WordPressサイトを運営するうえで、セキュリティ対策は欠かせない要素のひとつ。特に、管理画面への不正アクセスやログインページへの攻撃は後を絶ちません。
そんな中、注目を集めているのが、セキュリティプラグイン「CloudSecure WP Security(クラウドセキュアWPセキュリティ)」です。なんと、安心、嬉しい国産です。
エックスサーバーとも連携し、日本語フル対応・完全無料で使えるこのプラグインは、初心者でも安心して導入できるのが大きな魅力。
この記事では、CloudSecure WP Securityの機能や使い方、他のセキュリティプラグインとの比較まで、わかりやすく解説します。
目次
CloudSecure WP Securityとは?
CloudSecure WP Securityは、WordPressの管理画面やログインURLをサイバー攻撃から守る国産・日本語対応のセキュリティ対策プラグインです。
インストール直後に必須項目が有効化されているため、残りを設定するだけで使えるという手軽さが特徴です。
このプラグインは、国内サーバー事業者の「エックスサーバー」グループに属するクラウドセキュア社が開発しました。
なお、2025年3月からエックスサーバーの「WordPress簡単インストール」などでCloudSecure WP Securityが自動インストールされるようになりました。
メリット
- 国産・日本語フル対応:日本語の管理画面とマニュアルで初心者も扱いやすい
- 完全無料&登録不要:インストールだけですぐ利用可能
- サーバー連携が豊富:エックスサーバーとの自動連携で導入が簡単
- 初期設定済みで時短:必須項目がデフォルトで有効
- 最新攻撃にも対応:外部から命令文やプログラムを埋め込んで不正に動作させる攻撃
デメリット
- 機能が少ない:高度なセキュリティ設定や細かなカスタマイズができない
- マルウェア検知なし:不正なコードのスキャン機能がない
- ファイル改ざん検出が不可:テーマやプラグインの変更を監視できない
- WAFが簡易版のみ:シンプルWAFはあるが、高度な防御機能はなし(サーバー側のWAFでカバー可能)
- 開発・更新状況が不透明:今後の機能追加やサポート体制が不明瞭
必要性
WordPressサイトにはセキュリティ対策が必須です。CloudSecure WP Securityは、総合的なセキュリティ対策、日本語対応、簡単導入という点で初心者に最適です。
ただし、一部の高度な機能は備わっていないため、上級者の方は必要に応じて他のプラグイン等の併用も検討してください。
CloudSecure WP Securityの料金
CloudSecure WP Securityは現時点では全機能を無料で利用可能です。アカウント登録も必要ありません。
ただし、将来的に有料版のリリースがある可能性もありますので、クラウドセキュア社の最新情報をチェックしてください。
SiteGuard WP Pluginとの比較
同じく国産の「SiteGuard WP Plugin」というセキュリティ対策プラグインもあります。以下、どのように違うのか比較表でまとめました。
| 機能カテゴリ | CloudSecure WP Security | SiteGuard WP Plugin |
|---|---|---|
| ログインページ変更 | ○ | ○ |
| 画像認証 | ○ | ○ |
| IPアクセス制限 | ○ | ○ |
| XML-RPC制御 | ○ | ○ |
| REST API制御 | ○ | ○ |
| WAF機能 | ○ | △(除外ルール) |
| ファイル編集制限 | ○ | ✕ |
| メール通知機能 | ○ | ○ |
| 検知ログの保存 | ○ | ○ |
CloudSecure WP SecurityとSiteGuard WP Pluginは、どちらも国産・日本語対応のWordPressセキュリティプラグインですが、機能面にいくつか違いがあります。
CloudSecure WP Securityは、WAF機能やファイル編集制限、REST API制御などを備えた総合型の対策が特徴です。WordPress全体を広く守りたい場合に適しています。
一方、SiteGuard WP Pluginは、ログインページの変更や画像認証など、主にログイン画面への不正アクセス防止のセキュリティ対策ができ、シンプルで導入しやすい点が魅力です。
特に違いが大きいのは、WAF機能とファイル編集制限の有無です。これらを重視する場合は、CloudSecure WP Securityが有力な選択肢となります。
なお、両者には共通機能も多いため、併用する際はログインURL変更などの競合に注意しながら導入しましょう。
2020/05/02*情報を更新いたしました。 WordPressはシェア率の高いオープンソースのソフトウェアであるがゆえに、セキュリティが脆弱だと言われることがあります。ただ、実際のところはWordPress以外のCMSが自社のCMSを普及させたいがための「ウリ文句」であることは、WordP...
