この記事のポイントは次のとおりです。インストール直後にやることはログインURLの変更だけで、あとはデフォルトで十分防御されています。余裕があれば管理画面アクセス制限・2段階認証・画像認証追加の3項目を追加しましょう。シンプルWAFはエックスサーバー側のWAFで代替済みのためOFFのままでOKです。

1. CloudSecure WP Securityとは

CloudSecure WP Securityは、エックスサーバーグループが開発した国産・無料・日本語対応のWordPressセキュリティプラグインです。管理画面とログインページへの不正アクセスを防ぐことに特化しています。

2022年リリース。開発はクラウドセキュア株式会社（エックスサーバーグループ）が行い、エックスサーバー株式会社へ事業移管されました。完全無料・登録不要で利用でき、日本語対応のマニュアルとフォーラムが整備されています。エックスサーバーの「WordPressクイックスタート」「WordPress簡単インストール」では同時インストールが可能です。

エックスサーバーはサーバー側でWAF・ログイン試行回数制限・XML-RPCアクセス制限などのセキュリティ機能を標準搭載しています。CloudSecure WP Securityはこれらと重複しない設計になっており、プラグインとサーバーのダブル防御が可能です。他のサーバーでも利用できますが、エックスサーバー環境での動作検証が最も充実しています。

2. ダッシュボードで全体を確認する

インストール・有効化が完了したら、まずダッシュボードで全14項目のON/OFF状態を確認します。デフォルトで有効な8項目はそのまま触らなくてよいです。WordPressの管理画面から「CloudSecure WP Security」→「ダッシュボード」を選択すると、全項目の状態が一覧で確認できます。

デフォルト有効の8項目はそのまま維持します。追加で設定すべきは「ログインURL変更」「管理画面アクセス制限」「2段階認証」「画像認証追加」の4項目です。「シンプルWAF」はエックスサーバーではOFFのままにしてください。

3. 最優先で設定すべき項目：ログインURL変更

WordPressのログインページURLはデフォルトで「/wp-login.php」に固定されており、攻撃者に丸見えの状態です。ログインURLを変更するだけで不正ログイン試行を劇的に減らせます。CloudSecure WP SecurityのダッシュボードまたはサイドメニューからログインURL変更の設定画面を開きます。

設定手順は次のとおりです。

1. 「ログインURL変更」をONにする
2. 「変更後のログインページスラッグ」に任意の文字列を入力する
3. 「変更する」ボタンをクリックして保存

スラッグは推測されにくいランダムな文字列（例：login-a7x9k2）を使用してください。設定後は必ずメモを取るか、ブックマークに保存しておきましょう。URLを忘れると自分自身がログインできなくなります。ログインURLを変更した場合、変更前のURL（/wp-login.php）にアクセスすると404エラーになります。URLを忘れた場合はFTPやサーバーパネルからプラグインを無効化することで元のURLに戻せます。

4. 追加推奨3項目の設定

ログインURL変更の次に設定しておきたいのが、管理画面アクセス制限・2段階認証・画像認証追加の3項目です。いずれもONにするだけで防御レベルが大幅に上がります。

管理画面アクセス制限

WordPressの管理画面（/wp-admin/）へのアクセスをログイン済みユーザーのみに制限します。ログインしていない状態でアクセスすると403エラーを返すため、管理画面への総当たり攻撃を防げます。

管理画面アクセス制限をONにすると、一部のプラグインやテーマの機能が正常に動作しない場合があります。問題が発生した場合は一時的にOFFにして確認してください。

2段階認証

ログイン時にパスワードに加えて、Google AuthenticatorなどのアプリのワンタイムパスワードをGoogleを要求します。パスワードが漏えいしても不正ログインを防げる、最も強力な認証方法です。

2段階認証を設定する前に、必ずGoogle AuthenticatorやAuthyなどの認証アプリをスマートフォンにインストールしておいてください。認証アプリなしで2段階認証を有効にすると、ログインできなくなります。3項目の中で最も重要なのはログインURL変更と2段階認証です。この2つを設定するだけで、一般的なブログサイトへの不正ログイン試行のほとんどを防げます。

5. エックスサーバーユーザーが注意すべき2つの重複問題

エックスサーバーにはサーバー側のセキュリティ機能が標準搭載されています。CloudSecure WP Securityの一部項目と重複するため、設定前に必ず確認が必要です。

シンプルWAF：エックスサーバーではOFFのまま

CloudSecure WP SecurityのシンプルWAFは、エックスサーバーのサーバー側WAF（Web Application Firewall）と同じ役割を担います。エックスサーバーではサーバー側のWAFがすでに常時稼働しているため、プラグイン側のシンプルWAFを追加で有効にしても防御効果はほとんど変わらず、処理負荷だけが増えます。

