この記事のレベル
| 初心者 | (3.0) |
| 重要度 | (4.0) |
| 難しさ | (2.5) |
こんにちは、編集長のカワウソです!
「エックスサーバーを契約したけど、CloudSecure WP Securityって使ったほうがよいの?」と悩んでいませんか?
弊社の『エックスサーバー』では、「WordPressクイックスタート」や「WordPress簡単インストール」を利用するときに、セキュリティプラグイン『CloudSecure WP Security』をインストールするかどうかが選べるため、なかには使うかどうか迷う方もいるのではないでしょうか。
そこで今回は、初めて企業ホームページを作る方向けに、『CloudSecure WP Security』のメリットや設定方法を詳しく解説します。
カワウソ
この記事は次のような人におすすめ!
- 初めて企業ホームページを作る人
- 『エックスサーバー』でWordPressを利用する人
- 『CloudSecure WP Security』の設定方法を知りたい人
この記事を読めば、WordPressの管理画面やログイン画面に対するセキュリティレベルを、「無料」かつ「簡単」に向上できます。
セキュリティと利便性のバランスについても言及しているので、ぜひ参考にしてください。
それではどうぞ!
CloudSecure WP Securityとは
▲出典:WordPress.org「CloudSecure WP Security」
『CloudSecure WP Security』は、WordPressの管理画面とログインURLへのサイバー攻撃に対するセキュリティレベルを向上するプラグインです。
クラウドセキュア株式会社が無料で提供しており、国産・日本対応で使いやすい特長があります。
国内シェアNo.1(※2025年6月時点、W3Techs 調べ。)のレンタルサーバーを提供する、弊社エックスサーバーグループのセキュリティ専門企業です。
WordPressのセキュリティ対策プラグイン以外にも、「クラウド型WAF」「Web改ざん検知」「SSLサーバー証明書」を提供しています。
弊社の『エックスサーバー』では、「WordPressクイックスタート」や「WordPress簡単インストール」を利用するときに、同時にインストールするプラグインとして、デフォルトで『CloudSecure WP Security』にチェックが入っています。
(参考)『エックスサーバー』のWordPress簡単インストールの画面
『CloudSecure WP Security』にはさまざまな機能があり、不正ログインやスパムなどの脅威に対して、WordPressのセキュリティレベルを向上できます。
カワウソ
ほかに利用する予定のセキュリティ対策プラグインがなければ、使用することをおすすめします。
CloudSecure WP Securityのメリット5つ
ここからは『CloudSecure WP Security』のメリットを紹介します。
使うかどうか迷っている方は、ぜひ参考にしてください。
- セキュリティ専門企業が提供
- 無料で使える
- 国産&日本語に対応
- シンプルな画面で使いやすい
- 不正ログイン対策の機能が充実
セキュリティ専門企業が提供
WordPressのプラグインのなかには、個人が提供するものもあります。
そんななか、セキュリティ専門企業が開発および、保守・管理するプラグインであることは、大きなメリットです。
セキュリティ対策は、常に進化するサイバー攻撃に対応していく必要があります。
専門的な知識と最新の脅威動向を把握している企業が提供するプラグインであれば、最新の攻撃手法にも迅速に対応し、アップデートされるため、安心してWordPressを運営できます。
無料で使える
『CloudSecure WP Security』は無料で利用できます。
『エックスサーバー』で、「WordPressクイックスタート」や「WordPress簡単インストール」を利用するときに、一緒にインストールできるのはもちろん、WordPressの公式プラグインディレクトリから無料でダウンロードすることも可能。
「セキュリティ対策はしたいけど、有料のプラグインは手が出しにくい……」と感じている方でも、気軽に導入できるのが大きな魅力です。
もちろん、無料でも不正ログイン対策をはじめとした、基本的なセキュリティ機能が備わっています。
国産&日本語に対応
国産かつ日本語に対応しているのも、『CloudSecure WP Security』のメリットの一つです。
海外製のセキュリティプラグインは数多く存在しますが、使い方が難しくて悩んでしまうことも少なくありません。