CloudSecure WP Securityのインストール方法
エックスサーバーで自動インストール
「WordPress簡単インストール」や「クイックスタート」を利用する際にチェックを入れるだけで、自動的にWordPressと一緒に導入されます。
WordPress管理画面からインストール
WordPressの管理画面から「プラグイン>新規追加」で「CloudSecure WP Security」を検索してインストール・有効化します。
以下の公式リンクからダウンロードし、管理画面からアップロードすることもできます。
WordPressで制作したサイトは、プラグインを使って簡単に機能を拡張することができますよね。当記事では、プラグインのインストール方法について解説してきます。 おすすめプラグインを見る プラグインのインストール方法は2つ プラグインのインストール方法は、下記の2つになります。基本的には、...
CloudSecure WP Securityの使い方
WordPressの管理画面から、左メニューの「CloudSecure WP Security」をクリックすると、左側にメニュー、右側にダッシュボードが表示されます。
左側のメニューから各項目をクリックすると、各設定画面が表示されます。
ダッシュボード画面でも全く同じ項目が表示されており、同様にクリックすると各設定画面が表示されます。
基本的な操作方法
どの項目も基本的な設定方法は以下の手順で行います。
- 機能の「有効」「無効」を選択
- 項目を選択したり、チェックを入れる
- 「変更を保存」を押して設定を保存
mod_rewriteの設定(任意)
CloudSecure WP Securityの一部機能を正しく動作させるには、Apacheモジュール(サーバーに機能を追加するための拡張機能)のひとつ mod_rewrite(モッドリライト) が有効になっている必要があります。mod_rewriteが必要となるのは、以下の機能です。
- ログインURL変更
- 管理画面アクセス制限
これらは.htaccessファイル(サーバーの動作を制御できるファイル)を通じて、アクセス制御やリダイレクト処理を行うため、mod_rewriteが無効だと期待通りに動作しないことがあります。
ただし、エックスサーバーなど大手レンタルサーバーでは、mod_rewriteはサーバー側であらかじめ設定済みになっています。専用サーバーなどでは無効な場合がありますので、公式サイト等でご確認ください。
mod_rewriteは、.htaccessファイルにリライトルールを追加するだけで動作しますので、以下の記事もご参照ください。
「サイトへの不正アクセス、フォームから飛んでくるスパムがひどい。」 そんな時には「.htaccess」を編集してアクセスをブロックする対策が有効です。シンプルで効果的な対策なので、ぜひ試してみてください。 当記事では、初心者の方も安心して取り組めるように、わかりやすくご紹介します。 ...
CloudSecure WP Securityの設定方法
ログイン無効化
指定回数ログインに失敗すると一定時間ログインを無効化し、総当たりでログインを試す「ブルートフォース攻撃」を防ぎます。
- 間隔:5秒、15秒、30秒
- ログイン失敗回数:5回、15回、30回
- ログイン無効時間:60秒、180秒、300秒、600秒、3600秒
ログインURL変更
デフォルトのログインページ(/wp-admin/または/wp-login.php/)を独自文字列に変更して攻撃対象を隠します。
※この機能を利用するには、サーバー側でmod_rewriteの設定が必要です。
- 変更後のログインURL:半角英小文字・半角数字・ハイフン(-)・アンダースコア(_)を使用可能。4文字以上12文字以下で入力
- リダイレクト設定:未ログイン者が管理画面(/wp-admin/)にアクセスしてもログイン画面(
/wp-login.php)に転送せず、ブロックする
ログインエラーメッセージ統一
いずれの入力ミスでも同じエラーを表示し、ユーザー名調査攻撃を防ぎます。
「有効」・「無効」を選択し、保存するだけで設定できます。
2段階認証
認証アプリを利用した2段階認証機能です。ただし、あらかじめスマホなどにGoogle AuthenticatorやMicrosoft Authenticatorなどの認証アプリをインストールしておく必要があります。
2段階認証は「有効」をクリックした後に、以下の権限グループの有効・無効のチェックを入れます。
- 管理者:WordPress全体を管理できる最高権限ユーザー
- 編集者:他ユーザーの投稿を含め、すべての記事を編集・公開できる
- 投稿者:自分の投稿を作成・公開・編集できる
- 寄稿者:投稿の作成は可能だが、公開には管理者などの承認が必要
- 購読者:ログインはできるが、記事の閲覧やコメントなどの操作のみ
