CloudSecure WP Securityの設定方法｜エックスサーバーで使う場合の推奨設定と注意点【2026年版】

WordPressセキュリティ設定

エックスサーバーでWordPressを始めると、自動でインストールされるセキュリティプラグイン「CloudSecure WP Security」。14項目の設定がありますが、デフォルトで8項目はすでに有効です。この記事では追加で設定すべき項目・エックスサーバーのサーバー機能との重複注意点を、実際の設定画面をもとに整理します。

先に結論

インストール直後にやること → ログインURLの変更だけ。あとはデフォルトで十分防御されている
余裕があれば追加する3項目 → 管理画面アクセス制限・2段階認証・画像認証追加
エックスサーバーユーザーが触らなくていい項目 → シンプルWAF（サーバー側WAFで代替済み）
ログイン試行回数制限の注意点 → エックスサーバー側の設定と重複するため、設定値に注意が必要

1. CloudSecure WP Securityとは
- 🛡️ 基本情報
- ⚡ エックスサーバーとの相性が特に良い理由
2. ダッシュボードで全体を確認する
3. 最優先で設定すべき項目：ログインURL変更
- ⚙️ 設定手順と推奨値
4. 追加推奨3項目の設定
- 🔒 管理画面アクセス制限
- 🔑 2段階認証
5. エックスサーバーユーザーが注意すべき2つの重複問題
- ⛔ シンプルWAF：エックスサーバーではOFFのまま
- ⚠️ ログイン無効化：エックスサーバー側の制限と重複する場合あり
6. ログイン履歴で不正アクセス試行を確認する
- 📋 ログイン履歴の見方
7. SiteGuard WP Pluginとの比較
- 🏆 エックスサーバーユーザーならCloudSecure WP Securityを選ぶ理由
よくある質問
まとめ｜エックスサーバーならデフォルト8項目＋ログインURL変更で最低限の防御は完了

1. CloudSecure WP Securityとは

CloudSecure WP Securityは、エックスサーバーグループが開発した国産・無料・日本語対応のWordPressセキュリティプラグインだ。管理画面とログインページへの不正アクセスを防ぐことに特化している。

🛡️ 基本情報

2022年リリース。開発はクラウドセキュア株式会社（エックスサーバーグループ）が行い、2026年3月にエックスサーバー株式会社へ事業移管されました。
完全無料・登録不要で利用でき、日本語対応のマニュアルとフォーラムが整備されています。エックスサーバーの「WordPressクイックスタート」「WordPress簡単インストール」では、2025年3月25日より同時インストールが可能になりました。

⚡ エックスサーバーとの相性が特に良い理由

エックスサーバーはサーバー側でWAF・ログイン試行回数制限・XML-RPCアクセス制限などのセキュリティ機能を標準搭載しています。CloudSecure WP Securityはこれらと重複しない設計になっており、プラグインとサーバーのダブル防御が可能です。
他のサーバーでも利用できますが、エックスサーバー環境での動作検証が最も充実しています。

項目	内容
開発元	エックスサーバー株式会社（旧：クラウドセキュア株式会社）
料金	無料（登録不要）
対応言語	日本語（完全対応）
設定項目数	14項目（うち8項目がデフォルト有効）
エックスサーバーとの連携	クイックスタート・簡単インストールで同時インストール可能
他サーバーでの利用	可能
競合プラグインとの併用	不可（SiteGuard WP Plugin等と同時使用は非推奨）

ポイント：エックスサーバーユーザーにとって「インストールから設定完了まで最短」のセキュリティプラグイン。デフォルトで必須8項目が有効になっているため、追加設定なしでも基本的な防御は整っている。

