| 2025.04.14 | 「画像認証追加」に画面認証のイメージ画像を追加。 |
| 2025.04.15 | 類似プラグインについて概要を追加。 |
最近気づいたんですが、エックスサーバーのWordPress簡単インストールを使ってWordPressをインストールした時に、「CloudSecure WP Security 」というプラグインが自動インストールされることに気づきました。
どうやらセキュリティ系のプラグインで、「SiteGuard WP Plugin」や「XO Security」と同等の機能が実装されているようです。
これまで、「SiteGuard WP Plugin」や「XO Security」を利用してきましたが、エックスサーバーのWordPress簡単インストールを利用すると、「CloudSecure WP Security 」も一緒にインストールされるのですぐに設定ができます。
しかも、14項目中8項目はすでに設定済みの状態でインストールされるので、あとは残りの6項目を設定すればいいんです。
この記事では、「CloudSecure WP Security 」の設定方法について詳しく解説していきます。
エックスサーバーを利用している人は、ぜひ参考にしてください!
ちなみに、「CloudSecure WP Security 」はWordPressの公式プラグインとなっているので、WordPressの管理画面からもインストールできます。
つまり、エックスサーバー以外のサーバーでも使えるプラグインですよ!
「CloudSecure WP Security」以外の類似プラグインについて、簡単にまとめました。
- SiteGuard WP Plugin
-
サクッと設定を済ませたい場合におすすめです。
プラグイン「SiteGuard WP Plugin」は、かなり有名なプラグインで利用者も多いです。
以前は、ちょこちょこ問題がありましたが、現在は特に問題も発生せず安心して使えるプラグインとなっています。
インストール直後に設定済みとなる項目がいくつかあるので、あとは残りの項目を設定するだけで面倒なセキュリティ対策は完了します。
- XO Security
-
プラグイン「XO Security」は、設定項目がより細かく用意されているので、できるだけ様々な対策を実施したい場合におすすめです。
ただし、「SiteGuard WP Plugin」や「CloudSecure WP Security 」と異なり、インストールしても一部の項目が設定済みになったりしないので、全項目を1から設定する面倒くささはあります。
「CloudSecure WP Security 」の特徴
簡単に、「CloudSecure WP Security 」の特徴を書いてみました。
- エックスサーバーのWordPress簡単インストールで自動インストールされる
- エックスサーバーの関連会社が開発・提供しているプラグイン(無償)
- 既存プラグインと同等の機能を有している
- WordPress管理画面からインストールが可能(WordPress公式プラグイン)
- デフォルトでいくつかの項目が設定済み
- 設定マニュアルが充実
プラグインの詳細(マニュアル)については、以下の公式サイトで確認できます。
ちょっと補足しますが、「CloudSecure WP Security 」はインターネットセキュリティ事業を展開しているエックスサーバーの関連会社「クラウドセキュア株式会社」が開発し、無料提供しています。
出典元:クラウドセキュア株式会社
最初のリリースが2023年9月だったので、まだまだ若いプラグインですね。
とは言っても、サーバー事業のセキュリティに関するノウハウがフィードバックされているはずなので、安心して使えるプラグインになっていると思います。
「CloudSecure WP Security 」を使うメリット
「CloudSecure WP Security 」を使うメリットです。
エックスサーバーのWordPress簡単インストールで一緒にインストールされるというのは、さんざん書いてきたのでこれはちょっとおいといて。
このプラグインは、デフォルトで14項目中8項目が設定済み(有効化)の状態になっているんです。
つまり、あとは残りの項目について設定すればいいだけなので、さらに設定時間が短縮できますね。
ちなみに、設定済みの8項目は必須項目ばかりなので、不要な設定ではありません。
プラグインによっては、デフォルトで設定済みとなっている項目がないものもあるため、そういったプラグインは設定に時間がかかってしまいます。
個人的には設定が半分完了しているのは、かなりうれしいです!
