はじめに:WordPressのセキュリティ、本当に大丈夫?
「WordPressでブログを始めたけど、セキュリティって何から手をつけていいか分からない…」
「不正ログインとか、なんだか怖いニュースをよく見るけど、自分のサイトは大丈夫かな?」
ブログやサイトを運営していると、こんな不安が頭をよぎること、ありますよね。せっかく書いた記事や、集めた読者さんを、悪意のある攻撃で一瞬にして失ってしまうなんて、考えただけでもゾッとします。
実際、WordPressは世界中のWebサイトの約43%で使われているという人気のCMSですが、その人気ゆえに、攻撃者たちの格好の標的にもなっています。毎日のように、どこかのWordPressサイトが不正ログインやマルウェア感染の被害に遭っているのが現実です。
でも、セキュリティ対策って専門用語が多くて、なんだか難しそう…。そんなふうに感じているWordPress初心者の方に、ぜひ知っておいてほしいのが、今回ご紹介する「SiteGuard WP Plugin」です。
このプラグインは、日本の会社が開発した、無料で使えるセキュリティ対策プラグイン。難しい設定はほとんどなく、インストールして有効化するだけで、あなたのWordPressサイトの守りをグッと固めてくれる、まさに「お守り」のような存在なんです。
この記事では、僕が実際に自分のサイトで設定している内容も交えながら、SiteGuard WP Pluginのインストール方法から、初心者でも迷わない推奨設定まで、一つひとつ丁寧に解説していきます。この記事を読み終える頃には、きっとセキュリティ対策への不安が、安心に変わっているはずですよ。
SiteGuard WP Pluginってどんなプラグイン?
SiteGuard WP Pluginは、数あるWordPressのセキュリティプラグインの中でも、特に「不正ログイン対策」に特化しているのが大きな特徴です。
海外製の高機能なプラグイン(例えばWordfenceやSucuri Securityなど)は、マルウェアスキャンやファイアウォールなど、たくさんの機能があってすごいのですが、英語表記だったり設定項目が多すぎたりして、初心者にはちょっとハードルが高いことも…。
その点、SiteGuardは日本の「EGセキュアソリューションズ」という会社が作っている純国産プラグイン。管理画面はもちろん日本語で、設定項目もシンプル。WordPressを始めたばかりの方でも、直感的に操作できるのが嬉しいポイントです。
SiteGuardの主な機能
主な機能はこんな感じです。
- ログインページのURLを変更:攻撃者が一番最初に狙う場所を隠してしまう
- 画像認証(CAPTCHA):機械による自動ログイン試行をシャットアウト
- ログインロック:何度もログインに失敗する怪しいアクセスをブロック
- ログインアラート:ログインがあるたびにメールで通知
- XMLRPC防御:古い仕組みを悪用した攻撃を防ぐ
- ユーザー名漏えい防御:ログインに使うユーザー名が外部に漏れるのを防ぐ
これらを組み合わせることで、WordPressの乗っ取りを狙う攻撃の多くを、未然に防ぐことができるようになります。無料でここまでできるなんて、本当にありがたいですよね。
なぜ不正ログイン対策が重要なのか?
WordPressへの攻撃の中でも、最も多いのが「ブルートフォース攻撃(総当たり攻撃)」と呼ばれる、ログインページに対する攻撃です。これは、プログラムを使って、何千、何万通りものパスワードを自動的に試して、正しいパスワードを見つけ出そうとする攻撃方法です。
一度ログインを許してしまうと、サイトの内容を勝手に書き換えられたり、マルウェアを仕込まれたり、訪問者の個人情報を盗まれたりと、取り返しのつかない被害につながります。
だからこそ、ログインページをしっかり守ることが、WordPressセキュリティの第一歩なんです。
インストールと有効化:まずはここから始めよう!