それが原因で誤った設定をしてしまうと、セキュリティホール(脆弱性)が生まれるリスクも。
『CloudSecure WP Security』なら、管理画面やサポート(フォーラム)がすべて日本語に対応しているため、英語が苦手な方でも安心して利用できます。
設定方法で困ったときや、何かトラブルが発生したときも、日本語でスムーズに質問できるのは心強いポイントです。
シンプルな画面で使いやすい
『CloudSecure WP Security』の管理画面は、直感的に操作できるシンプルなデザインが特長です。
難しい専門用語も少なく、セキュリティ対策に詳しくない方でも簡単に設定を行えます。
インストール後、すぐに利用できる機能も多く、初心者の方でも手間なくセキュリティレベルを高められるでしょう。
不正ログイン対策の機能が充実
『CloudSecure WP Security』は、不正ログインに対する機能が充実しています。
以下は、その具体例です。
| 機能 | 説明 |
|---|---|
| ログイン無効化 | 指定した期間内に指定した回数ログインに失敗した場合、指定した時間ログインを無効化(ブロック)します。 |
| ログインURL変更 | ログインURL(wp-login.php)を変更します。 |
| 2段階認証 | ログイン時、ユーザー名とパスワードの入力に加え、別のコードで追加認証を行います。『Google Authenticator』アプリケーションに表示された6桁の認証コードをログイン画面で入力し、すべての情報が一致すればログインできます。 |
| 画像認証追加 | 画像データ上にランダムに表示される文字の入力を求め、一致しなければ次の画面に進めないようにします。 |
| ユーザー名漏えい防止 | 「?author=数字」のアクセスによるユーザー名の漏えいを防止します。 |
これら機能の活用により、ブルートフォースアタックなどの不正ログインに対するWordPressのセキュリティレベルを向上することができます。
暗号解読方法の一つで、パスワードなど考えられるパターン(組み合わせ)を手あたり次第に試す攻撃です。英語で「brute force(強引な)」と表現されるように、力づくな攻撃と言えます。
なお、WordPressのセキュリティ対策が重要な理由については、以下の記事でも解説しているので、あわせて参考にしてください。
CloudSecure WP Securityの設定方法
ここからは、初めて企業ホームページを作る方向けに、『CloudSecure WP Security』の設定方法を各項目ごとに解説します。
(参考)『CloudSecure WP Security』のダッシュボード(デフォルトの状態)
このあとにご紹介する設定内容は、あくまでも一例です。
企業のステージやホームページの目的などによって判断は変わるため、あくまでも参考程度にしてください。
ログイン無効化
WordPressのログインについて、指定した期間内に指定した回数を失敗した場合に、ブロックする機能です。デフォルトで有効化されています。
基本的にはデフォルトの設定のままで構いません。
| 項目 | 説明 |
|---|---|
| 間隔 | ここで設定した秒数の間(期間)にログイン試行が失敗すると、ブロック状態になります。 |
| ログイン失敗回数 | ここで設定した回数分ログイン試行が失敗すると、ブロック状態になります。 |
| ログイン無効時間 | ここで設定した秒数の間(期間)、ブロック状態になります。 |
デフォルトの設定だと、5秒間に5回連続でログイン試行が失敗すると、60秒間ブロック(ログイン不可)状態になります。
カワウソ
デフォルトの設定でも、非常に速いスピードで大量のパスワードやユーザー名を試行する不正ロボットには、ある程度効果があります。
なお、セキュリティと利便性はトレードオフの関係にあります。
たとえば、「ログイン無効時間」を3600秒(1時間)にすると、その間ブロック状態になるためセキュリティを向上できますが、ご自身がログインを失敗した場合も影響を受けるので注意が必要です。
頻繁にログインする必要がある場合は、それを考慮した時間を設定しましょう。
弊社の『エックスサーバー』には、レンタルサーバーの機能として「WordPressセキュリティ設定」があり、そのなかに「ログイン試行回数制限設定」もあります。
「ログイン試行回数制限設定」はデフォルトで有効化されています。
そのため、たとえば『CloudSecure WP Security』側で「ログイン失敗回数」を15回以上に設定していたとしても、それ未満で「ログイン試行回数制限設定」が作動し、ログインがブロックされることもあります。