「CloudSecure WP Security 」の使い方
では、「CloudSecure WP Security 」の使い方(設定方法)です。
エックスサーバー以外の利用者の場合は、自分で「CloudSecure WP Security 」をインストールする必要があるので、その手順からスタートします。
インストール/有効化
「CloudSecure WP Security 」をインストールして有効化します。
WordPressの管理メニューの「プラグイン」→「新規プラグインを追加」をクリック。
「CloudSecure WP Security 」を入力(自動で検索)
「今すぐインストール」→「有効化」をクリック。
有効化が終わったのでダッシュボードを開きます。
WordPressの管理メニューの「CloudSecure WP Security 」→「ダッシュボード」をクリック。
ダッシュボードが開き、既にデフォルトで設定されている項目(赤枠)があることがわかります。
設定推奨項目
これから、推奨される項目を設定していきます。
設定する項目は、赤枠の未設定項目となります。
マニュアルは、各設定項目画面の右上のリンクをクリックすればマニュアルのページが開きます。
ログインURL変更
不正アクセス対策として、標準のログインURL(https://ドメイン/wp-admin)から任意のURLに変更します。
①~③の順番でクリックします。
URLにはランダムな文字列が自動で入力されるので、特に個別に指定する文字列がなければこのまま使うことをおすすめします。
※②のチェックは必ずつけてください。
画像認証追加
不正アクセス対策(bot対策)として、ログイン画面などに画像認証を追加します。
ログイン画面以外も画像認証になるように、全て有効にし「有効」→「変更を保存」をクリック。
ログインフォームの画像認証
コメントフォームの画像認証
パスワードリセットフォームの画像認証
管理画面アクセス制限
管理画面にログインしていないIPアドレスから、管理ページへのアクセスを制限します。
「有効」→「変更を保存」をクリック。
REST API無効化
プログラムからWordPressへのアクセスができるAPIを悪用されれないようにします。
ただし、インストールしたプラグインはAPIの利用を許可するため、除外設定が必要です。
「REST API無効化」の画面を開くと、右に現在使われている(有効化)されているプラグインが表示されるので、すべて「+」をクリックして、左の「除外プラグイン」に移動させます。
左にはデフォルトで3つのプラグインが表示されますが、インストールしていない場合は削除してください。
以下の画面になるので、「有効」→「変更を保存」をクリック。
設定不要項目(設定済)
デフォルトで設定済み(有効化)の項目は、基本的には変更しなくても問題ありません。
ここでは、設定内容を確認します。
内容を確認して、必要があれば変更してもいいですよ。
ログイン無効化
連続でログインを試行された時の無効化設定です。
ログインエラーメッセージ統一
WordPressのログイン画面で、ユーザー名やパスワードを間違った時のエラーメッセージにはユーザー名が表示されてしまうので、表示されないように統一されたメッセージを表示します。
上記設定画面には統一されたメッセージは表示されていませんが、実際にエラーメッセージを表示させてみると、「入力に誤りがあります」と表示されます。
設定ファイルアクセス防止
WordPressのサイトで重要な設定ファイル(wp-config.php、.htaccess)へのアクセスを防ぎます。
ユーザー名漏えい防止
「https://ドメイン/?author=1」でアクセスした時に、何も対策していない場合はユーザーIDが「1」のユーザー名が表示されてしまうので、これを防ぐための設定です。
以下の画像は対策していない時の結果です。
設定が有効になっていると、URLにユーザー名が表示されず、「404 Not Found」のページが表示されます。
XML-RPC無効化
XML-PC経由での攻撃などによる不正ログインを無効化します。
ログイン通知
WordPressにログインがあるたびに、ログイン情報をメールで通知する設定です。
実際に誰かがログインすると、以下のログイン通知メールが送信されます。
サイトを開設したばかりの頃は頻繁にWordPressにログインするので、ログイン通知もかなりの数が届きます。
この通知メールがわずらわしいと思う場合は、セキュリティ的にはあまりよろしくないですが、一時的に設定を無効にしてもいいかもしれません。
ただし、作業が落ち着いてきた頃には再度設定を有効にするのを忘れないようにしましょう。
アップデート通知
WordPress、テーマ、プラグインのアップデートにより、更新が必要なことをメールで通知する設定です。
実際に届くアップデート通知メールは以下のようなものです。
サーバーエラー通知
サーバーエラーの「500 Internal Server Error」が発生したことをメールで通知する設定です。
適宜設定項目
最後は、必要に応じて適宜設定をする項目で、「2段階認証」と「シンプルWAF」があります。
2段階認証
より厳しい2段階認証でのログインを有効化する設定です。
2段階認証は、「Google Authenticator」アプリの導入など、利用できるまでに多少手間がかかります。
シンプルWAF
WordPressに対する以下の攻撃をを遮断し、403エラーを表示します。
エックスサーバーのサーバーパネルでWAFを有効にしている場合は、この設定は有効にしないでください。
他のレンタルサーバーでWAFを有効にしている場合も同様です。
まとめ
1つがデフォルトで14項目中8項目が設定済みになっていること。
そのため、設定にかかる時間を極力抑えることができます。
もう1つは、エックスサーバー利用者限定ですが、WordPressと同時に「CloudSecure WP Security 」もインストールできるため、個別のインストールが不要になることです。
また、WordPressの管理画面でインストールできるので、エックスサーバー外の利用者でも使うことができます。
既存プラグインと比較しても機能面でも劣る部分はないので、設定時間が短縮できる「CloudSecure WP Security 」はおすすめです。
コメント