XServerでWordPressを始めると、最初からインストールされているプラグインのひとつに「CloudSecure WP Security」があります。
「これ、何のプラグインなの?」「使わなくてもいい?」「設定しないといけないの?」
そんな疑問を持ったまま放置している方も多いのではないでしょうか。
結論からお伝えすると、CloudSecure WP Securityは有効化して設定しておくべきプラグインです。 WordPressは世界中で狙われやすいCMSのため、セキュリティ対策は早めに済ませておくのが安心です。
この記事では、CloudSecure WP Securityが「何をしてくれるのか」「本当に必要なのか」「どう設定すればいいのか」を初心者の方にも分かりやすく解説していきます。
- CloudSecure WP Securityのインストール手順
- コーポレートサイト向けの推奨設定
- 各設定項目の意味と注意点
設定項目が多くて迷いやすい部分も、初心者の方に寄り添ってひとつずつわかりやすく解説していきますので、ぜひ参考にしてみてくださいね。
CloudSecure WP Securityってどんなプラグイン?
「CloudSecure WP Security」は、WordPressサイトをサイバー攻撃から守る総合セキュリティプラグインです。
ログイン保護だけでなく、WAF・ファイル変更監視・クラウド連携によるIPブロックなど、幅広いセキュリティ対策を1つのプラグインでカバーできます。
- ログイン保護(試行回数制限・2段階認証・URL変更・画像認証)
- シンプルWAF(SQLインジェクション・XSS・OSコマンドインジェクション等を自動遮断)
- 管理画面アクセス制限(未ログインIPからのアクセスを404でブロック)
- ユーザー名漏えい防止・XML-RPC無効化・REST API無効化
- ログイン通知・アップデート通知・ログイン履歴
CloudSecure WP Securityのインストール方法
- WordPress管理画面にログイン
- 左メニューの「プラグイン」→「新規追加」をクリック
- 検索窓に「CloudSecure WP Security」と入力
- 「今すぐインストール」→「有効化」をクリック
これで準備OKです♪
有効化すると管理画面の左メニューに「CloudSecure」が表示されます。
セキュリティ設定項目の解説
では、よく使う設定項目をわかりやすくご紹介していきますね。
設定画面を開くと多くの項目が並んでいます。コーポレートサイト向けの推奨設定を項目ごとに解説します。
■ ログイン無効化(ブルートフォース対策)→ ✅ ON推奨
おすすめ:✅ ON(有効化)
短時間に何度もログインを試みる「ブルートフォース攻撃」を防ぐ機能です。一定回数ログインに失敗するとアクセスをブロックします。
- 感覚:5秒
- 試行回数:5回程度が目安
- ロック時間:600秒(10分)〜3600秒(1時間)目安
💡 あまり厳しくしすぎると自分がロックアウトされることがあります。最初は緩めに設定して様子を見ましょう。
■ ログインURL変更→ ✅ ON推奨
WordPressの初期ログインURL(/wp-login.php)は公開情報のため、不正アクセスの標的になりやすいです。
独自のURLに変更することで攻撃を防ぎます。
リダイレクト設定はオフにしておくことで、初期ログインURL(/wp-login.php)にアクセスしても変更後のURLがもれる可能性は殆どなくなります
⚠️ 変更後のURLは必ずブックマークしておきましょう。忘れると自分もログインできなくなります。SiteGuardも使っている場合は、どちらか一方の機能だけで設定してください。
■ ログインエラーメッセージ統一→ ✅ ON推奨
通常のWordPressは「ユーザー名が違います」「パスワードが違います」と具体的なエラーを表示します。
これは攻撃者にとってヒントになります。
すべて同じメッセージにすることで情報を与えないようにします。
■ 2段階認証→ ✅ 管理者のみON推奨
パスワードに加えて認証コードの入力を求める機能です。
万が一パスワードが漏れても不正ログインを防げます。
ONにすると以下の認証設定画面が表示されます。
「設定」をクリックすると、以下のポップアップが表示されるので、認証方法を選択して設定完了です!
