今回は、WordPressサイトのセキュリティ対策として、無料で使えるプラグイン「SiteGuard WP Plugin」の導入手順と設定方法を紹介します。
WordPressを使っていると、「セキュリティって何をすればいいの?」と迷うことがありますよね。そんな時に役立つのが、無料で使えるセキュリティプラグイン「SiteGuard WP Plugin(サイトガードWPプラグイン)」です。
セキュリティ対策を行うことで、外部からの不正ログインや悪意ある攻撃からサイトを守り、安心して運営を続けることができます。
- WordPressのセキュリティ対策って何から始めればいい?
- SiteGuard WP Pluginの基本的な使い方を知りたい
- 各設定項目の意味や、初心者向けのおすすめ設定が知りたい
初心者の方でもわかりやすいように、このプラグインの導入方法から各種設定までを丁寧に解説します。
■ SiteGuard WP Pluginとは?
SiteGuard WP Pluginは、WordPressのログイン周りのセキュリティを強化してくれるプラグインです。
主な特徴は以下の通り:
- ログインURLを変更して不正アクセスを防ぐ
- ログイン時に画像認証(CAPTCHA)を追加
- ログインアラート機能で不審なアクセスを把握
- ログイン履歴を記録
- XMLRPC無効化で外部ツールからの攻撃を防止
すべて日本語対応で、初心者にも設定しやすいのが魅力です。
■ インストール方法
- WordPressの管理画面にログイン
- 左側メニューの「プラグイン」→「新規追加」
- 検索バーに「SiteGuard」と入力
- 「SiteGuard WP Plugin」が出てきたら「今すぐインストール」→「有効化」
これだけで基本的な保護はスタートします。
■ 各設定項目の解説
有効化後、「設定」→「SiteGuard」から細かな保護設定ができます。
以下、それぞれの項目について初心者向けにわかりやすく説明します。
1. 管理ページアクセス制限
WordPressの管理画面(/wp-admin/)への不正アクセスを防ぐために、特定のIPアドレスからのみアクセスできるよう制限する機能です。
- ✅ 通常は無効で問題ないです。IPアドレスに詳しい人は有効にしても可
- 指定のIPアドレス以外からはアクセス不能とする
- 🔸 許可するIPアドレス:自分のIPアドレスを追加
→ 自宅や職場など、信頼できる場所からのIPを入力しましょう。
🔍 ご自身のIPアドレス確認方法:
https://www.cman.jp/network/support/go_access.cgi などのサービスを利用
2. ログインページ変更
デフォルトの /wp-login.php を変更して攻撃を回避する設定です。
- ✅ 推奨:有効にする
- 任意のURLを設定できます(例:
/mylogin123) - ただしブックマーク必須!忘れるとログインできません
変更時には管理者メールアドレスに「WordPress: ログインページURLが変更されました」という旨のメールが届きます。
届いたメール本文内にもログイン用URLが記載されていますので、合わせて確認いただけます。
3. 画像認証(CAPTCHA)
ログイン画面に画像による認証を追加します。
- ✅ 推奨:有効にする
- ロボットによる総当たり攻撃を防止できます
- 日本語にも対応、画像もわかりやすい
4. ログイン詳細エラーメッセージの無効化
「ユーザー名が違います」「パスワードが違います」などの表示を制限します。
- ✅ 推奨:有効にする
- 攻撃者に情報を与えないようにするための設定です
5. ログインロック
ログイン失敗を繰り返したユーザーを一時的にロックする機能です。
- ✅ 推奨:有効にする
- 例:5回失敗でロック(15分間など)
6. ログインアラート
管理者がログインしたら通知メールが届く機能です。
- ✅ 推奨:有効にする
- 不正ログインの発見に役立ちます
- メールはWordPressに登録されているアドレスに届きます
7. フェールワンス
ログイン失敗を繰り返したユーザーを一時的にロックする機能です。
- ✅ 必要に応じて「有効化」
- セキュリティ強化には効果的
- ログインに失敗しても、あせらずもう一度試してみればOK
- 不安な場合は無理に有効化しなくても大丈夫
フェールワンスとは?
ログイン情報が正しくても、最初のログインは必ず失敗させる機能です。
2回目以降は正しければログインできます。
これは、パスワードを総当たりで試すような「ブルートフォース攻撃」に対して非常に効果的です。
ただし注意!
この機能を有効にすると、最初のログインで「間違っている?」と不安になることがあります。
ログイン情報に自信がある場合は、もう一度入力してみましょう。
8. XML-RPC防御
XML-RPCの無効化外部からのアクセスを制限する機能です(スマホアプリや外部連携で使用)。
- ✅ 推奨:有効にする
- 「スマホアプリから投稿していない」「外部ツールと連携していない」場合は、迷わず「有効」にする(ON)設定がおすすめです。
XMLRPC防御とは?
WordPressには「XML-RPC(エックスエムエル・アールピーシー)」という仕組みがあり、外部アプリ(スマホアプリなど)から記事投稿やログインをできるようにするための機能です。
しかし、この機能はあまり使われていないのに、攻撃者に悪用されやすいという側面もあります。
もし、スマホアプリからWordPressに投稿しているような場合は、この機能を有効にすると使えなくなる可能性があります。
そうした使い方をしていない限りは、「有効」で問題ありません。
9. ユーザー名漏えい防御
投稿者アーカイブなどからユーザー名が漏れるのを防ぎます。
- ✅ 推奨:有効にする
- 攻撃者にユーザー名を知られにくくなります
10. 更新通知
更新通知メールの無効化。
WordPressやプラグインの更新通知メールを止める機能です。
- ✅ 通知が多すぎると感じたら有効にすると快適
- 逆に通知を受け取りたいなら無効のまま
11. WAFチューニングサポート
WAFは強力ですが、WordPressの一部の動作(たとえば投稿の保存やテーマ編集など)を「怪しい動作」と誤判定してブロックしてしまうこともあります。
「WAFチューニングサポート」を有効にすることで、
WordPressが正常に動作するように調整(チューニング)をしてくれます。
- ✅ 必要に応じて「有効化」
- 有効にすることで、WAFによる“誤ブロック”を回避し、快適に使えるようになります。
- サイトのセキュリティを保ちながら、WordPressをスムーズに使えるようにしてくれる補助機能。
🔰 そもそも「WAF」とは?
WAF(ワフ)とは「Web Application Firewall(ウェブアプリケーション・ファイアウォール)」の略で、Webサイトに対する不正な攻撃を検知・防御してくれるセキュリティ機能です。
- 不正ログイン
- サイトの改ざん
- 悪意あるコードの送信 などをブロックしてくれます。
多くのレンタルサーバー(例:エックスサーバーやConoHa WINGなど)には、最初からこのWAFが導入されています。
12. ログイン履歴
誰がいつログインしたかを記録・表示する機能です。
- ✅ 推奨:有効にする
- 複数ユーザーでの運用時にも便利
■ 注意点・トラブル防止のポイント
- ログインURLはブックマークしておく:変更後に忘れるとログインできなくなります。
- キャッシュ系プラグインと併用時は注意:一部機能が干渉する場合があるので、表示に不具合があれば一時的に無効化して確認しましょう。
- 基本的には初期設定のままでも安心:わからない箇所があっても、そのままで充分効果があります。
■ まとめ
SiteGuard WP Pluginは、WordPressを安全に保つための「お守り」のような存在です。日本語で設定しやすく、初心者の方でも安心して導入できます。
ぜひこの記事を参考に、あなたのWordPressサイトのセキュリティをしっかり強化してみてください!
コメント