password に認証情報を保存 & MCP サーバー設定
発行したアプリケーションパスワードと WordPress のユーザー名を、1Password の Development vault に保存します。
ここが超重要なポイント。認証情報は絶対に環境変数や設定ファイルに直接書かない。1Password の vault に入れて、op run コマンド経由で注入する方式にします。
こうすることで、Claude Code のプロセス自体には一切パスワードが渡らない。安心感が違います。
続いて、Claude Code のプロジェクト設定ファイル(.claude/settings.local.json)に MCP サーバーの設定を追加します。手動で編集してください。
{
"mcpServers": {
"wp-mono96": {
"command": "op",
"args": [
"run", "--",
"MCP サーバー起動コマンド"
],
"env": {
"WP_BASE_URL": "https://あなたのサイトURL"
}
}
}
}ポイントは op run を経由している部分。これにより、1Password のサービスアカウントから認証情報が安全に注入されます。
サービスアカウントは Development vault への読み取り専用アクセスに制限しているので、万が一の時も被害を最小限に抑えられます。
ステップ 5:動作確認と CLAUDE.md の設定
Claude Code を起動して、こう打ってみてください。
MCP ツールを使ってサイト情報を取得してサイト名や URL が返ってきたら、接続成功です。ふぅ。
最後に、プロジェクトルートの CLAUDE.md にセキュリティルールを記載しておきます。これも大事。
Claude Code はこのファイルに書かれたルールに従って動作するので、「環境変数を参照しない」「設定ファイルを勝手に変更しない」といったポリシーを明文化しておくことで、AIが暴走するリスクを抑えられます。
セキュリティで気をつけていること
AI に WordPress を操作させる以上、セキュリティは真剣に考えないといけません。
僕が実践しているポリシーを詳しく共有しますね。
認証情報は 1Password で一元管理
- パスワードや API キーは 1Password の Development vault にのみ保存
- MCP プロキシへの認証情報注入は サービスアカウント経由の
op runで実行 - サービスアカウントは Development vault の 読み取り専用アクセスに制限
- Claude Code プロセスには 一切の認証情報を渡さない
この構成のミソは「Claude Code 自体はパスワードを知らない」という点。MCP サーバーが間に入って、1Password から認証情報を受け取り、WordPress API とやり取りしてくれます。
やってはいけないこと【禁止事項リスト】
CLAUDE.md に明記している禁止事項がこちら。
- 直接 API アクセス禁止 → WordPress 操作はすべて MCP ツール経由。
curlやwgetで REST API を直接叩くのは NG - 環境変数の参照禁止 →
$WP_API_PASSWORDや$WP_API_USERNAMEを覗こうとしない - Authorization ヘッダの自前構築禁止 → 認証は MCP サーバーに任せる
- 認証情報の確認コマンド禁止 →
echo、printenv、envで認証情報を表示しない
「いやいや、AI がそんなことするん?」と思うかもしれませんが、明示的にルールを書いておくのが大事。CLAUDE.md に書いておけば、Claude Code はちゃんと従ってくれます。
セキュリティ設定ファイルの保護
以下のファイルは Claude Code による変更を禁止しています。
.claude/settings.json— セキュリティポリシー定義.claude/settings.local.json— 個人用権限設定(MCP 設定含む).claude/hooks/配下のすべてのスクリプト
これらを変更する必要がある場合は、必ず人間が手動で行います。AI に設定ファイルを触らせない、という原則ですね。
実際に使ってみた感想
というわけで、実際にこの仕組みを使ってブログを運営してみた感想です。
めちゃくちゃラク。
「最新記事を5件見せて」と打てば一覧が出てくる。「この内容で下書き作って」と打てば記事ができる。「カテゴリー一覧見せて」と打てば一覧が出る。ブラウザを開かなくていい。ターミナルで完結する。
特に、記事のアイデアを思いついたときに、サッと下書きを作れるのがありがたい。WordPress の管理画面を開いている間に「あれ、何書こうとしてたっけ?」ってなること、ありませんか? それがなくなります。
36 ツールもあると「全部覚えなあかんの?」と思うかもしれませんが、そこは AI の強み。自然言語で指示すれば、Claude Code が適切なツールを選んでくれます。ツール名を覚える必要はありません。
しかも、この記事自体が Claude Code → MCP → WordPress という経路で下書きアップロードされています。なんというか、未来を感じています。
まとめ
- MCP サーバーを使えば、Claude Code から WordPress を自然言語で操作できる
- 投稿・固定ページ・メディア・カテゴリー・ユーザーなど 全36ツールが利用可能
- WordPress 側には Automattic 製の WordPress MCP プラグインをインストール・有効化・トークン設定が必要
- 認証情報は 1Password + サービスアカウント + op run の構成で安全に管理
- セットアップは 5 ステップ。プラグインインストールから動作確認まで、順番にやればOK
- CLAUDE.md にセキュリティルールを明文化しておくのが最重要ポイント
- 設定ファイル(
.claude/settings.json等)は AI による変更を禁止して保護
AI と WordPress の連携は、思った以上に実用的です。セキュリティをしっかり固めた上で運用すれば、ブログ運営のワークフローの新しい可能性にワクワクしています。