⚠️ 複数の管理者がいるサイトでは全員が設定する必要があります。クライアントサイトでは導入前に必ず説明しておきましょう。
■ 画像認証追加→ ✅ ON推奨
ログイン画面に画像認証を追加する機能です。
英数字による画像認証でボットによる自動入力を防げます。
- ログインフォーム → 2有効
- コメントフォーム → 2有効
- パスワードリセットフォーム → 2有効
- ユーザー登録フォーム → 2有効
基本的にはいずれも有効にしておくことを推奨します。
SiteGuardのようなひらがな認証には非対応ですが、機械的な攻撃への対策として十分効果があります。
■ 管理画面アクセス制限→ 状況に応じて
管理画面(/wp-adminなど)にアクセスできるIPアドレスを制限できます。
→特定の場所(自宅など)からしかログインできないようにして、より安全に。
注意点: カフェや外出先で作業する方は設定に気をつけましょう。
■ 設定ファイルアクセス防止→ ✅ ON推奨
wp-config.phpなどWordPressの重要な設定ファイルへの外部からのアクセスをブロックします。
サイトの設定情報が漏えいするリスクを下げられます。
■ ユーザー名漏えい防止→ ✅ ON推奨
「?author=1」のようなURLにアクセスすることで管理者のユーザー名が表示されてしまう問題を防ぎます。
ユーザー名はパスワードと並ぶ大切な認証情報なので必ずONにしておきましょう。
■ XML-RPC 無効化→ ✅ ON推奨
外部アプリからWordPressを操作するための機能ですが、悪用されることが多いため使っていない場合は無効化しておくのが安全です。
⚠️ JetpackやWordPress公式アプリなど一部のツールはXML-RPCを使用しています。これらを使っている場合はOFFにすると動作しなくなります。
■ REST API 無効化→ 状況に応じて
外部からのデータ取得・操作を可能にする機能です。Contact Form 7やSWELLなど多くのプラグイン・テーマがREST APIを使用しているため、安易にOFFにするとサイトの動作に影響が出る場合があります。
💡 よくわからない場合はデフォルト設定のまま(OFFにしない)にしておくのが安全です。
■ シンプルWAF(Webアプリケーションファイアウォール)→ ✅ ON推奨
WAFは「Web Application Firewall」の略で、WordPressに対する不正アクセスや攻撃(例:スパム投稿、改ざん、SQLインジェクション)を検知・ブロックする機能です。
特別な設定は必要なく、ONにするだけで基本的な攻撃を自動で防いでくれる便利なセキュリティ機能です。難しい知識がなくても、WAFをオンにしておくだけで安心感がかなり違います。
設定後の確認ポイント
設定が完了したら以下を確認しておきましょう。
- 変更後のログインURLにアクセスできるか確認する
- ログアウトして新しいURLからログインできるか確認する
- 管理画面が正常に動作しているか確認する
- Contact Form 7などのフォームが正常に送信できるか確認する
通知設定項目の解説
■ ログイン通知
管理画面に誰かがログインしたら、メールでお知らせ。 →自分以外の不審なログインにすぐ気づけます。
■ アップデート通知
WordPress本体、プラグイン、テーマにアップデートがあった際に通知してくれます。 →更新漏れによるセキュリティリスクを減らせます。
■ サーバーエラー通知
サーバー側でエラーが発生した場合に記録・通知してくれる機能。 →知らない間にサイトが落ちていた…という事態を回避!
■ ログイン履歴
ログインしたユーザーの履歴を記録。 →日時、IPアドレスなども確認できるため、後からの見直しや不審なアクセスの把握にも便利です。
まとめ:コーポレートサイトに必要な設定はこれだけ
CloudSecure WP Securityの推奨設定をまとめます。
| 設定項目 | 推奨 | 備考 |
|---|---|---|
| ログイン無効化 | ON | 試行回数5回・ロック30分が目安 |
| ログインURL変更 | ON | 変更後URLは必ずブックマーク |
| ログインエラーメッセージ統一 | ON | 攻撃者へのヒント防止 |
| 2段階認証 | 管理者のみON | クライアントに事前説明が必要 |
| 画像認証追加 | ON | ボット対策に効果的 |
| シンプルWAF | ON | WordPressへの基本的な攻撃を遮断 |
| 設定ファイルアクセス防止 | ON | 重要ファイルの保護 |
| ユーザー名漏えい防止 | ON | 認証情報の保護 |
| XML-RPC無効化 | 基本ON | 外部ツール使用時は要確認 |
| REST API制限 | 状況に応じて | 不明な場合はデフォルトのまま |
CloudSecure WP Securityは一度設定してしまえばあとは自動で動いてくれます。
セキュリティ対策はバックアップと合わせて早めに設定しておきましょう。