それでは、さっそくSiteGuardを導入してみましょう。手順はとっても簡単です。
インストール手順
- WordPressの管理画面にログインし、左側メニューの「プラグイン」→「新規追加」をクリックします。
- 右上の検索窓に「SiteGuard WP Plugin」と入力します。
- おなじみの盾のアイコンが出てきたら、「今すぐインストール」をクリック。
- インストールが終わったら、「有効化」ボタンをクリックします。
たったこれだけで、基本的なセキュリティ機能が自動的に有効になります。
【超重要!】有効化したら、まずログインURLを確認!
SiteGuardを有効化すると、セキュリティ強化のために、WordPressのログインページのURLが自動的に変更されます。
今までの https://あなたのドメイン/wp-login.php ではログインできなくなりますので、慌てないでくださいね。
有効化すると、WordPressに登録しているメールアドレス宛に、新しいログインURLが記載されたメールが届きます。まずはそのメールを確認し、記載されている新しいログインURLを必ずブックマークしておきましょう。
メールの件名は「ログインページURLが変更されました」といった内容で、本文には次のような情報が記載されています。
ログインページURL https://あなたのドメイン/login_12345この「login_12345」の部分は、ランダムな数字になっています。これが、あなただけの新しいログインページのアドレスです。
ログインできなくなった時の対処法
もしメールが届かない場合や、ブックマークを忘れてログインできなくなってしまった場合は、以下の方法で復旧できます。
- FTPソフト(FileZillaなど)でサーバーに接続
wp-content/plugins/siteguardフォルダを見つける- フォルダ名を
siteguard_backupなどに変更(これでプラグインが一時的に無効化されます) - 通常の
wp-login.phpでログイン - 管理画面からSiteGuardを再度有効化
- SiteGuardの設定画面で新しいログインURLを確認してブックマーク
- FTPで変更したフォルダ名を元に戻す
ちょっと手間ですが、この方法を知っておけば、万が一の時も安心です。
【推奨設定】これだけはやっておきたい!SiteGuardの主要機能と設定方法
SiteGuardを有効化すると、左側メニューに「SiteGuard」という項目が追加されます。ここから各種設定を行いますが、基本的にはデフォルト(初期設定)のままでも十分に強力です。
ここでは、特に確認・変更しておきたい「これだけはやっておけ!」という設定を厳選してご紹介します。
1. ログインページ変更:攻撃者から隠れるための第一歩
これがSiteGuardの最も強力な機能です。WordPressのログインページは、デフォルトでは wp-login.php という名前なので、攻撃者はこのURLを狙って集中的に攻撃を仕掛けてきます。
このログインページの名前を、自分しか知らない名前に変えてしまうことで、攻撃の的になるのを防ぎます。玄関のドアを隠してしまうようなイメージですね。
- 設定場所:SiteGuard > ログインページ変更
- 推奨設定:ON(デフォルト)
- 変更後のURL例:
https://あなたのドメイン/login_12345
おすすめの追加設定
「管理者ページからログインページへリダイレクトしない」のチェックボックスをONにしておきましょう。
これをONにしておくと、万が一、管理画面(/wp-admin/)に直接アクセスされても、ログインページに飛ばされなくなるため、より安全性が高まります。攻撃者が「あれ?ログインページはどこだ?」と迷子になるわけです。
ログインページ名をカスタマイズする場合の注意点
デフォルトでは「login_12345」のようなランダムな名前になりますが、これは自由に変更できます。ただし、以下の点に注意してください。
- 推測されやすい名前(login、admin、signin など)は避ける
- 自分のサイト名やドメイン名に関連する名前も避ける
- 英数字を組み合わせた、ランダムな文字列がベスト
2. 画像認証(CAPTCHA):機械による攻撃をシャットアウト
ログインページに、ひらがなや英数字の画像認証を追加する機能です。これにより、プログラム(ボット)による自動的な総当たり攻撃(ブルートフォース攻撃)を効果的に防ぐことができます。
- 設定場所:SiteGuard > 画像認証
- 推奨設定:ON(デフォルト)
- 認証文字の種類:ひらがな / 英数字
