セキュリティ設定 | ペガブロ https://pegasus-note.com Mon, 20 Apr 2026 07:04:44 +0000 ja hourly 1 https://wordpress.org/?v=6.9.4 https://pegasus-note.com/wp-content/uploads/2026/03/pegaicon-150x150.png セキュリティ設定 | ペガブロ https://pegasus-note.com 32 32 CloudSecure WP Securityの設定方法|エックスサーバーで使う場合の推奨設定と注意点【2026年版】 https://pegasus-note.com/cloudsecure-wp-security-settings/ https://pegasus-note.com/cloudsecure-wp-security-settings/#respond Fri, 17 Apr 2026 09:45:18 +0000 https://pegasus-note.com/?p=1061

WordPressセキュリティ設定

CloudSecure WP Securityの設定方法|エックスサーバーで使う場合の推奨設定と注意点【2026年版】

エックスサーバーでWordPressを始めると、自動でインストールされるセキュリティプラグイン「CloudSecure WP Security」。14項目の設定がありますが、デフォルトで8項目はすでに有効です。この記事では追加で設定すべき項目・エックスサーバーのサーバー機能との重複注意点を、実際の設定画面をもとに整理します。

先に結論

  • インストール直後にやること → ログインURLの変更だけ。あとはデフォルトで十分防御されている
  • 余裕があれば追加する3項目 → 管理画面アクセス制限・2段階認証・画像認証追加
  • エックスサーバーユーザーが触らなくていい項目 → シンプルWAF(サーバー側WAFで代替済み)
  • ログイン試行回数制限の注意点 → エックスサーバー側の設定と重複するため、設定値に注意が必要

あわせて読みたい

1. CloudSecure WP Securityとは

CloudSecure WP Securityは、エックスサーバーグループが開発した国産・無料・日本語対応のWordPressセキュリティプラグインだ。管理画面とログインページへの不正アクセスを防ぐことに特化している。

🛡️ 基本情報

2022年リリース。開発はクラウドセキュア株式会社(エックスサーバーグループ)が行い、2026年3月にエックスサーバー株式会社へ事業移管されました。
完全無料・登録不要で利用でき、日本語対応のマニュアルとフォーラムが整備されています。エックスサーバーの「WordPressクイックスタート」「WordPress簡単インストール」では、2025年3月25日より同時インストールが可能になりました。

⚡ エックスサーバーとの相性が特に良い理由

エックスサーバーはサーバー側でWAF・ログイン試行回数制限・XML-RPCアクセス制限などのセキュリティ機能を標準搭載しています。CloudSecure WP Securityはこれらと重複しない設計になっており、プラグインとサーバーのダブル防御が可能です。
他のサーバーでも利用できますが、エックスサーバー環境での動作検証が最も充実しています。

項目 内容
開発元エックスサーバー株式会社(旧:クラウドセキュア株式会社)
料金無料(登録不要)
対応言語日本語(完全対応)
設定項目数14項目(うち8項目がデフォルト有効)
エックスサーバーとの連携クイックスタート・簡単インストールで同時インストール可能
他サーバーでの利用可能
競合プラグインとの併用不可(SiteGuard WP Plugin等と同時使用は非推奨)

ポイント:エックスサーバーユーザーにとって「インストールから設定完了まで最短」のセキュリティプラグイン。デフォルトで必須8項目が有効になっているため、追加設定なしでも基本的な防御は整っている。