2. ダッシュボードで全体を確認する

インストール・有効化が完了したら、まずダッシュボードで全14項目のON/OFF状態を確認する。デフォルトで有効な8項目はそのまま触らなくてよい。

WordPressの管理画面から「CloudSecure WP Security」→「ダッシュボード」を選択すると、全項目の状態が一覧で確認できます。

CloudSecure WP Securityのダッシュボード画面。14項目のON/OFF状態が一覧表示されている（2026年4月・筆者撮影） — CloudSecure WP Securityのダッシュボード。全14項目の状態が一覧で確認できる（2026年4月・筆者撮影）

項目	デフォルト	エックスサーバーでの推奨
ログイン無効化	✅ ON	ONのまま（設定値は確認推奨）
ログインURL変更	❌ OFF	✅ ON推奨（最優先）
ログインエラーメッセージ統一	✅ ON	ONのまま
2段階認証	❌ OFF	✅ ON推奨
画像認証追加	❌ OFF	✅ ON推奨
管理画面アクセス制限	❌ OFF	✅ ON推奨
設定ファイルアクセス防止	✅ ON	ONのまま
ユーザー名漏えい防止	✅ ON	ONのまま
XML-RPC無効化	✅ ON	ONのまま（エックスサーバー側と併用可）
REST API無効化	❌ OFF	必要に応じて（慎重に判断）
シンプルWAF	❌ OFF	⛔ OFFのまま（サーバー側WAFで代替）
ログイン通知	✅ ON	ONのまま
アップデート通知	✅ ON	ONのまま
ログイン履歴	✅ ON	ONのまま

結論：デフォルト有効の8項目はそのまま維持する。追加で設定すべきは「ログインURL変更」「管理画面アクセス制限」「2段階認証」「画像認証追加」の4項目。「シンプルWAF」はエックスサーバーではOFFのまま。

3. 最優先で設定すべき項目：ログインURL変更

WordPressのログインページURLはデフォルトで「/wp-login.php」に固定されており、攻撃者に丸見えの状態だ。ログインURLを変更するだけで不正ログイン試行を劇的に減らせる。

CloudSecure WP SecurityのダッシュボードまたはサイドメニューからログインURL変更の設定画面を開きます。

CloudSecure WP Securityのログインurl変更設定画面（2026年4月・筆者撮影） — ログインURL変更の設定画面。任意の文字列でURLを変更できる（2026年4月・筆者撮影）

⚙️ 設定手順と推奨値

①「ログインURL変更」をONにする
②「変更後のログインページスラッグ」に任意の文字列を入力する
③「変更する」ボタンをクリックして保存

スラッグは推測されにくいランダムな文字列（例：login-a7x9k2）を使用してください。設定後は必ずメモを取るか、ブックマークに保存しておくこと。URLを忘れると自分自身がログインできなくなります。

注意：ログインURLを変更した場合、変更前のURL（/wp-login.php）にアクセスすると404エラーになります。ログインURLを忘れた場合はFTPやサーバーパネルからプラグインを無効化することで元のURLに戻せます。

4. 追加推奨3項目の設定

ログインURL変更の次に設定しておきたいのが、管理画面アクセス制限・2段階認証・画像認証追加の3項目だ。いずれもONにするだけで防御レベルが大幅に上がる。

🔒 管理画面アクセス制限

WordPressの管理画面（/wp-admin/）へのアクセスをログイン済みユーザーのみに制限します。ログインしていない状態でアクセスすると403エラーを返すため、管理画面への総当たり攻撃を防げます。

注意：管理画面アクセス制限をONにすると、一部のプラグインやテーマの機能が正常に動作しない場合があります。問題が発生した場合は一時的にOFFにして確認してください。

🔑 2段階認証

ログイン時にパスワードに加えて、Google AuthenticatorなどのアプリのワンタイムパスワードをGoogleを要求します。パスワードが漏えいしても不正ログインを防げる、最も強力な認証方法です。

注意：2段階認証を設定する前に、必ずGoogle AuthenticatorやAuthyなどの認証アプリをスマートフォンにインストールしておいてください。認証アプリなしで2段階認証を有効にすると、ログインできなくなります。