もし、ご自身が制限されたなどの理由から、一時的に「ログイン試行回数制限設定」を「OFF(無効)」にする場合は、以下マニュアルの手順に沿って設定を変更し、ご利用後は「ON(有効)」に戻してください。
カワウソ
『CloudSecure WP Security』の「ログイン無効化」と、『エックスサーバー』の「ログイン試行回数制限設定」は、併用可能です。
設定後は、変更を保存の青いボタンを忘れずにクリックしてください。
ログインURL変更
WordPressログイン画面のURLを変更する機能です。
WordPressログイン画面のURLは、デフォルトだと以下の規則性により、誰でも容易にアクセスできてしまいます。
WordPressをルートディレクトリにインストールしている場合
https://ホスト名/wp-login.php
例:https://example.com/wp-login.php
WordPressを特定のサブディレクトリにインストールしている場合
https://ホスト名/サブディレクトリ名/wp-login.php
例:https://example.com/wp/wp-login.php
そのため、ログイン画面のURLを変更することが推奨されるのです。
この「ログインURL変更」機能はデフォルトではOFFであるため、有効化して以下を参考に設定しましょう。
- 変更後のログインURL:
初期値ではランダムな文字列が設定されています。そのままで構いません。
ただし、URLを忘れるとログインができなくなってしまうので、すぐにブックマークに登録しましょう。なお、覚えやすいとはいえ、「login」などの推測される文字列はおすすめしません。 - リダイレクト設定:
「管理者ページからログインページにリダイレクトしない」にチェックを入れてください。
通常、WordPressの管理画面(https://ホスト名/wp-admin/)にアクセスすると、ログインURLにリダイレクト(転送)されます。そのため、URLが分からなくても、実質的に誰でもログイン画面にアクセスできてしまうのです。この機能にチェックを入れることで、リダイレクト先がログイン画面からエラーページ(404 not found)に変わります。
存在しないページにアクセスしたときに表示されるエラーのこと。
ログインURL変更について、以下2つは対象外です。
- XML-RPC(xmlrpc.php)経由のログイン
- 「http://ホスト名/wp-admin/」を指定してアクセスした場合(変更後のログインURLにリダイレクトします)
後者については前述のとおり、リダイレクト設定(管理者ページからログインページにリダイレクトしない)にチェックを入れておけば、リダイレクトされません。
カワウソ
XML-RPC(xmlrpc.php)については、のちほど解説します。
この「ログインURL変更」機能を使用するには「mod_rewrite」がサーバーにロードされている必要があります。『エックスサーバー』ではデフォルトで「mod_rewrite」がインストールされており、追加の設定は必要ありません。
(参考:エックスサーバー「よくある質問 > mod_rewriteは使えますか?」)
ログインエラーメッセージ統一
ログインに関するエラーメッセージについて、ユーザー名、パスワード、画像認証、2段階認証のどれを間違えても同一のメッセージを表示する機能です。
デフォルトで有効化されており、そのままで構いません。
WordPressのログインに関するエラーメッセージは、デフォルトだと以下のとおり、それぞれに表示する内容が決まっています。それにより、ユーザー名が漏えいしやすい仕様なのです。
| 例 | エラーメッセージ |
|---|---|
| ユーザー名が間違っている | ユーザー名 ●●● は、このサイトに登録されていません。ユーザー名が不明な場合は、代わりにメールアドレスを入力してください。 |
| パスワードが間違っている (ユーザー名は合っている) | ユーザー名 ●●● のパスワードが間違っています。 パスワードをお忘れですか ? |
| 画像認証に失敗した (ユーザー名とパスワードが合っている) | 画像認証に失敗しました |
| 2段階認証の認証コードが間違っている (ユーザー名とパスワードが合っている) | 認証コードが間違っているか、有効期限が切れています。 |
たとえば、ユーザー名とパスワードの両方を間違えている場合は、通常「ユーザー名 ●●● は、このサイトに登録されていません。ユーザー名が不明な場合は、代わりにメールアドレスを入力してください。」というメッセージが表示されます。