2. ダッシュボードで全体を確認する

インストール・有効化が完了したら、まずダッシュボードで全14項目のON/OFF状態を確認する。デフォルトで有効な8項目はそのまま触らなくてよい。

WordPressの管理画面から「CloudSecure WP Security」→「ダッシュボード」を選択すると、全項目の状態が一覧で確認できます。

CloudSecure WP Securityのダッシュボード画面。14項目のON/OFF状態が一覧表示されている(2026年4月・筆者撮影)
CloudSecure WP Securityのダッシュボード。全14項目の状態が一覧で確認できる(2026年4月・筆者撮影)
項目 デフォルト エックスサーバーでの推奨
ログイン無効化✅ ONONのまま(設定値は確認推奨)
ログインURL変更❌ OFF✅ ON推奨(最優先)
ログインエラーメッセージ統一✅ ONONのまま
2段階認証❌ OFF✅ ON推奨
画像認証追加❌ OFF✅ ON推奨
管理画面アクセス制限❌ OFF✅ ON推奨
設定ファイルアクセス防止✅ ONONのまま
ユーザー名漏えい防止✅ ONONのまま
XML-RPC無効化✅ ONONのまま(エックスサーバー側と併用可)
REST API無効化❌ OFF必要に応じて(慎重に判断)
シンプルWAF❌ OFF⛔ OFFのまま(サーバー側WAFで代替)
ログイン通知✅ ONONのまま
アップデート通知✅ ONONのまま
ログイン履歴✅ ONONのまま

結論:デフォルト有効の8項目はそのまま維持する。追加で設定すべきは「ログインURL変更」「管理画面アクセス制限」「2段階認証」「画像認証追加」の4項目。「シンプルWAF」はエックスサーバーではOFFのまま。

3. 最優先で設定すべき項目:ログインURL変更

WordPressのログインページURLはデフォルトで「/wp-login.php」に固定されており、攻撃者に丸見えの状態だ。ログインURLを変更するだけで不正ログイン試行を劇的に減らせる。

CloudSecure WP SecurityのダッシュボードまたはサイドメニューからログインURL変更の設定画面を開きます。

CloudSecure WP Securityのログインurl変更設定画面(2026年4月・筆者撮影)
ログインURL変更の設定画面。任意の文字列でURLを変更できる(2026年4月・筆者撮影)

⚙️ 設定手順と推奨値

①「ログインURL変更」をONにする
②「変更後のログインページスラッグ」に任意の文字列を入力する
③「変更する」ボタンをクリックして保存

スラッグは推測されにくいランダムな文字列(例:login-a7x9k2)を使用してください。設定後は必ずメモを取るか、ブックマークに保存しておくこと。URLを忘れると自分自身がログインできなくなります。

注意:ログインURLを変更した場合、変更前のURL(/wp-login.php)にアクセスすると404エラーになります。ログインURLを忘れた場合はFTPやサーバーパネルからプラグインを無効化することで元のURLに戻せます。

4. 追加推奨3項目の設定

ログインURL変更の次に設定しておきたいのが、管理画面アクセス制限・2段階認証・画像認証追加の3項目だ。いずれもONにするだけで防御レベルが大幅に上がる。

🔒 管理画面アクセス制限

WordPressの管理画面(/wp-admin/)へのアクセスをログイン済みユーザーのみに制限します。ログインしていない状態でアクセスすると403エラーを返すため、管理画面への総当たり攻撃を防げます。

CloudSecure WP Securityの管理画面アクセス制限設定画面(2026年4月・筆者撮影)
管理画面アクセス制限の設定画面。ONにするだけで有効になる(2026年4月・筆者撮影)

注意:管理画面アクセス制限をONにすると、一部のプラグインやテーマの機能が正常に動作しない場合があります。問題が発生した場合は一時的にOFFにして確認してください。

🔑 2段階認証

ログイン時にパスワードに加えて、Google AuthenticatorなどのアプリのワンタイムパスワードをGoogleを要求します。パスワードが漏えいしても不正ログインを防げる、最も強力な認証方法です。

CloudSecure WP Securityの2段階認証設定画面(2026年4月・筆者撮影)
2段階認証の設定画面。QRコードを認証アプリで読み取って設定する(2026年4月・筆者撮影)

注意:2段階認証を設定する前に、必ずGoogle AuthenticatorやAuthyなどの認証アプリをスマートフォンにインストールしておいてください。認証アプリなしで2段階認証を有効にすると、ログインできなくなります。