結論：3項目の中で最も重要なのはログインURL変更と2段階認証。この2つを設定するだけで、一般的なブログサイトへの不正ログイン試行のほとんどを防げる。

5. エックスサーバーユーザーが注意すべき2つの重複問題

エックスサーバーにはサーバー側のセキュリティ機能が標準搭載されている。CloudSecure WP Securityの一部項目と重複するため、設定前に必ず確認が必要だ。

⛔ シンプルWAF：エックスサーバーではOFFのまま

CloudSecure WP SecurityのシンプルWAFは、エックスサーバーのサーバー側WAF（Web Application Firewall）と同じ役割を担います。エックスサーバーではサーバー側のWAFがすでに常時稼働しているため、プラグイン側のシンプルWAFを追加で有効にしても防御効果はほとんど変わらず、処理負荷だけが増えます。

CloudSecure WP Securityのシンプルwaf設定画面。エックスサーバーではOFFのまま推奨（2026年4月・筆者撮影） — シンプルWAFの設定画面。エックスサーバーではサーバー側WAFがあるためOFFのまま推奨（2026年4月・筆者撮影）

⚠️ ログイン無効化：エックスサーバー側の制限と重複する場合あり

エックスサーバーのサーバーパネルには「WordPressセキュリティ設定」→「ログイン試行回数制限設定」があり、デフォルトで有効になっています。CloudSecure WP Security側で「ログイン失敗回数」を多めに設定していても、エックスサーバー側の制限が先に作動してロックされる場合があります。
自分自身がロックされてしまった場合は、エックスサーバーのサーバーパネルで「ログイン試行回数制限設定」を一時的にOFFにしてから解除してください。

結論：シンプルWAFはOFFのまま。ログイン無効化はデフォルトの設定値のまま使うか、エックスサーバー側の制限との兼ね合いを確認してから調整する。

6. ログイン履歴で不正アクセス試行を確認する

CloudSecure WP Securityはログイン履歴を記録している。定期的に確認することで、不正アクセスの試行状況を把握できる。

CloudSecure WP Securityのログイン履歴画面。成功・失敗のログインの記録が確認できる（2026年4月・筆者撮影） — ログイン履歴の画面。実際の不正アクセス試行の記録が確認できる（2026年4月・筆者撮影）

📋 ログイン履歴の見方

「CloudSecure WP Security」→「ログイン履歴」から確認できます。成功・失敗・ブロックの3種類のステータスで記録されます。
見知らぬIPアドレスからの失敗ログインが大量に記録されている場合、ログインURL変更や2段階認証が有効に機能していることの確認にもなります。記録が空であれば、そもそも攻撃を受けていない状況です。

結論：ログイン履歴は月1回程度確認する習慣をつけると、サイトへの攻撃状況を把握できる。大量の失敗ログインが記録されている場合はログインURL変更が機能している証拠でもある。

7. SiteGuard WP Pluginとの比較

CloudSecure WP Securityと並んでよく名前が挙がるのがSiteGuard WP Pluginだ。エックスサーバーユーザーにとってどちらが向いているかを整理する。

比較軸	CloudSecure WP Security	SiteGuard WP Plugin
開発元	エックスサーバー（国産）	JP-Secure（国産）
料金	無料	無料
日本語対応	◎	◎
デフォルト設定済み項目	14項目中8項目	なし（全項目を設定する必要あり）
2段階認証	✅ あり	❌ なし
管理画面アクセス制限	✅ あり	✅ あり
設定ファイルアクセス防止	✅ あり	❌ なし
エックスサーバーとの相性	◎（同一会社・自動インストール対応）	◯（利用可能だが自動インストールなし）
ネット上の情報量	△（比較的少ない）	◎（豊富）