次に、パスワードのみを間違えている場合は、「ユーザー名 ●●● のパスワードが間違っています。 パスワードをお忘れですか ?」と表示されます。
つまり、後者についてはユーザー名が正解であることを暗示しているのです。
そのため、ログインに関するエラーメッセージを統一することが推奨されます。
この「ログインエラーメッセージ統一」を有効化している状態だと、エラーメッセージが「入力に誤りがあります」に統一されます。
2段階認証
ユーザー名とパスワードの入力に加え、別のコードで追加認証を行います。
『Google Authenticator』アプリケーションに表示された6桁の認証コードを入力しない限り、ログインできません。
ログインするのに手間が発生するものの、セキュリティを飛躍的に向上することができるので、有効化を強くおすすめします。
カワウソ
WordPressに限らず、2段階認証は近年推奨されるセキュリティ対策の一つです。
なお、WordPressの権限グループ別に、有効化の範囲をコントールすることが可能。
それぞれの権限の内容は、以下のとおりです。
(引用:WordPress.org「ユーザーの種類と権限」)
- 管理者 (スラッグ: ‘administrator’) – シングルサイト内のすべての管理機能にアクセスできるユーザー。
- 編集者 (スラッグ: ‘editor’) – 他のユーザーの投稿を含むすべての投稿を公開、管理できるユーザー。
- 投稿者 (スラッグ: ‘author’) – 自身の投稿を公開、管理できるユーザー。
- 寄稿者 (スラッグ: ‘contributor’) – 自身の投稿を編集・管理できるが、公開はできないユーザー。
- 購読者 (スラッグ: ‘subscriber’) – プロフィール管理のみを実行できるユーザー。
各ユーザーの権限グループの確認や変更は、WordPressメインナビゲーションの「ユーザー > ユーザー一覧」からできます。※変更は「管理者」権限を持つユーザーのみです。
2段階認証をアクティブにする手順
ここでは、2段階認証を有効化するまでの手順を詳しく解説します。
なお、『Google Authenticator』が必要なので、あらかじめスマートフォンにインストールしておいてください。
WordPressメインナビゲーションの「2段階認証」にアクセスしたのち、セットアップキーを生成をクリックします。すると、QRコードが表示されます。
スマートフォンで『Google Authenticator』を開いたのち、画面右下に表示される+ボタンから、QRコードをスキャンをクリックして、さきほどWordPressの画面に表示されたQRコードを読み取ります。
『Google Authenticator』に6桁の認証コードが表示されるので、WordPress側のQRコードの下にある欄に入力します。
入力したら、変更を保存をクリックしてください。
「セットアップキーを保存しました」と表示されれば、設定完了です。
2段階認証を各ユーザーにアクティブにするには、それぞれのアカウントでログインして同じ手順を行ってください。なお、各ユーザーの2段階認証の設定状況は、WordPressメインナビゲーションの「ユーザー > ユーザー一覧」から確認できます。
画像認証追加
画像データ上にランダムに表示される文字の入力を求め、一致しなければ次の画面に進めないようにする機能です。
基本的には有効化し、以下4つのフォームすべてに適用しましょう。
以下、各フォームの説明です。
| 項目 | 説明 |
|---|---|
| ログインフォーム | WordPressのログイン画面です。 |
| コメントフォーム | WordPressのコメントフォームです。 「設定 > ディスカッション」の画面で「新しい投稿へのコメントを許可」にチェックを入れている(デフォルトではON)と、「投稿」で作成したページにコメントフォームが表示されるようになります。 |
| パスワードリセットフォーム | WordPressのパスワードリセット画面です。 WordPressのログイン画面にある「パスワードをお忘れですか ?」というテキストリンクからアクセスできます。 |
| ユーザー登録フォーム | WordPressのユーザー登録画面です。 「設定 > 一般」の画面で「だれでもユーザー登録ができるようにする」にチェックを入れている(デフォルトではOFF)と、WordPressのログイン画面に「登録」というテキストリンクが表示されます。その「登録」をクリックした画面のことです。 |
カワウソ
