2025年10月28日

  • シェア
  • ツイート

    • 2025年10月28日

    iThemes Securityプラグインの導入ガイド

    WordPressが乗っ取られた…悪夢からの生還劇とiThemes Securityという名の救世主

    あれは確か、2年前の秋だったと思う。

    クライアントから電話がかかってきて、「あの、サイトがおかしいんですけど…」って言われた瞬間、背筋が凍った。急いでブラウザで確認したら、見慣れたトップページじゃなくて、意味不明な外国語の羅列。しかもなんか怪しいリンクがいっぱい貼ってある。

    「あ、これ、やられた…」

    頭が真っ白になった。手が震えて、マウスをまともに動かせない。

    当時の僕は、WordPressのセキュリティなんて、ほとんど気にしてなかった。いや、正確に言うと「パスワードさえ複雑にしとけば大丈夫でしょ」くらいの認識だった。甘かった。本当に甘かった。

    結局、そのサイトは完全に改ざんされてて、復旧に丸3日かかった。クライアントからの信頼は地に落ちたし、精神的にもボロボロ。あの時の絶望感は、今でも思い出すと胃が痛くなる。

    で、その後必死になって調べまくって、たどり着いたのが「iThemes Security」(今は「Solid Security」って名前に変わってる)っていうプラグインだった。最初は半信半疑だったんだけど、これが本当に救世主だった。今回は、あの地獄のような経験から学んだこと、そしてiThemes Securityの使い方を、包み隠さず全部書いていく。

    なんでWordPressってこんなに狙われるんだ?

    本題に入る前に、ちょっとだけ。

    WordPressって、世界中のWebサイトの40%以上で使われてるんだよね。つまり、ハッカーからしたら「効率よく攻撃できるターゲット」なわけ。一つの脆弱性を見つければ、何万ものサイトを攻撃できる。そりゃ狙われるよね。

    しかも、WordPressって初心者でも簡単に使えるのが売りだから、セキュリティ対策が甘いサイトも多い。僕もその一人だった。恥ずかしい話だけど。

    iThemes Securityの「これだけは使え!」な7つの機能

    iThemes Securityは、正直言って機能が多すぎる。最初に管理画面を開いた時、「うわ、英語だらけじゃん…」って思って、ちょっと後悔した(笑)。でも、実際に使い込んでみると、本当に頼りになる。

    ここでは、僕が「これは絶対に設定しとけ!」って思う機能を7つ紹介する。全部使いこなす必要はないから、まずはこの7つだけでも設定してほしい。

    その1:ログインURLを変える

    WordPressのログイン画面って、デフォルトだと「yoursite.com/wp-login.php」とか「yoursite.com/wp-admin」なんだよね。これ、世界中のハッカーが知ってる。つまり、玄関のドアに「ここから入れますよー!」って看板を立ててるようなもん。

    iThemes Securityを使えば、このURLを好きな文字列に変更できる。例えば「yoursite.com/my-secret-login-page-2024」みたいに。これだけで、無差別攻撃の99%はシャットアウトできる。マジで。

    僕は最初、「admin-login」とか安易な名前にしてたんだけど、それでも攻撃が来たから、今はもっとランダムな文字列にしてる。あと、変更したURLは絶対にブックマークしといた方がいい。忘れると自分がログインできなくなるから(経験談)。

    その2:二段階認証は面倒だけど必須

    これ、設定するの面倒なんだよね。ログインするたびに、メールで送られてくるコードを入力しなきゃいけない。でも、これがあるとないとじゃ、セキュリティレベルが全然違う。

    たとえパスワードが漏れても、スマホに届くコードがないとログインできない。つまり、物理的にスマホを持ってる人じゃないと入れない。これ、めちゃくちゃ強力。

    僕も最初は「毎回コード入力とかダルいな…」って思ってたけど、一度サイトを乗っ取られた経験があると、この一手間がどれだけ大事か身に染みてわかる。今では、むしろコードを入力するたびに「よし、守られてる」って安心感がある。

    その3:ファイルが勝手に変わってないかチェック

    ハッカーがサイトに侵入すると、何をするか知ってる?ファイルを書き換えて、バックドア(裏口)を仕掛けるんだよ。そうすると、たとえパスワードを変更しても、また侵入できちゃう。

    iThemes Securityには、ファイルの変更を検知する機能がある。WordPressのコアファイルやプラグイン、テーマが勝手に書き換えられたら、すぐに通知が来る。

    僕が乗っ取られた時、この機能があればもっと早く気づけたはず。被害が拡大する前に対処できたかもしれない。本当に、これは必須。

    その4:しつこいログイン攻撃を自動でブロック

    ブルートフォース攻撃って知ってる?要は、パスワードを総当たりで試しまくる攻撃。1秒間に何百回もログインを試行してくる。

    iThemes Securityは、「5分以内に3回ログイン失敗したら、そのIPアドレスを24時間ブロック」みたいな設定ができる。これで、機械的な攻撃は完全に防げる。