認証文字は「ひらがな」と「英数字」から選べますが、海外からの攻撃が多いことを考えると、ひらがなにしておくのがおすすめです。海外のボットは日本語の文字認識が苦手なことが多いからです。
画像認証を有効にする場所
画像認証は、以下の場所に設定できます。
- ログインページ:必ずONにしましょう
- コメント欄:スパムコメント対策として有効(ただし、読者の利便性を考えるとOFFでも可)
- パスワードリセットページ:ONにしておくと安心
- ユーザー登録ページ:会員制サイトの場合はON推奨
3. ログインロック:しつこい攻撃者を締め出す
短時間に何度もログインに失敗した接続元(IPアドレス)を、一定時間ブロックする機能です。総当たり攻撃への対策として非常に有効です。
- 設定場所:SiteGuard > ログインロック
- 推奨設定:ON(デフォルト)
推奨のロック設定
デフォルトでは「15分間に5回失敗したら、30分間ロック」となっていますが、もう少し厳しくしても良いかもしれません。
僕の場合は以下のように設定しています。
- 期間:1分間
- 回数:3回
- ロック時間:10分間
つまり、「1分間に3回失敗したら、10分間ロック」という設定です。
自分でパスワードを間違えてロックされてしまっても、10分待てばまた試せるので、これくらいが丁度いいかなと。一方で、プログラムによる高速な攻撃は、ほぼ確実にブロックできます。
ロックされた場合の解除方法
もし自分がロックされてしまった場合、基本的には指定した時間(上記の例では10分)待てば自動的に解除されます。
ただし、すぐにログインしたい場合は、以下の方法があります。
- 別のネットワークから接続する(スマホの4G回線など、IPアドレスが変わる環境)
- FTPでプラグインを一時無効化する(前述の方法と同じ)
4. ログイン詳細エラーメッセージの無効化:攻撃者にヒントを与えない
WordPressは通常、ログインに失敗した際に「ユーザー名が違います」とか「パスワードが違います」といった親切なエラーメッセージを表示します。
しかし、これは攻撃者にとって「このユーザー名は存在するんだな」というヒントを与えてしまうことになります。ユーザー名が分かれば、あとはパスワードを当てるだけなので、攻撃の難易度が下がってしまうんです。
この機能をONにすると、どんな失敗でも「ログインに失敗しました」という、あいまいなメッセージに統一してくれます。
- 設定場所:SiteGuard > ログイン詳細エラーメッセージの無効化
- 推奨設定:ON(デフォルト)
これは特に理由がなければONのままでOKです。ユーザビリティを少し犠牲にしますが、セキュリティ向上のためには必要な措置です。
5. ログインアラート:不正ログインをいち早く察知
ログインがあるたびに、管理者のメールアドレスに通知メールを送ってくれる機能です。
- 設定場所:SiteGuard > ログインアラート
- 推奨設定:ON(デフォルト)/ 頻繁にログインする場合は OFF
この機能の良いところは、万が一、第三者に不正ログインされてしまった場合でも、すぐに気づくことができる点です。身に覚えのないログイン通知が来たら、すぐにパスワードを変更するなどの対応ができます。
ただし、自分が一日に何度もログインするような使い方をしている場合、その度にメールが届くのが煩わしく感じることもあります。その場合は、OFFにしても構いません。
僕の場合は、複数のサイトを管理していて、毎日何度もログインするので、この機能はOFFにしています。代わりに、定期的にログイン履歴をチェックするようにしています。
6. XMLRPC防御:古い仕組みからの侵入を防ぐ
XML-RPCは、昔のスマホアプリなどからWordPressを更新するために使われていた仕組みですが、現在ではあまり使われておらず、ブルートフォース攻撃の標的になりやすいという弱点があります。
- 設定場所:SiteGuard > XMLRPC防御
- 推奨設定:XML-RPC機能を無効化
デフォルトでは「ピンバック無効化」になっていますが、特にXML-RPCを使う予定がなければ「XML-RPC機能を無効化」に設定して、完全に機能を止めてしまうのが最も安全です。
XML-RPCを使っているか確認する方法
もし「自分がXML-RPCを使っているかどうか分からない」という場合は、以下を確認してください。
- スマホアプリ(WordPress公式アプリなど)からサイトを更新していない
- Jetpackプラグインを使っていない(または、Jetpackの設定でXML-RPCを使わない設定にしている)
これらに該当しなければ、安心して無効化してOKです。
7. ユーザー名漏えい防御:あなたの名前、隠せていますか?