- その他:Translator(多言語プラグイン専用の権限)、Customer / Shop_manager(ネットショップ・プラグイン WooCommerce関連の権限)など、プラグインごとの権限が表示される場合がある
「変更を保存」をクリックしたら、WordPressの管理画面から以下の手順で設定します。
- 左メニューに表示された「2段階認証」をクリック
- 「セットアップキーを生成」をクリック
- 認証アプリを立ち上げ、QRコードを読み込む(読み込めない場合は、セットアップキーを入力)
- 認証アプリに表示されている6桁の番号を入力
- 「変更を保存」をクリックして完了
次回以降のログイン時に、ログイン+6桁のワンタイムコード入力が求められるようになります。
画像認証追加
画像認証を追加して、不正ログインやスパムコメントを防止できます。
ログインページなどで、画像に4桁の文字列が表示されます。アカウント名(またはメールアドレス)、パスワード、4桁の文字列を入力すると、次の操作ができるようになります。
この機能は、以下のページやフォームに設定できます。
- ログインフォーム
- コメントフォーム
- パスワードリセットフォーム
- ユーザー登録フォーム
管理画面アクセス制限
ログインしていないIPアドレスが管理画面のページ(/wp-admin/)にアクセスしようとすると、404エラー(ページが見つかりません)を返すように設定されます。
※この機能を利用するには、サーバー側でmod_rewriteの設定が必要です。
「有効」を選択し、除外パス(ファイル名)を指定します。初心者の方は、初期設定のままで問題ありません。
管理画面と関係ないと思われるかもしれませんが、初期設定の除外パスとしては以下が設定されています。
- css:管理画面などで読み込まれるCSSファイル群。CSSはウェブサイトを装飾するコードのため、デザインが崩れないよう除外
- images:管理画面などのアイコン・ロゴ・背景画像など。画像が読み込まれなくなるのを防ぐ
- admin-ajax.php:WordPressコアの 非同期処理(Ajax)用スクリプト。プラグイン・テーマ・管理画面の動作に不可欠
- load-styles.php:管理画面のスタイル読み込み専用スクリプトで、複数のCSSファイルを1つに結合して配信する。除外してデザインが崩れないようにする
- site-health.php:WordPressの「サイトヘルス情報」機能に必要な バックエンド情報取得用エンドポイント。ブロックすると表示が失敗する
設定ファイルアクセス防止
未ログイン状態や外部から wp-config.php などの設定ファイルにアクセスしようとした場合、403エラー(閲覧禁止)を返してブロックします。
ユーザー名漏えい防止
WordPressのURL構造を悪用して、ユーザー名(ログインID)を外部から特定されるのを防ぎます。
XML-RPC無効化
WordPressのXML-RPC(旧式の外部連携機能)やピンバック(他のサイトにリンク通知を送る機能)を停止できます。外部からの不正アクセスや攻撃を防ぐことができます。
この機能では、以下2つのどちらかを選択して保存します。
- ピンバック無効:XML-RPCは残しつつ、ピンバック機能のみ停止
- XML-RPC無効:ピンバックも含めた全XML-RPC機能を停止
REST API無効化
WordPressのREST API(新型の外部連携機能)全体を無効化することで、外部からの不要なアクセスや悪用を防ぐセキュリティ対策です。
こちらの機能は、外部連携したいプラグインを除外設定してから有効化できます。
初期設定では、以下3つが除外されています。すでにインストール済みのプラグインを除外したい場合は、右側の欄からプラグイン名の右側にある「+」をクリックすると除外できます。
- oEmbed(オーエンベット):YouTubeやTwitterなどのURLを貼るだけで、自動的に埋め込み表示できるWordPressの機能(プラグインではない)
- Contact Form 7:WordPressで人気のあるお問い合わせフォーム作成プラグイン
- Akismet:WordPress公式のスパムコメント対策プラグイン
お問い合わせフォーム作成に欠かせないWordPressプラグイン「Contact Form 7」の機能のまとめです。 Contact Form 7の基本解説 「Contact Form 7」 の本当に基本的な使い方について動画で紹介しました。これから導入しようと考えている方やカスタマイズ...
WordPressを運営していると、数々のスパムコメントが投稿されることがあります。通常であれば、届いたコメントを管理者側でチェックし、問題がなければ承認して公開するという手順が一般的です。 ただ、PV数の多いサイトで多くのコメントが付いている場合、ひとつひとつチェックするのは非常に骨の折れる...
