WordPress をかんたん・軽量に守るためのセキュリティプラグイン「Really Simple Security」。
無料でSSL(HTTPS)対応だけでなく、脆弱性スキャン、ログイン保護、ファイアウォールなどをワンストップでカバーできます。
本稿では、Really Simple Securityの料金や使い方に加え、脆弱性検出の設定方法まで解説します。
目次
Really Simple Securityとは?
Really Simple Securityは、WordPressサイトのセキュリティを強化することを目的とした、軽量で使いやすいプラグインです。
以前は「Really Simple SSL」として知られていましたが、現在はSSLだけでなく幅広いセキュリティ機能を備えた「総合セキュリティプラグイン」として進化しています。
モジュール設計により、使用しない機能はロードされず、サイトパフォーマンスへの影響を最小限に抑えます。
手順に沿って進めるだけで必須セキュリティ設定が完了するため、初心者でも導入しやすいプラグインです。
メリット
- 操作が簡単で始めやすい:1クリックでHTTPSへの移行を自動化し、SSL設定やリダイレクト(URLの転送)を手間なく実現
- 軽量かつパフォーマンス重視の設計:モジュール式で、使用しない機能はロードされないため、サイトへの負荷が最小限
- 独自SSLを自動生成・設定:無料SSL証明書の生成および設置支援
- 脆弱性の検出機能を搭載:プラグイン・テーマ・WordPress本体の脆弱性を検出し、通知して対応を促す
- WordPressセキュリティ強化機能:アップロードフォルダのコード実行防止、XML-RPC無効化、ユーザー名制限などを自動化
- 高い評価と実績:WordPress.orgで高評価、アクティブインストール数は数百万件以上
WordPressサイトの公開時に確認しておきたいことのひとつに「SSL化」があります。 サイトをSSL化することで、セキュリティを強化でき、ユーザーや検索エンジンに対して安全性の証明になります。SSL化されているサイトでは、URLに「https」と表示され、接続が保護されていることがわかりま...
WordPressには「XML-RPC」という、遠隔からサイトを操作できる便利な機能があります。 ただこの機能、セキュリティリスクになることもあります。 そこで当記事では、XML-RPCの基本と、WordPressでの無効化方法をわかりやすく解説します。初心者の方でもすぐ実践できる内容で...
デメリット
- 無料版では機能が限定的:ファイヤーウォールやマルウェアスキャンなど高度なセキュリティ機能は有料版(Pro)でのみ提供
- 高度なセキュリティ機能は不足:無料版では2FA(多要素認証)や高度なログイン保護に対応していない場合がある
- サーバー構成による制限:無料SSLの自動インストールや混在コンテンツ修正は、環境によっては手動対応が必要
- まれに互換性や設定トラブル:特定の環境・プラグインとの相性により、不具合が報告されることがある
- 表示誤りの可能性:一部の脆弱性表示が誤りである可能性が指摘されている
セキュリティ対策は、Webサイトを運営する上で避けて通れない課題です。WordPressは世界中にユーザー数が多いがゆえにサイバー攻撃の標的になりやすい側面もあり、脆弱性への最低限の対策は必須となります。 WordPressには、様々なセキュリティ対策が施せるようになっており、基本的には安全に...
Really Simple Securityの料金
| プラン名 | ドメイン数 | 年額料金(USD) | 主な特徴 |
|---|---|---|---|
| 無料版 | 1〜 | $0 | 基本的なSSL/セキュリティ機能 |
| Personal | 1 | 約$49 | セキュリティヘッダー、混合コンテンツ修正、プレミアムサポートなど |
| Professional | 最大5 | 約$99 | Personal同等機能を複数サイトで利用可能 |
| Agency | 最大25 | 約$199 | マルチサイト対応&複数サイトをまとめて運用可能 |
| 大規模 Agency拡張 | 25~多数 | 規模に応じた割引料金 | サイト数が増えるほどコストが段階的に低減 |
無料版(Free)の機能
- ワンクリックで HTTPS(SSL)化、リダイレクト設定
- 無料SSL証明書の導入支援
- 混在コンテンツの自動修正
- 基本的なWordPress Hardening(XML-RPC無効化、ディレクトリ一覧防止、アップロードフォルダ保護など)
- 脆弱性検出(プラグイン・テーマ・WPコアの脆弱性通知)
有料版(Pro)の機能
- ファイヤーウォール機能(IP・国別・404多発によるアクセス制御)
- セキュリティヘッダー自動追加(HSTS, CSP, X-Frame-Optionsなど)
- 高度な混在コンテンツ検出/修正
- 自動更新・隔離などの脆弱性対応
- 訪問者保護機能(ブラウザ向けセキュリティヘッダー強化)
- 優先サポート(プレミアムサポート対応)
- 複数サイト・マルチサイト環境での利用(上位プラン)
WordPressのサイトヘルスに表示される「推奨セキュリティヘッダーがインストール済みではありません」というメッセージ。 SSL化プラグイン「Really Simple SSL」をサイトに導入している場合に表示されることがあります。今回はサイトのセキュリティ面を改善して、このメッセー...