    実際、この機能を有効にしてから、ログを見ると毎日のように攻撃がブロックされてる。ゾッとするよね。でも、ちゃんと守られてるって実感もある。

    その5:データベースのテーブル名を変える

    ちょっと専門的な話になるけど、WordPressのデータベースって、デフォルトだと「wp_」っていう接頭辞(プレフィックス)が使われてる。例えば、ユーザー情報のテーブルは「wp_users」みたいな。

    これも、ハッカーは知ってる。だから、SQLインジェクションっていう攻撃で、データベースを直接狙ってくる。

    iThemes Securityを使えば、この「wp_」を別の文字列に変更できる。例えば「xyz123_」とか。これだけで、データベース攻撃のリスクがグッと下がる。

    その6:怪しいボットを追い出す

    インターネット上には、サイトの脆弱性を探して巡回してる悪質なボットがウヨウヨいる。iThemes Securityは、こういうボットを検出して、アクセスをブロックしてくれる。

    サーバーへの負荷も減るし、一石二鳥。

    その7:サイトの健康診断

    iThemes Securityには、サイト全体をスキャンして、セキュリティ上の問題点を教えてくれる機能がある。「ここが弱いですよ」「この設定を変えた方がいいですよ」って、具体的にアドバイスしてくれる。

    僕は月に一回、この健康診断を実行してる。で、問題があったらすぐに対処。これを習慣にするだけで、かなり安心感が違う。

    初期設定で地獄を見た話

    さて、ここからが本題。iThemes Securityの初期設定。

    正直に言う。僕は最初、この設定で地獄を見た。

    何が地獄だったかって、設定項目が多すぎるし、英語だし、何をどう設定すればいいのか全然わからなかった。適当に設定したら、サイトが真っ白になって、自分自身がログインできなくなった。あの時は本気で泣きそうになった。

    でも、何度も失敗して、ようやく「正しい設定の仕方」がわかってきた。だから、ここでは僕が失敗した経験を踏まえて、初心者でも迷わない設定方法を解説する。

    まずはインストール

    これは簡単。WordPress管理画面の「プラグイン」→「新規追加」で、「Solid Security」って検索して、インストール→有効化。

    # WordPress管理画面での操作手順
1. 左メニューの「プラグイン」をクリック
2. 「新規追加」をクリック
3. 検索窓に「Solid Security」と入力
4. 「今すぐインストール」→「有効化」

    ここまでは誰でもできる。問題はこの後。

    セットアップウィザードが始まる

    有効化すると、セットアップウィザードが始まる。英語で表示されることもあるけど、落ち着いて進めれば大丈夫。

    1. サイトのタイプを選ぶ

    「Blog」とか「E-commerce」とか選択肢が出てくる。個人ブログなら「Blog」でOK。

    2. 誰のサイト?

    「Myself」(自分自身)を選べばいい。

    3. セキュリティ機能を選ぶ(ここ重要!)

    ここで、どの機能を有効にするか選ぶ。基本的には「Recommended」(推奨設定)でいいんだけど、以下の項目は必ずチェックしてほしい。

    • Two-Factor Authentication(二段階認証): 絶対に「Enabled」に!
    • Local Brute Force Protection: これも「Enabled」に!
    • Network Brute Force Protection: これも有効にしとこう。

    4. IPアドレスのホワイトリスト

    ここ、マジで重要。自分のIPアドレスを登録しておかないと、設定ミスった時に自分がサイトから締め出される。

    僕は一度、これを忘れて、自分自身がブロックされた。レンタルサーバーの管理画面から、FTPでプラグインを無効化して、なんとか復旧したけど、めちゃくちゃ焦った。

    自分のIPアドレスは、「IPアドレス 確認」でググれば、すぐに調べられる。ただし、家のWi-Fiとか、プロバイダから割り当てられるIPアドレスは変わることがあるから、固定IPじゃない人は、ホワイトリストに登録しない方が無難かも。

    ダッシュボードでの詳細設定

    ウィザードが終わると、詳細設定のダッシュボードに移る。ここで、さらに細かく設定できる。

    Global Settings(全体設定)

    通知メールの設定とか。英語のメールが大量に届くとパニックになるから、本当に重要な通知だけ受け取るように設定した方がいい。僕は最初、全部の通知をオンにしてたら、毎日10通以上メールが来て、うんざりした。

    Hide Backend(ログインURL変更)

    ここでログインURLを変更する。変更したURLは、絶対にブックマークしておくこと!忘れたら、自分がログインできなくなる。マジで。

    File Change Detection(ファイル変更検知)

    これを有効にすると、ファイルが変更された時に通知が来る。最初にスキャンを実行すると、変更があったファイルの一覧が表示される。

    僕がやらかした失敗談3選

    ここで、僕が実際にやらかした失敗を3つ紹介する。これを読んで、同じ過ちを繰り返さないでほしい。

    失敗その1:404検出を厳しくしすぎてGoogleをブロック

    iThemes Securityには、存在しないページ(404エラー)に何度もアクセスするIPアドレスを自動でブロックする機能がある。これ自体は便利なんだけど、僕は「3回アクセスで即ブロック」みたいに厳しく設定しちゃった。