結論:3項目の中で最も重要なのはログインURL変更と2段階認証。この2つを設定するだけで、一般的なブログサイトへの不正ログイン試行のほとんどを防げる。

5. エックスサーバーユーザーが注意すべき2つの重複問題

エックスサーバーにはサーバー側のセキュリティ機能が標準搭載されている。CloudSecure WP Securityの一部項目と重複するため、設定前に必ず確認が必要だ。

⛔ シンプルWAF:エックスサーバーではOFFのまま

CloudSecure WP SecurityのシンプルWAFは、エックスサーバーのサーバー側WAF(Web Application Firewall)と同じ役割を担います。エックスサーバーではサーバー側のWAFがすでに常時稼働しているため、プラグイン側のシンプルWAFを追加で有効にしても防御効果はほとんど変わらず、処理負荷だけが増えます。

CloudSecure WP Securityのシンプルwaf設定画面。エックスサーバーではOFFのまま推奨(2026年4月・筆者撮影)
シンプルWAFの設定画面。エックスサーバーではサーバー側WAFがあるためOFFのまま推奨(2026年4月・筆者撮影)

⚠️ ログイン無効化:エックスサーバー側の制限と重複する場合あり

エックスサーバーのサーバーパネルには「WordPressセキュリティ設定」→「ログイン試行回数制限設定」があり、デフォルトで有効になっています。CloudSecure WP Security側で「ログイン失敗回数」を多めに設定していても、エックスサーバー側の制限が先に作動してロックされる場合があります。
自分自身がロックされてしまった場合は、エックスサーバーのサーバーパネルで「ログイン試行回数制限設定」を一時的にOFFにしてから解除してください。

結論:シンプルWAFはOFFのまま。ログイン無効化はデフォルトの設定値のまま使うか、エックスサーバー側の制限との兼ね合いを確認してから調整する。

6. ログイン履歴で不正アクセス試行を確認する

CloudSecure WP Securityはログイン履歴を記録している。定期的に確認することで、不正アクセスの試行状況を把握できる。

CloudSecure WP Securityのログイン履歴画面。成功・失敗のログインの記録が確認できる(2026年4月・筆者撮影)
ログイン履歴の画面。実際の不正アクセス試行の記録が確認できる(2026年4月・筆者撮影)

📋 ログイン履歴の見方

「CloudSecure WP Security」→「ログイン履歴」から確認できます。成功・失敗・ブロックの3種類のステータスで記録されます。
見知らぬIPアドレスからの失敗ログインが大量に記録されている場合、ログインURL変更や2段階認証が有効に機能していることの確認にもなります。記録が空であれば、そもそも攻撃を受けていない状況です。

結論:ログイン履歴は月1回程度確認する習慣をつけると、サイトへの攻撃状況を把握できる。大量の失敗ログインが記録されている場合はログインURL変更が機能している証拠でもある。

7. SiteGuard WP Pluginとの比較

CloudSecure WP Securityと並んでよく名前が挙がるのがSiteGuard WP Pluginだ。エックスサーバーユーザーにとってどちらが向いているかを整理する。

比較軸 CloudSecure WP Security SiteGuard WP Plugin
開発元エックスサーバー(国産)JP-Secure(国産)
料金無料無料
日本語対応
デフォルト設定済み項目14項目中8項目なし(全項目を設定する必要あり)
2段階認証✅ あり❌ なし
管理画面アクセス制限✅ あり✅ あり
設定ファイルアクセス防止✅ あり❌ なし
エックスサーバーとの相性◎(同一会社・自動インストール対応)◯(利用可能だが自動インストールなし)
ネット上の情報量△(比較的少ない)◎(豊富)