シンプルWAF
WAF(Web Application Firewall)とは、Webアプリケーションに対する攻撃を検知・遮断するセキュリティ機能です。
CloudSecure WP Securityの「シンプルWAF」は、WordPressへの基本的な攻撃パターンを検出し、自動でブロックする軽量な防御機能です。
- SQLインジェクション:データベースに不正なSQL文を送り込む攻撃
- クロスサイトスクリプティング(XSS):Webページに悪意のあるJavaScriptを埋め込み、閲覧者のクッキーや入力情報を盗む攻撃
- OSコマンドインジェクション:サーバーにOSのコマンドを強制的に実行させる攻撃
- コードインジェクション:PHPなどのプログラムコードを外部から埋め込んで実行させる攻撃。
- メールヘッダインジェクション:メールフォームに不正なヘッダ情報を挿入し、スパムメールの送信などに悪用する攻撃
なお、CloudSecure WP Securityには「シンプルWAF」がありますが、エックスサーバーにも「WAF」機能があります。しかし、仕組み・防御範囲などが異なります。
- エックスサーバーのWAF:玄関の前で不審者をブロック(サイト全体の入口で遮断)
- CloudSecure WP SecurityのシンプルWAF:玄関から入ってきた相手を室内で監視・対処(WordPressが受け取ったリクエストを解析・拒否)
これらの併用は可能で、エックスサーバーのWAFで大まかな攻撃を遮断し、CloudSecureのシンプルWAFでWordPress特有の攻撃やログ管理を補完すると、より強固な防御体制になります。
ログイン通知
この機能を有効にすると、WordPressにユーザーがログインした際に、そのユーザー宛にメールで通知が届くようになります。
- サブジェクト:ログイン通知メールの「件名」を設定
- メール本文:通知メールの「本文」を編集可能。変数も使用できる
- 受信者:チェックを入れると、ログイン通知メールの送信先が「サイト管理者のみ」になる
アップデート通知
WordPress本体・プラグイン・テーマのいずれかに更新(アップデート)が必要になると、管理者にメールで通知してくれる機能です。
サーバーエラー通知
この機能は、WordPressサイトで「HTTP 500エラー(Internal Server Error)」が発生した際に、管理者へメールで通知を行い、同時にエラーログを記録する機能です。
500エラーはサーバー側で何か重大な不具合が発生していることを示すため、早期の発見・対応が重要です。
もし、サーバーエラーが通知された場合、まずは画面の再読み込み(F5)をしてください。
プラグインやテーマの変更直後なら、ファイル転送ソフト(FTP)で無効化することもできます。
どうしても解決しない場合は、バックアップからの復元やサーバー会社のサポートを活用してください。
「カスタマイズを行った記憶がないのにWordPressサイトに不具合が出た」という声をよく聞きます。大量のプラグインを入れている場合、まとめて一気にしばらくたまっていた更新をしてしまうと…PHPのバージョンアップにプラグインが対応していなかったりなんだりで、画面がエラー画面に。という話もよく聞きます...
WordPressサイトの運営において、バックアップは欠かせない作業のひとつです。不具合やエラーが起きた際、事前にとっておいたバックアップデータから復元できれば安心ですよね。 そこで当記事では、WordPressサイトのバックアップをとれるプラグインを4個ご紹介いたします。それぞれの特徴をまと...
ログイン履歴
この機能を有効にすると、WordPressの管理画面(/wp-admin/)にログインしたユーザーの履歴が記録・表示されるようになります。
CloudSecure WP Securityの注意点
- 初期状態で一部機能が無効:インストール直後は一部機能が無効になっており、有効化しないと効果が発揮されない
- 一部のプラグインが動作しない可能性:XML-RPCやREST APIの無効化により、JetpackやContact Form 7など外部連携プラグインが動作しなくなることも
- 管理画面にアクセスできなくなるリスク:ログイン制御などを誤設定すると、自分自身が管理画面にアクセスできなくなる
- 攻撃検知通知が多く届くことがある:大量の攻撃を検知すると、メール通知が頻繁になって煩雑になる可能性あり
まとめ
CloudSecure WP Securityは、国産・日本語対応・完全無料のセキュリティプラグインです。2024年7月にはWAF機能が追加され、SQLインジェクションやXSSへの対策も可能になりました。
特にエックスサーバーと連携しており、初心者が手軽に導入・運用できる点が最大のメリットです。
ただし、機能がシンプルな分、マルウェアスキャンやファイル変更監視などの高度なセキュリティには別の対策が必要です。複数のセキュリティプラグインの併用は避け、ひとつに絞って適切に運用することが重要です。
セキュリティが弱いと言われるWordPressサイトですが、少しの工夫で対策できます。 複雑なパスワードでログイン情報を保護したり、セキュリティプラグインを導入するなど。対策方法はさまざまです。 今回は、中でも人気のセキュリティプラグイン「Wordfence Security」を...
コメント