    そしたら、Googleのクローラーまでブロックされて、検索順位が急落。慌ててホワイトリストにGoogleのIPアドレスを追加したけど、冷や汗ダラダラだった。

    教訓:設定は厳しくしすぎない。ほどほどが大事。

    失敗その2:管理者ユーザー名を変更して忘れる

    セキュリティのために、デフォルトの「admin」から別のユーザー名に変更した。これ自体は正しい対策なんだけど、新しいユーザー名をメモし忘れて、ログインできなくなった。

    幸い、僕はメモしてたから大丈夫だったけど、友人は忘れちゃって、phpMyAdminでデータベースを直接いじって復旧する羽目になった。めちゃくちゃ大変だったらしい。

    教訓:変更したユーザー名は必ずメモ!パスワード管理ツールに保存しとくのがベスト。

    失敗その3:XML-RPCを無効にしてプラグインが動かなくなった

    XML-RPCっていうのは、外部からWordPressを操作するための機能。これ、攻撃に悪用されることが多いから、無効にするのが推奨されてる。

    で、僕も無効にしたんだけど、そしたらスマホアプリから記事を投稿できなくなった。当時、移動中にスマホで記事を書くことが多かったから、めちゃくちゃ不便だった。

    結局、XML-RPCは有効に戻して、別の方法でセキュリティを強化した。

    教訓:設定を変える前に、「この機能を無効にすると、何が影響を受けるか」を必ず調べる。

    無料版で十分?それとも有料版?

    iThemes Securityには、無料版と有料版(Pro版)がある。

    結論から言うと、個人ブログや中小規模のサイトなら、無料版で十分

    無料版でも、ログインURL変更、二段階認証、ブルートフォース攻撃対策、ファイル変更検知など、基本的な機能は全部使える。僕も、自分のブログは無料版で運用してる。

    じゃあ、有料版はどんな時に必要かっていうと、

    • ECサイトや会員制サイトで、顧客情報を扱う場合
    • 複数のサイトを一元管理したい場合
    • WAF(Webアプリケーションファイアウォール)が必要な場合

    こういうケースだね。僕は、クライアントのECサイトを管理する時だけ、有料版を使ってる。お客様の個人情報を預かってる以上、できる限りの対策はしておきたいから。

    でも、趣味のブログとか、情報発信サイトなら、無料版で全く問題ない。無理に有料版を使う必要はないよ。

    他のプラグインと比べてどうなの?

    WordPressのセキュリティプラグインって、他にもいっぱいある。代表的なのは「Wordfence Security」と「All In One WP Security & Firewall」。

    Wordfenceは、リアルタイムでトラフィックを監視してくれる。ダッシュボードも見やすくて、初心者向け。ただ、サーバーへの負荷がやや大きい。

    All In One WP Securityは、軽量でシンプル。設定も簡単。ただ、iThemes Securityほど細かい設定はできない。

    iThemes Securityは、機能が豊富で、細かくカスタマイズできる。ただ、設定項目が多くて、英語表記も多いから、初心者にはちょっとハードル高いかも。

    僕の感覚だと、「初心者ならWordfence、軽さ重視ならAll In One、細かく設定したいならiThemes Security」って感じ。

    どれを選ぶにせよ、「何もしない」よりは100倍マシ。まずは、どれか一つでもいいから、今すぐ入れてほしい。

    あの悪夢から2年、今思うこと

    iThemes Securityを導入してから、もう2年が経つ。

    あの時の悪夢は、今でも鮮明に覚えてる。クライアントからの電話、真っ白になった頭、震える手。でも、あの経験があったからこそ、今の僕がある。

    セキュリティ対策って、「一度やったら終わり」じゃない。定期的にログをチェックして、プラグインを最新に保って、バックアップを取る。この地道な作業の繰り返し。

    正直、面倒くさい。でも、あの悪夢を二度と味わいたくないから、僕は今でも週に一度、iThemes Securityのダッシュボードを開いて、ログをチェックしてる。

    で、「今週も無事だった」って確認できた時の安心感。これは何物にも代えがたい。

    もし、あなたが過去の僕みたいに、「セキュリティ?まあ大丈夫でしょ」って思ってるなら、今すぐ考えを改めてほしい。被害に遭ってからじゃ遅い。本当に。

    iThemes Securityは、設定が少し面倒かもしれない。でも、この記事を参考にすれば、きっと乗り越えられる。

    そして、安心してサイト運営に集中できる未来を手に入れてほしい。

    不安なら、プロに相談するのもアリ

    「自分で設定するの、やっぱり不安…」って人もいるよね。わかる。僕も最初はそうだった。

    そういう時は、プロに相談するのも一つの手。以下のサイトでは、WordPress専門のセキュリティ診断サービスを提供してる。無料診断もあるから、一度チェックしてもらうといいかも。

    WordPressセキュリティ診断・復旧・保守【ワードプレスレスキュー】

    お気軽にご相談ください

    お見積りへ お問い合わせへ
    閉じる