この記事では、WordPressのセキュリティプラグイン「SiteGuard WP Plugin」のインストールから各設定項目のおすすめ値まで、画像付きで解説します。
「SiteGuard WP Pluginを入れたけど、何をどう設定すればいいかわからない」
「各項目をONにしていいのか不安…」
そんな方のために、設定項目ごとにおすすめの値と理由をまとめました。 迷わず設定できるように、初心者の方でも順番に進めていけるよう解説します。
- SiteGuard WP Pluginのインストール・有効化の手順
- 各設定項目のおすすめ値(ON/OFF・具体的な数値)
- 設定時の注意点とよくあるトラブルの対処法
- CloudSecure WP Securityとの違いと使い分け
SiteGuard WP Pluginとは?
SiteGuard WP Pluginは、日本のEGセキュアソリューションズが開発した国産のセキュリティプラグインです。 完全無料・日本語対応で、ログイン周りの保護に特化しているのが特徴です。
SiteGuard WP Pluginが得意なこと
- ログインURLを変更して管理画面への入口を隠す
- ひらがな画像認証でボットによる攻撃を防ぐ
- ログイン失敗時のアラートメールで不正ログインをすぐ察知
- XML-RPCを無効化して外部からの攻撃経路を塞ぐ
シンプルで軽量なので、サイトの表示速度に影響しにくいのも嬉しいポイントです。
STEP 1|インストール・有効化する
- WordPress管理画面の「プラグイン」→「新規追加」をクリック
- 検索窓に「SiteGuard」と入力
- 「SiteGuard WP Plugin」の「今すぐインストール」をクリック
- インストール完了後「有効化」をクリック
確認ポイント 作者が「JP-Secure」になっているものが本物です。
有効化すると左メニューに「SiteGuard」が追加されます。 「設定」→「SiteGuard」から各項目の設定ができます。
STEP 2|各設定項目を確認する
設定項目は12個あります。それぞれのおすすめ値と理由を解説します。
| 設定項目 | おすすめ | 重要度 | 一言メモ |
|---|---|---|---|
| ログインページ変更 | ✅ 有効 | ★★★ | URLは必ずブックマーク |
| 画像認証 | ✅ 有効 | ★★★ | ひらがな認証でボット対策 |
| ログインロック | ✅ 有効 | ★★★ | 5回失敗・30分ロックが目安 |
| ログイン詳細エラーメッセージ無効化 | ✅ 有効 | ★★★ | 攻撃者にヒントを与えない |
| ユーザー名漏えい防御 | ✅ 有効 | ★★★ | ユーザー名を外部から隠す |
| ログインアラート | ✅ 有効 | ★★☆ | 不正ログインをメールで察知 |
| XML-RPC防御 | ✅ 有効 | ★★☆ | 外部連携がない場合のみ |
| ログイン履歴 | 変更の必要なし | ★★☆ | 複数人管理サイトに特に有効 |
| 更新通知 | 任意 | ★★☆ | 通知が多い場合は無効でもOK |
| フェールワンス | 任意 | ★☆☆ | 最初のログインは必ず失敗する |
| 管理ページアクセス制限 | 固定IPのみ | ★☆☆ | 外出先で作業する人は注意 |
| WAFチューニング | エラー時のみ | ★☆☆ | 通常は無効でOK |
1. 管理ページアクセス制限
おすすめ:基本は無効でOK
WordPress管理画面(/wp-admin/)にアクセスできるIPアドレスを制限する機能です。
固定IPアドレスをお持ちの方(自宅や会社の固定回線など)は有効にするとより安全です。ただし以下の場合は注意が必要です。
- カフェや外出先など、場所を変えて作業する方
- スマートフォンでも管理画面にアクセスする方
これらに当てはまる場合は無効のままにしておきましょう。有効にすると自分もアクセスできなくなる場合があります。
2. ログインページ変更
おすすめ:有効にする ✅
WordPressのデフォルトのログインURL(/wp-login.php)は誰でも知っている場所なので、攻撃者に狙われやすいです。 この機能でURLを変更することで、管理画面への入口を隠せます。
設定のポイント
- 変更後のURLは必ずブックマークしておく
- 英数字の組み合わせで推測されにくいURLにする(例:
/admin-login-abc123) - 有効化すると登録メールアドレスに新しいURLが通知されます
⚠️ URLを忘れるとログインできなくなります。必ずブックマーク・メモをしてから有効化しましょう。
3. 画像認証
おすすめ:ログイン・コメントともに有効にする ✅
ログイン画面に「ひらがな画像認証」を追加して、ボットによる自動ログイン試行を防ぐ機能です。
日本語のひらがな認証は海外のボットに特に効果的です。 コメント欄のスパム対策にも使えるので、両方有効にしておきましょう。
4. ログイン詳細エラーメッセージの無効化
おすすめ:有効にする ✅
通常のWordPressでは、ログイン失敗時に「ユーザー名が違います」「パスワードが違います」と表示されます。 これは攻撃者にとって「どちらが正しいか」を判断するヒントになってしまいます。
この機能を有効にすると、エラーメッセージが「ユーザー名またはパスワードが違います」という統一されたメッセージになります。
5. ログインロック
おすすめ:有効にする ✅ / 失敗回数は5回・ロック時間は30分がバランスよい
短時間に何度もログインを試みる「ブルートフォース攻撃」を防ぐ機能です。 設定した回数以上ログインに失敗すると、一定時間ログインできなくなります。
おすすめの設定値
| 項目 | おすすめ値 | 理由 |
|---|---|---|