WordPressの「ユーザー登録画面」や「コメントフォーム」は、そもそも法人だとセキュリティ上の観点から、機能自体をオフにすることをおすすめします。
コメントフォームの機能をOFFにする方法は、以下の記事で詳しく解説しています。
「ログインフォーム」「コメントフォーム」「パスワードリセットフォーム」「ユーザー登録フォーム」について、『Cloudflare Turnstile』などのスパム対策ツールを適用している場合は注意が必要です。『Cloudflare Turnstile』と『CloudSecure WP Security』の機能が競合するおそれがあるため、どちらか一方に絞って使いましょう。
カワウソ
『Cloudflare Turnstile』は「お問い合わせフォーム」に、『CloudSecure WP Security』は「ログインフォーム」や「パスワードリセットフォーム」に適用するといった使い分けがおすすめです。
管理画面アクセス制限
管理画面にログインしていない接続元IPアドレスから、管理ページ(/wp-admin/以降)にアクセスすると、エラー画面(404 not found)を表示する機能です。
デフォルトではOFFになっています。
たとえば、悪意のある第三者(ログインしていない人)が、WordPressの管理画面のURLを開こうとしても、「ページが見つかりません」というエラーが表示されるため、ログイン試行できません。
なお、アクセス制限の対象は、管理画面に24時間以上ログインしていない接続元IPアドレスです。
自社などログインが可能な接続元IPアドレスの場合でも、ログアウト状態が24時間経過したあとは、再ログインが求められることがある点は留意しておきましょう。
セキュリティ観点では有効化が推奨されますが、利便性に影響を与える部分も大きいため、実際に使ってみて「あまりにも手間がかかる」と感じる場合は機能をOFFにしましょう。
社内のインターネット接続が決まったIPアドレス(固定IPアドレス)ではなく、動的IPアドレスの場合は注意が必要です。定期的にIPアドレスが変わるため、そのタイミングを境にWordPressのログインが求められます。
設定ファイルアクセス防止
ホームページの重要な設定ファイルに対するアクセスを検知すると、エラー画面(403 Forbidden)を表示する機能です。デフォルトでは有効化されているので、そのままにしてください。
この機能を有効化すると、「wp-config.php」や「.htaccess」といった、通常はブラウザから直接アクセスされることを想定していない設定ファイルに、誰かがURLを通じてアクセスしようとした場合、エラー画面(403 Forbidden)を表示します。
これにより、ファイルの内容が外部に漏れるのを防ぎます。
wp-config.php
WordPressのもっとも重要な設定ファイルです。データベースの接続情報やセキュリティ情報など、ホームページの核となる情報が記述されています。このファイルが外部に流出すると、データベースが不正にアクセスされ、ホームページ全体の改ざんや情報漏洩につながるおそれがあります。
.htaccess
サーバーの動作を制御するための設定ファイルです。リダイレクトやアクセス制限など、ホームページの動作に関する重要なルールが記述されています。このファイルが改ざんされると、ホームページの表示が崩れたり、予期しないページにリダイレクトされたりするおそれがあります。最悪の場合、ホームページ全体が乗っ取られたりする危険性もあります。
ユーザー名漏えい防止
「?author=数字」のアクセスによるユーザー名の漏えいを防止します。
デフォルトでは有効化されていますので、そのままにしてください。
WordPressはデフォルトでは、「https://ホスト名/?author=1」にアクセスすると、投稿者アーカイブのページにリダイレクト(転送)されます。
じつはこの投稿者アーカイブのページURLに、WordPressログイン時のIDである「ユーザー名」が表示されてしまうのです。
(例)「https://ホスト名/author/ユーザー名/」
ユーザー名が漏えいすると、パスワードの解読に専念できることから、攻撃者に不正ログインされやすくなります。
この「ユーザー名漏えい防止」機能を有効化していると、仮に投稿者アーカイブにアクセスされたとしても、以下のURL(エラーページ)に転送されるので、安心です。
(例)「https://ホスト名/cloudsecurewp_404」
このほかにも、ユーザー名はブログ(投稿ページ)に「執筆者」として表示されてしまいます。
WordPressメインナビゲーションの「ユーザー > プロフィール」にある「ブログ上の表示名」では、これを「ニックネーム」に変えることが可能です。