🏆 エックスサーバーユーザーならCloudSecure WP Securityを選ぶ理由

デフォルトで8項目が有効になっているため、インストール直後から防御が始まります。SiteGuard WP Pluginは全項目を自分で設定する必要があるため、設定に時間がかかります。2段階認証と設定ファイルアクセス防止という重要な機能がCloudSecureにしかない点も優位です。エックスサーバーの自動インストール対応によりセットアップが最短で完了するため、初心者には特にCloudSecure WP Securityを推奨します。

結論:エックスサーバーユーザーには迷わずCloudSecure WP Securityを推奨。SiteGuard WP Pluginは情報量が多いため調べながら使いたい人向けだが、エックスサーバー環境での優位性はない。

よくある質問

Q CloudSecure WP Securityは有料ですか?

無料です。登録不要でインストールすれば即日利用できます。エックスサーバーのWordPressクイックスタート・簡単インストールを使った場合は自動でインストールされます。(出典:CloudSecure WP Security公式サイト

Q エックスサーバー以外のサーバーでも使えますか?

はい、使えます。ConoHa WING・シンレンタルサーバー・さくらのレンタルサーバーなど他のサーバーでも利用できます。ただしエックスサーバーのような自動インストール対応はなく、WordPress管理画面から手動でインストールする必要があります。

Q SiteGuard WP Pluginと同時に使えますか?

推奨されません。どちらも同じ機能(ログインURL変更・管理画面アクセス制限等)を持つため、重複による不具合が発生する可能性があります。どちらか一方を選んで使ってください。エックスサーバーユーザーにはCloudSecure WP Securityを推奨します。

Q ログインURLを変更したら元のURLにアクセスするとどうなりますか?

404エラーになります。これは正常な動作です。変更後のログインURLは必ずメモまたはブックマークに保存しておいてください。URLを忘れた場合は、エックスサーバーのサーバーパネルのファイルマネージャーからCloudSecure WP Securityプラグインのフォルダを削除することで元のURL(/wp-login.php)に戻せます。

Q シンプルWAFはエックスサーバーでも有効にしたほうがいいですか?

不要です。エックスサーバーはサーバー側でWAFが常時稼働しているため、プラグインのシンプルWAFを追加で有効にしても防御効果はほぼ変わりません。OFFのままにしておくことを推奨します。(参考:エックスサーバー公式 CloudSecure WP Security解説ページ

Q 自分がログインできなくなった場合はどうすればいいですか?

エックスサーバーのサーバーパネルで対処できます。①サーバーパネル→「WordPressセキュリティ設定」→「ログイン試行回数制限設定」を一時的にOFFにする、②ファイルマネージャーから「wp-content/plugins/cloudsecure-wp-security」フォルダをリネームしてプラグインを無効化する、のいずれかで元の状態に戻せます。

まとめ|エックスサーバーならデフォルト8項目+ログインURL変更で最低限の防御は完了

CloudSecure WP Securityはインストール直後から8項目が有効になっており、追加設定なしでも基本的なセキュリティ対策は整っています。エックスサーバーユーザーが優先して設定すべきは「ログインURL変更」の1項目だけです。
余裕があれば「管理画面アクセス制限」「2段階認証」「画像認証追加」を追加することで、防御レベルをさらに上げられます。

エックスサーバー環境では「シンプルWAF」はOFFのまま、「ログイン試行回数制限」はサーバー側との重複に注意するという2点だけ覚えておけば、設定で迷うことはありません。

最終結論:

インストール直後にやること → ログインURLの変更だけ。
余裕があれば追加する → 管理画面アクセス制限・2段階認証。
エックスサーバーで触らなくていい → シンプルWAF(OFFのまま)。

CloudSecure WP Securityはエックスサーバーのクイックスタートで自動インストールできます。現在エックスサーバーは最大30%オフキャンペーン中(2026年5月7日17:00まで)。WordPressブログをこれから始めるなら今が最安のタイミングです。

エックスサーバーの公式サイトを見る

あわせて読みたい

]]> https://pegasus-note.com/cloudsecure-wp-security-settings/feed/ 0