WordPressで複数のサイトを運用している方は、マルチサイトを活用することで一括管理できるようになります。 専業アフィリエイター 個人ブロガー 企業のサイト運営者 常に複数のサイトを運営しているなら、WordPressのマルチサイト機能が役に立つでしょう。 本記...
Really Simple SecurityとWordfenceの比較
| 機能カテゴリ | Really Simple Security | Wordfence Security |
|---|---|---|
| セキュリティ概要 | 軽量でパフォーマンス重視の基本セキュリティ | 包括的なサーバー側セキュリティ |
| ファイアウォール | IP・地域・404多発などを条件にアクセス制御(Pro) | エンドポイント型WAF。Premium以上はリアルタイム更新・IPブロックリスト対応 |
| マルウェアスキャン | 脆弱性スキャンおよび感染テーマ/プラグインの隔離・更新(Pro) | マルウェア/改ざんスキャン、リアルタイム署名更新(Premium) |
| ログイン保護 | 2FA、有効なパスワードポリシー、ログイン試行制限、漏洩パスワードチェック | 2FA、CAPTCHA、ブルートフォース対策、ログイン試行制限 |
| 脆弱性管理 | プラグイン/テーマ/コアの脆弱性スキャンと通知・隔離(Pro) | 脆弱なプラグインの検出と通知 |
| SSL/HTTPS対応 | SSL強制、リダイレクト、混在コンテンツ自動修正、健全性チェック | URLやコンテンツのセキュア化は主機能に含まれない |
| 訪問者向け保護 | セキュリティヘッダー(HSTS、CSPなど)の自動追加 | ブラウザ向けセキュリティヘッダーは特に強調されていない |
| ダッシュボード・監視 | シンプルで軽量なUI。パフォーマンス影響は最小 | リアルタイムトラフィック監視、詳細な通知とレポート |
| 性能への影響 | 非常に軽量設計でサイトパフォーマンスへの影響が少ない | スキャン時などにサーバー負荷が高まる可能性あり |
| サポート・更新 | 定期更新あり。Pro版はプレミアムサポート対応 | 無料版はコミュニティサポート。Premium以上はリアルタイム更新と優先サポート |
Really Simple Securityは、軽快な動作とシンプルな設定を重視した設計が特徴です。基本的なセキュリティを素早く導入したい方や、リソース制限のある環境に適しています。
一方、Wordfence Securityは包括的で強力な保護を提供します。リアルタイムの脅威インテリジェンスや詳細なモニタリング、柔軟なファイアウォール設定を求めるサイトにおすすめです。
ただし、パフォーマンスへの影響や設定の複雑さには注意が必要です。
セキュリティが弱いと言われるWordPressサイトですが、少しの工夫で対策できます。 複雑なパスワードでログイン情報を保護したり、セキュリティプラグインを導入するなど。対策方法はさまざまです。 今回は、中でも人気のセキュリティプラグイン「Wordfence Security」を...
Really Simple Securityの使い方
インストール方法
- WordPress管理画面 > プラグイン > プラグイン追加
- 「Really Simple Security」で検索
- インストール → 有効化
以下のリンクからプラグインを直接ダウンロードしてインストールすることもできます。
WordPressで制作したサイトは、プラグインを使って簡単に機能を拡張することができますよね。当記事では、プラグインのインストール方法について解説してきます。 おすすめプラグインを見る プラグインのインストール方法は2つ プラグインのインストール方法は、下記の2つになります。基本的には、...