WordPressの初期設定として、以下の記事でも解説しているので、参考にしてください。
XML-RPC無効化
XML-RPC経由での不正ログインを防ぐ機能です。
デフォルトで有効化されています。
ピンバック
他社のホームページを紹介したとき(されたとき)に、通知を送信(受信)するためのWordPress機能
XML-RPC
WordPressを外部から遠隔操作するための仕組み
たとえば、WordPressのスマホアプリでは、このXML-RPCの仕組みにより、記事を投稿できるようになっています。
しかし、不正ログインをはじめ、DoS攻撃(ホームページに対して大量のリクエストを送信することにより、機能を停止させる)や、DDoS攻撃(複数の端末から仕掛けるDOS攻撃)を受けるリスクが高まります。
そのため、WordPressのスマホアプリの使用や、遠隔操作を目的とした外部システムとの連携などの予定がなければ、「XML-RPC無効」にチェックを入れましょう。
「XML-RPC無効」にチェック入れると、ピンバック含めXML-RPC全体がOFFになります。
プラグインの中には、『Jetpack』など稀にXML-RPCを使用するものもあります(参考:Jetpack)。そのため、他のプラグインが正しく動作しない場合は、一旦XML-RPCの無効化を解除してみましょう。
弊社の『エックスサーバー』には、レンタルサーバーの機能として「WordPressセキュリティ設定」があり、そのなかに「国外IPアクセス制限 > XML-RPC API アクセス制限」もあります。
「XML-RPC API アクセス制限」はデフォルトで有効化されています。
「XML-RPC WordPress API」に対する国外IPアドレス及び一部の国内ホスティングサービス環境のアドレスからの接続を、制限することが可能です。
カワウソ
『CloudSecure WP Security』の「XML-RPC無効」と、『エックスサーバー』の「XML-RPC API アクセス制限」は、併用可能です。
REST API無効化
REST APIの悪用を防ぐため、機能自体を無効化する機能です。
デフォルトではOFFになっているので、必要に応じて有効化してください。
API(Application Programming Interface)とは、アプリケーションのさまざまな機能を外部から利用できるよう設計されたインターフェース(接点)のこと。そのなかでもREST APIは、Webの技術(HTTP)に基づくルールが定められたAPIです。
たとえば、REST APIによってWordPressの管理画面を経由せずに投稿や編集、更新などができてしまうので、セキュリティ上はよくありません。
この機能を使うとREST APIを無効化できますが、WordPressおよびプラグインに不具合が発生するおそれがある点は注意してください。
この機能を利用する場合は、事前にインストールしているプラグインがREST APIを使用しているかどうか調べ、必要に応じて除外リストに追加しましょう。
たとえば、『Site Kit by Google』では、プラグインページのFAQに以下のような表記があるため、その判断ができます。
Site Kit は REST API 経由で Google サービスと通信できる必要があります。
(引用:WordPress.org「Site Kit by Google – FAQ」)
カワウソ
REST APIの無効化により、ブロックエディタが正しく動作しないケースもあります。その場合は、REST APIの無効化を解除することを検討してください。
ページを作成するときに、コンテンツを独立したブロック(パーツ)として扱う編集機能です。これにより、ユーザーは各ブロック(例:見出し、段落、画像、動画、ボタンなど)を自由に配置、移動、削除することで、直感的にレイアウトを組み立てられます。
WordPressの「REST API」を使用する方は、パーマリンク構造の設定に注意が必要です。
パーマリンク構造の設定が「基本」だと、WordPressのREST API自体が正しく動作しません。
パーマリンク構造の設定については、以下の記事で解説しています。
弊社の『エックスサーバー』には、レンタルサーバーの機能として「WordPressセキュリティ設定」があり、そのなかに「国外IPアクセス制限 > REST API アクセス制限」もあります。
「REST API アクセス制限」はデフォルトで有効化されています。
「REST API」に対する国外からの接続を制限することが可能です。