| 失敗回数 | 5回 | 誤入力を許容しつつ攻撃を防げる |
| ロック時間 | 30分 | 攻撃者を十分に足止めできる |
| 対象 | ユーザー名・IPアドレス両方 | 複数の手口に対応できる |
6. ログインアラート
おすすめ:有効にする ✅
管理画面にログインがあったとき、登録メールアドレスに通知が届く機能です。 自分以外の誰かが不正ログインした場合にすぐ気づけます。
クライアントサイトを管理している場合は特に有効にしておくことをおすすめします。
7. フェールワンス
おすすめ:任意(セキュリティを高めたい場合は有効)
ログイン情報が正しくても、最初のログインは必ず一度失敗させる機能です。 2回目以降は正しい情報であればログインできます。
ブルートフォース攻撃に対して非常に効果的ですが、初めて使う場合は「ログインできない!」と焦ることがあるので注意してください。
有効にする場合の心構え 1回目にエラーが出ても、そのまままったく同じ情報でもう一度ログインすれば入れます。
8. XML-RPC防御
おすすめ:有効にする ✅(外部ツール連携がない場合)
XML-RPCとは、外部アプリ(スマホアプリなど)からWordPressを操作するための機能です。 使っていない場合は攻撃経路になりやすいので、無効化しておくのがおすすめです。
有効にしない方がいい場合
- JetpackなどのプラグインでXML-RPCを使っている
- スマホアプリからWordPressに投稿している
これらに当てはまる場合は、有効にすると不具合が起きる可能性があります。
9. ユーザー名漏えい防御
おすすめ:有効にする ✅
?author=1のようなURLにアクセスすると、WordPressのユーザー名が表示されてしまうことがあります。 ユーザー名が漏れると、パスワードだけ解読すればログインできてしまうので、必ず有効にしておきましょう。
10. 更新通知
おすすめ:受け取りたい通知に合わせて設定
WordPress本体・プラグイン・テーマのアップデートがあったときにメール通知する機能です。
通知が多すぎると感じる場合は無効にしても構いませんが、セキュリティの観点からはアップデート通知はONのままにしておくのがおすすめです。 アップデートを適用することが最も重要なセキュリティ対策の一つです。
11. WAFチューニングサポート
おすすめ:WAFエラーが出たときだけ有効にする
WAF(Web Application Firewall)がWordPressの正常な動作を「攻撃」と誤判定してブロックしてしまう場合に、その誤判定を回避するための設定です。
通常は無効のままで問題ありません。 テーマの設定保存やプラグインの操作時にエラーが出る場合に有効にして試してみましょう。
※ConoHa WINGをお使いの場合は、WAFはサーバー側にも設定があります。サーバー側のWAFとプラグイン側のWAFが干渉することがあるので注意してください。
12. ログイン履歴
誰がいつ・どのIPアドレスからログインしたかを記録する機能です。 複数人で管理しているサイトや、クライアントサイトの管理で役立ちます。
設定完了後に確認すること
すべての設定が完了したら、以下を確認しておきましょう。
① 新しいログインURLでアクセスできるか確認する
ログインページ変更を有効にした場合は、必ず新しいURLでログインできるか確認してください。 変更前のURL(/wp-login.php)にアクセスすると404エラーになります。
② ログインアラートのメールが届くか確認する
一度ログアウトして再ログインし、通知メールが届くか確認しておきましょう。
よくあるトラブルと対処法
ログインページにアクセスできなくなった
ログインページ変更を有効にした後、新しいURLを忘れてアクセスできなくなった場合は、FTPソフトでサーバーにアクセスしてSiteGuardプラグインのフォルダ名を変更するか削除することで、設定をリセットできます。
/wp-content/plugins/siteguard/
→ siteguard_old などにリネームその後、WordPressに通常のURLでログインし、プラグインを再度有効化してください。
画像認証のひらがなが読めない
「更新」ボタンをクリックすると別のひらがなに変更できます。
ログインロックで自分がロックされた
設定したロック時間が経過すれば自動解除されます。 すぐに解除したい場合はFTPでデータベースにアクセスするか、サーバーのphpMyAdminからwp_siteguard_login_lockテーブルを操作してください。
まとめ:SiteGuard WP Pluginの設定はこれで完了
SiteGuard WP Pluginの各設定項目をまとめます。
| 設定項目 | おすすめ |
|---|---|
| 管理ページアクセス制限 | 固定IP持ちのみ有効 |
| ログインページ変更 | ✅ 有効 |
| 画像認証 | ✅ 有効 |
| ログイン詳細エラーメッセージ無効化 | ✅ 有効 |
| ログインロック | ✅ 有効(5回・30分) |
| ログインアラート | ✅ 有効 |
| フェールワンス | 任意 |
| XML-RPC防御 | ✅ 有効(外部連携なし) |
| ユーザー名漏えい防御 | ✅ 有効 |
| 更新通知 | 任意 |
| WAFチューニングサポート | エラー時のみ有効 |
| ログイン履歴 | ✅ 有効 |
SiteGuard WP Pluginはログイン周りの保護に特化したシンプルなプラグインです。 今回紹介した設定を行うだけで、不正ログインのリスクを大幅に下げることができます。
CloudSecure WP Securityとの違いや使い分けについてはこちらで解説しています。
WordPressのセキュリティ対策の全体像はこちらもあわせてご覧ください。