初期設定
Really Simple SecurityのUIは非常にシンプルで、WordPress管理画面の左側に「セキュリティ」というメニューが追加されます。
画面を開くと、上部には「ダッシュボード」と「設定」のタブのみが表示されます。
初期設定を始めるには、ダッシュボード上の「SSLを有効化」をクリックします。
この操作はSSL設定だけでなく、Really Simple Security全体の基本設定を行えます。
最初のポップアップではSSL設定を行いますが、これはサーバー側の証明書設定ではありません。
サーバーにSSL証明書が導入済みであれば、プラグイン側ではWordPressをHTTPS運用へ切り替える設定が行われます。
- WordPressのURL設定:「一般設定」でWordPressアドレスとサイトアドレスがhttpの場合、httpsに自動変更
- httpからhttpsへのリダイレクト:.htaccessファイルを自動で編集
ホスティング会社の選択画面もありますが、日本のサービスが少ないため、通常は「Optional」のままで問題ありません。続いて「SSLを有効化」をクリックして次の設定へ進みます。
通知用メールアドレスを入力し、「保存して続ける」をクリックします。通知が不要であれば「スキップ」を選択できます。
次に、無料版で提供される必須セキュリティ項目を設定します。
- Vulnerability Scan:WP Vulnerability APIと連携し、プラグイン・テーマ・コアの既知脆弱性を通知
- Essential WordPress Hardening:XML-RPC無効化、ディレクトリ一覧防止、アップロードフォルダ保護など基本的な強化
- E-mail Login(Two-Step verification):ログイン時にユーザー名+パスワードに加え、登録メール宛の確認コードを入力
- Mixed Content Fixer:HTTP→HTTPSへ動的変換し、混在コンテンツを自動修正
次に、同社が提供する追加プラグインのインストール画面が表示されます。
- Complianz:クッキー同意バナー+GDPRなどの法令対応
- Complianz – Terms & Conditions:利用規約ページをウィザード形式で生成/編集
- SimplyBook.me:予約受付・決済・カレンダー連携などを可能にする予約システム
必要に応じてチェックを入れて「インストール」をクリック。不要であれば「スキップ」で進めます。
続いてPro版の案内画面が表示されます。必要なら「Get Pro」、不要なら「Finish」をクリックしてください。
最後に設定状況が一覧で表示されます。
これで、無料版での必須セキュリティ設定が完了します。
詳細設定
WordPress中級者以上やPro版を導入したユーザーは、さらに詳細な設定を行えます。各機能を個別に調整できるため、必要に応じてセキュリティを強化できます。
Really Simple Securityの画面上部にある「設定」タブをクリックすると、さらに細かいメニューが表示されます。
全般
- ホスティング会社:使用しているホスティング会社を選択。無料SSLインストールの可否判断に使用されますが、必須ではありません
- すべての通知を無視:ダッシュボード上の通知や警告メッセージを非表示にします
- システムの状態:現在の環境情報を.txtファイルとしてダウンロード可能
- プラグイン削除時にすべてのデータを削除:有効化すると、データベース内の設定も含め完全削除されます
- .htaccessファイルの編集を中止:プラグインによる.htaccessの自動編集を無効化
- メールアドレス:通知や2FAの送信先メールアドレスを設定
- Email validation:メールアドレスの有効性を検証
- メールで通知:脆弱性検出や機能有効化などをメールで通知
- Captcha provider(Pro版):ログインやフォーム保護のためのCAPTCHAサービスを選択(Google reCAPTCHAなど)
- プレミアムサポート(Pro版):サポート有効期限や状態を確認
SSL
- 転送方法:HTTPをHTTPSへ転送する方法を選択
- No redirect:転送を無効化
- 301 PHP redirect:PHP経由で転送
- 301 .htaccess redirect:.htaccessによる転送
- 混在コンテンツ修正:ページ内のHTTPリンクを自動でHTTPSへ変換
- 混在コンテンツ修正 – initフック:フロントエンドで動作しない場合、
initフックに変更 - 混在コンテンツ修正 – バックエンド:管理画面の混在コンテンツも修正
- 混在コンテンツの検出(Pro):サイト全体をスキャンして混在コンテンツを検出。修正用ボタンや手順を表示
Security Headers
- Essential Security Headers(Pro):一般的なセキュリティヘッダーをまとめて有効化
- HSTS(HTTP Strict Transport Security)(Pro):常時HTTPSを強制
- Permissions Policy(Pro):Web APIアクセスをオリジン単位で制限
- Content Security Policy(CSP)(Pro):外部リソースの読み込みを制御
- Cross-Origin Policy(Pro):CORP / COEP / COOPによる他オリジン制御を設定
脆弱性
- Enable vulnerability scanning:スキャン機能を有効化し、定期チェックを実施