実は、WordPressは /?author=1 のようなURLにアクセスすると、ユーザーIDが1の人のユーザー名(ログイン時に使う名前)が表示されてしまう、という弱点があります。
ユーザー名がバレてしまうと、あとはパスワードさえ分かればログインできてしまうので、攻撃の難易度が下がってしまいます。
この機能をONにすることで、この弱点をふさいでくれます。
- 設定場所:SiteGuard > ユーザー名漏えい防御
- 推奨設定:ON(デフォルトはOFFなので、必ず変更!)
これはデフォルトではOFFになっているので、忘れずに「有効」に変更しておきましょう。
REST APIの設定について
同じ画面に「REST APIによるユーザー名漏えいを防ぐ」という項目もあります。これをONにすると、REST API経由でのユーザー名取得もブロックできますが、一部のプラグインやテーマが動作しなくなる可能性があります。
基本的にはOFFのままにしておき、問題が起きなければONにする、という慎重なアプローチがおすすめです。
8. 更新通知:アップデートを見逃さない
WordPress本体、プラグイン、テーマに更新があった場合、管理者にメールで通知してくれる機能です。
- 設定場所:SiteGuard > 更新通知
- 推奨設定:無効 / 更新をいち早く知りたい場合は ON
この機能は、セキュリティというよりは、サイト管理の利便性を高めるためのものです。
更新通知をいち早く受け取りたい方はONにしておくと良いでしょう。ただし、プラグインをたくさん入れていると、頻繁にメールが届くことになります。
僕の場合は、週に一度、決まった曜日に管理画面をチェックして更新する習慣をつけているので、この機能は無効にしています。
その他の機能:状況に応じて使い分けよう
ここまで紹介した機能以外にも、SiteGuardにはいくつかの機能があります。状況に応じて使い分けましょう。
管理ページアクセス制限
ログインしていないIPアドレスからの管理画面(/wp-admin/以下のページ)へのアクセスを完全にブロックする機能です。
- 推奨設定:OFF(デフォルト)
この機能は非常に強力ですが、以下のようなデメリットもあります。
- IPアドレスが変わる環境(スマホ、カフェのWi-Fiなど)からアクセスできなくなる
- 他のプラグイン(例:お問い合わせフォームプラグイン)が正常に動作しなくなることがある
基本的にはOFFのままにしておくのが無難です。どうしても使いたい場合は、固定IPアドレスの環境でのみ有効にしましょう。
フェールワンス
正しいユーザー名とパスワードを入力しても、一回目は必ずログインを失敗させる機能です。
- 推奨設定:OFF(デフォルト)
これは「リスト型攻撃」(流出したパスワードリストを使った攻撃)への対策として有効ですが、ユーザビリティを大きく損ないます。
毎回、正しいパスワードを2回入力しなければならないのは、かなりストレスですよね。よほどの理由がない限り、OFFのままで良いでしょう。
WAFチューニングサポート
WAF(Web Application Firewall)の誤検知が起きた際に、除外ルールを作成する機能です。
- 推奨設定:基本的には触らない
これは、レンタルサーバーにWAF機能がある場合(エックスサーバー、ロリポップなど)に、WAFが正常なアクセスを誤って攻撃と判断してブロックしてしまった時に使う機能です。
通常は触る必要がありませんが、「記事の保存ができない」「プラグインの設定が保存できない」といった問題が起きた時に、この機能を使って除外設定を行います。
SiteGuardを使う上での注意点
とても便利なSiteGuardですが、いくつか知っておきたい注意点もあります。
ログインURLは絶対に忘れないこと
先ほども書きましたが、これが一番大事です。ブックマーク必須です!