🏆 エックスサーバーユーザーならCloudSecure WP Securityを選ぶ理由

デフォルトで8項目が有効になっているため、インストール直後から防御が始まります。SiteGuard WP Pluginは全項目を自分で設定する必要があるため、設定に時間がかかります。2段階認証と設定ファイルアクセス防止という重要な機能がCloudSecureにしかない点も優位です。エックスサーバーの自動インストール対応によりセットアップが最短で完了するため、初心者には特にCloudSecure WP Securityを推奨します。

結論：エックスサーバーユーザーには迷わずCloudSecure WP Securityを推奨。SiteGuard WP Pluginは情報量が多いため調べながら使いたい人向けだが、エックスサーバー環境での優位性はない。

よくある質問

Q　CloudSecure WP Securityは有料ですか？

無料です。登録不要でインストールすれば即日利用できます。エックスサーバーのWordPressクイックスタート・簡単インストールを使った場合は自動でインストールされます。（出典：CloudSecure WP Security公式サイト）

Q　エックスサーバー以外のサーバーでも使えますか？

はい、使えます。ConoHa WING・シンレンタルサーバー・さくらのレンタルサーバーなど他のサーバーでも利用できます。ただしエックスサーバーのような自動インストール対応はなく、WordPress管理画面から手動でインストールする必要があります。

Q　SiteGuard WP Pluginと同時に使えますか？

推奨されません。どちらも同じ機能（ログインURL変更・管理画面アクセス制限等）を持つため、重複による不具合が発生する可能性があります。どちらか一方を選んで使ってください。エックスサーバーユーザーにはCloudSecure WP Securityを推奨します。

Q　ログインURLを変更したら元のURLにアクセスするとどうなりますか？

404エラーになります。これは正常な動作です。変更後のログインURLは必ずメモまたはブックマークに保存しておいてください。URLを忘れた場合は、エックスサーバーのサーバーパネルのファイルマネージャーからCloudSecure WP Securityプラグインのフォルダを削除することで元のURL（/wp-login.php）に戻せます。

Q　シンプルWAFはエックスサーバーでも有効にしたほうがいいですか？

不要です。エックスサーバーはサーバー側でWAFが常時稼働しているため、プラグインのシンプルWAFを追加で有効にしても防御効果はほぼ変わりません。OFFのままにしておくことを推奨します。（参考：エックスサーバー公式 CloudSecure WP Security解説ページ）

Q　自分がログインできなくなった場合はどうすればいいですか？

エックスサーバーのサーバーパネルで対処できます。①サーバーパネル→「WordPressセキュリティ設定」→「ログイン試行回数制限設定」を一時的にOFFにする、②ファイルマネージャーから「wp-content/plugins/cloudsecure-wp-security」フォルダをリネームしてプラグインを無効化する、のいずれかで元の状態に戻せます。

まとめ｜エックスサーバーならデフォルト8項目＋ログインURL変更で最低限の防御は完了

CloudSecure WP Securityはインストール直後から8項目が有効になっており、追加設定なしでも基本的なセキュリティ対策は整っています。エックスサーバーユーザーが優先して設定すべきは「ログインURL変更」の1項目だけです。
余裕があれば「管理画面アクセス制限」「2段階認証」「画像認証追加」を追加することで、防御レベルをさらに上げられます。

エックスサーバー環境では「シンプルWAF」はOFFのまま、「ログイン試行回数制限」はサーバー側との重複に注意するという2点だけ覚えておけば、設定で迷うことはありません。

最終結論：

インストール直後にやること → ログインURLの変更だけ。
余裕があれば追加する → 管理画面アクセス制限・2段階認証。
エックスサーバーで触らなくていい → シンプルWAF（OFFのまま）。

CloudSecure WP Securityはエックスサーバーのクイックスタートで自動インストールできます。現在エックスサーバーは最大30%オフキャンペーン中（2026年5月7日17:00まで）。WordPressブログをこれから始めるなら今が最安のタイミングです。

エックスサーバーの公式サイトを見る