- Scan results:検出された脆弱性や対応策を表示
構成
- Feedback in plugins overview:プラグイン一覧画面にリスク情報を表示
- Dashboard notifications:ダッシュボード上で簡易通知
- Site-wide admin notification:高リスク検出時に管理者へ通知
- Email notifications:クリティカル脆弱性をメールで通知
- Test notifications:通知の動作確認機能
堅牢化
- 「誰でも登録可能」を無効化:不特定多数によるユーザー登録を禁止
- 組み込みファイルエディターを無効化:テーマやプラグインの編集機能を無効化
- uploadsフォルダでのコード実行を防止:アップロードフォルダ内でのPHP実行を禁止
- WordPressバージョンを隠す:バージョン情報を非表示にして攻撃対象になりにくくする
- ログインエラーメッセージを隠す:ユーザー名やメールの正否が分からないように制御
- ディレクトリ参照を無効化:index.htmlを配置し、フォルダ構造の参照を禁止
- ユーザー列挙を無効化:投稿者一覧などからユーザー名を推測されないようにする
- Unset X-Powered-By header:レスポンスヘッダーの「X-Powered-By」を削除し、技術情報漏洩を防止
- ユーザー名「admin」を禁止:一般的なユーザー名の使用を禁止
- XML-RPCを無効化:旧式の外部連携機能を停止
- ログイン名=表示名を禁止:ログイン名と表示名が同一となるアカウント作成を禁止
- Advanced(Pro):さらに詳細な堅牢化オプションを提供
- XML-RPC(Pro):XML-RPC制御の詳細設定
Login Protection
Login Authentication
- Enable Two-Factor Authentication:2FA(二要素認証)を有効化
- Enforce secure authentication:管理者など特定ユーザーに2FAを必須化
- Allow secure login with Passkeys:パスキー(生体認証など)によるパスワードレス認証を許可
- Allow grace period:ユーザーが2FAを設定するまでの猶予期間を指定
Two-Factor Authentication
- Enable Email Authentication:指定ユーザーにメールコード認証を許可
- Enable TOTP Authentication:指定ユーザーにTOTP(Google Authenticator等アプリ)認証を許可
- ユーザー:各ユーザーの2FA有効化状況や認証方式を管理
Password Security(Pro)
強力なパスワードの強制や、漏洩したパスワードの利用禁止を設定可能
Limit Login Attempts(Pro)
ログイン試行回数を制限でき、hCaptcha/reCAPTCHAの導入にも対応
ファイアウォール
- Firewall Rules:IP/地域/User-Agent/404エラーなどを条件にアクセス制御ルールを設定
- 404 Blocking:一定時間内の404エラー多発時にIPを自動ブロック。CAPTCHA対応あり
- User-Agents:不審なUser-Agentをブロック対象に追加
- Regions:指定した国・地域・大陸からのアクセスを制限
- Trusted IPs:指定したIPを常に許可(管理者IPは自動追加)
- IP Blocklist:危険IPを登録してアクセス遮断。解除も可能
- Event Logs:ファイアウォールの動作ログを記録・確認
よくある質問(FAQ)
Q. サーバーのセキュリティ設定と機能は重複しますか?
A. 一部は重複します。たとえばWAF(ファイアウォール)や .htaccess設定はサーバー側でも実装できます。基本はサーバー側を優先し、プラグインは補助的に使うのがおすすめです。重複時はどちらか一方に統一してください。
Q. 他のセキュリティプラグインと併用できますか?
A. 併用は可能ですが、同一機能(例:ログイン試行制限やWAF)を二重に有効化すると、誤検知やブロック過剰の原因になります。役割分担を明確にし、重複機能は片方を無効化してください。
Q. SSL設定をしたのに「SSLが有効化されていません」と表示されます。
A. サーバー側に証明書があっても、WordPress のURLがhttpのまま、またはリダイレクト設定が未適用だと表示されます。ダッシュボードの「SSLを有効化」を実行し、一般設定のURL がhttpsになっているか確認してください。
Q. 脆弱性スキャンは無料で使えますか?
A. はい。設定画面で「Enable vulnerability scanning」をオンにすると、WordPressコア・テーマ・プラグインの既知の脆弱性を通知します。
Q. ホスティング会社の一覧に日本のサーバーがありません。
A. 問題ありません。フィールドは証明書インストール可否の目安で、必須ではありません。該当がなければ「Optional」のままで運用できます。
まとめ
Really Simple Security は、導入のしやすさと軽快さが魅力の総合セキュリティプラグインです。
無料版だけでも SSL常時化・混在コンテンツ修正・脆弱性スキャン・ログイン保護などを短時間で整備できます。
さらに強固な対策やサポートを求める場合は、Pro版の導入を検討してください。
WordPressテーマ集
コメント