パスワード管理ツール(1Password、Bitwardenなど)を使っている方は、そこにログインURLも一緒に保存しておくと安心です。
他のセキュリティプラグインとの併用は慎重に
複数のセキュリティプラグインを有効にすると、機能が衝突してサイトが動かなくなることがあります。
SiteGuardを使うなら、他の多機能なセキュリティプラグイン(Wordfence、iThemes Securityなど)は停止しておくのが良いでしょう。
ただし、バックアップ専門のプラグイン(UpdraftPlus、BackWPupなど)や、マルウェアスキャン専門のプラグインとの併用は問題ありません。
設定変更後は必ず動作確認を
設定を変更したら、必ず以下の点を確認しましょう。
- 新しいログインURLでログインできるか
- ログアウト後、再度ログインできるか
- 管理画面が正常に表示されるか
- 記事の投稿・更新ができるか
特に、ログインロックの設定を厳しくした場合は、自分がロックされないか、実際に試してみることをおすすめします。
まとめ:SiteGuardでWordPressセキュリティの第一歩を踏み出そう!
お疲れ様でした!今回は、WordPress初心者におすすめのセキュリティプラグイン「SiteGuard WP Plugin」の設定方法と使い方を詳しく見てきました。
改めて、SiteGuardの魅力をまとめると、こんな感じです。
- 日本語完全対応で、初心者でも分かりやすい
- 無料で使える
- インストール後すぐに基本的なセキュリティ対策が有効になる
- 不正ログイン対策に特化していて、効果が高い
- 設定項目がシンプルで、迷わない
SiteGuardは、特に不正ログイン対策に強く、難しい設定なしでサイトの安全性を大きく向上させてくれる、本当に頼りになるプラグインです。この記事で紹介した推奨設定を参考に、ぜひあなたのサイトにも導入してみてください。
ただし、覚えておいてほしいのは、SiteGuardを導入したからといって100%安全が保証されるわけではない、ということです。セキュリティ対策は、一つの方法に頼るのではなく、複数の対策を組み合わせる「多層防御」の考え方がとても大切です。
SiteGuardによる不正ログイン対策と合わせて、以下の基本的な対策も忘れずに行いましょう。
- WordPress本体、プラグイン、テーマは常に最新版に更新
- 推測されにくい強力なパスワードを使う(12文字以上、英数字+記号の組み合わせ)
- 定期的にサイトのバックアップを取る
- 信頼できるプラグインだけをインストールする(長期間更新されていないプラグインは避ける)
- 使っていないプラグインやテーマは削除する
これらを組み合わせることで、あなたのWordPressサイトはさらに安全なものになります。
セキュリティ対策は、一度やったら終わり、ではありません。サイトを運営していく限り、常に意識し続ける必要があります。でも、最初の一歩を踏み出すことが、一番大事です。
この記事が、あなたのWordPressライフをより安全で、より楽しいものにするための一助となれば、とても嬉しいです。
「うちのサイト、今どのくらい安全なんだろう?」
そんな疑問を持った方は、まずセキュリティ診断を受けてみるのもいいかもしれません。最近では、30秒ほどでサイトの安全性をチェックできる無料診断サービスもあります。暗号化の設定やプラグインの脆弱性、情報漏れのリスクなど、気になるポイントを一通り確認できます。
WordPressセキュリティ診断 https://rescue-wordpress.com
実は、毎日100サイト以上がハッキングの被害に遭っているという現実があります。「まさか自分のサイトが狙われるなんて」と思っていても、被害は突然やってきます。
早めに問題を見つけて対処しておけば、大きなトラブルを未然に防げます。まずは自分のサイトの「健康診断」から始めてみませんか?