ログイン無効化：エックスサーバー側の制限と重複する場合あり

エックスサーバーのサーバーパネルには「WordPressセキュリティ設定」→「ログイン試行回数制限設定」があり、デフォルトで有効になっています。CloudSecure WP Security側で「ログイン失敗回数」を多めに設定していても、エックスサーバー側の制限が先に作動してロックされる場合があります。

自分自身がロックされてしまった場合は、エックスサーバーのサーバーパネルで「ログイン試行回数制限設定」を一時的にOFFにしてから解除してください。シンプルWAFはOFFのまま、ログイン無効化はデフォルトの設定値のまま使うか、エックスサーバー側の制限との兼ね合いを確認してから調整しましょう。

6. ログイン履歴で不正アクセス試行を確認する

CloudSecure WP Securityはログイン履歴を記録しています。定期的に確認することで、不正アクセスの試行状況を把握できます。「CloudSecure WP Security」→「ログイン履歴」から確認できます。成功・失敗・ブロックの3種類のステータスで記録されます。

見知らぬIPアドレスからの失敗ログインが大量に記録されている場合、ログインURL変更や2段階認証が有効に機能していることの確認にもなります。ログイン履歴は月1回程度確認する習慣をつけると、サイトへの攻撃状況を把握できます。

7. SiteGuard WP Pluginとの比較

CloudSecure WP Securityと並んでよく名前が挙がるのがSiteGuard WP Pluginです。エックスサーバーユーザーにとってどちらが向いているかを整理します。

デフォルトで8項目が有効になっているため、インストール直後から防御が始まります。SiteGuard WP Pluginは全項目を自分で設定する必要があるため、設定に時間がかかります。2段階認証と設定ファイルアクセス防止という重要な機能がCloudSecureにしかない点も優位です。エックスサーバーの自動インストール対応によりセットアップが最短で完了するため、エックスサーバーユーザーにはCloudSecure WP Securityをおすすめします。

よくある質問

CloudSecure WP Securityは有料ですか？

無料です。登録不要でインストールすれば即日利用できます。エックスサーバーのWordPressクイックスタート・簡単インストールを使った場合は自動でインストールされます。詳しくはCloudSecure WP Security公式サイトで確認できます。

エックスサーバー以外のサーバーでも使えますか？

使えます。ConoHa WING・シンレンタルサーバー・さくらのレンタルサーバーなど他のサーバーでも利用できます。ただしエックスサーバーのような自動インストール対応はなく、WordPress管理画面から手動でインストールする必要があります。

SiteGuard WP Pluginと同時に使えますか？

推奨されません。どちらも同じ機能（ログインURL変更・管理画面アクセス制限等）を持つため、重複による不具合が発生する可能性があります。どちらか一方を選んで使ってください。エックスサーバーユーザーにはCloudSecure WP Securityをおすすめします。

ログインURLを変更したら元のURLにアクセスするとどうなりますか？

404エラーになります。これは正常な動作です。変更後のログインURLは必ずメモまたはブックマークに保存しておいてください。URLを忘れた場合は、エックスサーバーのサーバーパネルのファイルマネージャーからCloudSecure WP Securityプラグインのフォルダを削除することで元のURL（/wp-login.php）に戻せます。

シンプルWAFはエックスサーバーでも有効にしたほうがいいですか？

不要です。エックスサーバーはサーバー側でWAFが常時稼働しているため、プラグインのシンプルWAFを追加で有効にしても防御効果はほぼ変わりません。OFFのままにしておくことをおすすめします。

自分がログインできなくなった場合はどうすればいいですか？

エックスサーバーのサーバーパネルで対処できます。サーバーパネル→「WordPressセキュリティ設定」→「ログイン試行回数制限設定」を一時的にOFFにするか、ファイルマネージャーから「wp-content/plugins/cloudsecure-wp-security」フォルダをリネームしてプラグインを無効化することで元の状態に戻せます。

まとめ

CloudSecure WP Securityはインストール直後から8項目が有効になっており、追加設定なしでも基本的なセキュリティ対策は整っています。エックスサーバーユーザーが優先して設定すべきは「ログインURL変更」の1項目だけです。余裕があれば「管理画面アクセス制限」「2段階認証」「画像認証追加」を追加することで、防御レベルをさらに上げられます。

• インストール直後にやること → ログインURLの変更だけ
• 余裕があれば追加する → 管理画面アクセス制限・2段階認証
• エックスサーバーで触らなくていい → シンプルWAF（OFFのまま）

CloudSecure WP Securityはエックスサーバーのクイックスタートで自動インストールできます。定期的にキャンペーンを実施しています。最新の料金は公式サイトで確認してください。

エックスサーバーの公式サイトを見る