カワウソ
『CloudSecure WP Security』の「REST API無効化」と、『エックスサーバー』の「REST API アクセス制限」は、併用可能です。
シンプルWAF
WAF(Web Application Firewall)とは、Webアプリケーション(例:WordPress)の脆弱性を悪用した攻撃から、ホームページを保護する仕組みです。
この「シンプルWAF」では、WordPressへの基本的な攻撃を検知すると、403エラー(Foribidden)を返して検知履歴を記録し、管理者にメールで通知します。
デフォルトではOFFになっているので、有効化しましょう。
検知する攻撃は以下のとおりです。
| 攻撃の種類 | 説明 |
|---|---|
| SQL インジェクション | 入力フォームに不正な文字列を入れて、データベースの情報を盗んだり、書き換えたり、削除してしまう攻撃です。個人情報の流出などにつながるおそれがあります。 |
| クロスサイト スクリプティング | ホームページに悪意のあるスクリプトを埋め込み、訪問者のブラウザで勝手に動かす攻撃です。クッキー情報の盗み取りや偽サイトへの誘導に悪用されることがあります。 |
| OSコマンド インジェクション | 入力値に不正な命令を混ぜ込み、サーバーのシステムを操作させる攻撃です。最悪の場合、サーバーを乗っ取られてしまう危険があります。 |
| コード インジェクション | アプリケーションに不正なプログラムコードを挿入し、サーバーで実行させる攻撃です。攻撃者が自由に操作できる状態になる可能性があります。 |
| メールヘッダ インジェクション | 問い合わせフォームなどに不正な情報を入れ、サーバーを使って大量の迷惑メールを送信させる攻撃です。結果として自分のホームページが迷惑メールの踏み台にされることがあります。 |
なお、1分間以内に同じ種別の攻撃を検知した場合、検知履歴は記録されますが、メールで通知されない点は留意しておきましょう。
その他(通知機能について)
以下の通知機能はデフォルトで有効化されているので、そのままにしておいてください。
- ログイン通知(ログインがあったとき、通知メールが届く)
- アップデート通知(WordPress、プラグイン、テーマの更新情報メールが届く)
- サーバーエラー通知(Internal Server Errorがあったとき、通知メールが届く)
たとえば、心当たりのないログインがあれば、不正ログインを疑ってください。
早期に発見することで、被害を最小限に抑えることが可能です。
また、アップデート通知をうまく活用して、WordPress、プラグイン、テーマを最新の状態に保ちましょう。
これらを最新状態に保つことが、セキュリティの基本です。
CloudSecure WP Securityに関するFAQ(よくある質問)
最後に、『CloudSecure WP Security』に関するよくある質問をまとめました。
- 変更後のログインURLを忘れてログインできません。
ログインURLを変更したときに、管理者宛てにメールが送信されています。
メールのなかに変更後のログインURLが記載されているので、確認してください。また、『エックスサーバー』のサーバーパネル > WordPress簡単インストール > 「詳細」ボタンをクリックすると、変更後のログインURLを確認できます。
なお、XServerアカウントおよびサーバーパネルは、セキュリティを向上するためにも、二段階認証を設定しておいてください。
(参考:エックスサーバー「二段階認証設定」)
- ログインを失敗していないのに無効化される
この問題が起きるのは、同じ接続元IPアドレスにいる他のユーザーが、先にログインを繰り返し失敗したためと考えられます。
企業や学校によっては、セキュリティや管理上の理由から、複数のコンピューターのインターネット通信を一つにまとめる仕組みを採用しています。
この場合、すべてのユーザーが同じ接続元IPアドレスになるのです。このような問題が頻繁に起こる場合は、「ログイン無効化」機能の「間隔(期間)」を短くしたり、「ログイン失敗回数(許容値)」を多くするなどの対処を検討してください。
- CloudSecure WP Securityの問い合わせ先は?
『CloudSecure WP Security』の問い合わせ先は、WordPress.orgのサポートフォーラムになります
まとめ
この記事では、初めて企業ホームページを作る方向けに、『CloudSecure WP Security』のメリットや設定方法を詳しく解説しました。
- 『CloudSecure WP Security』は、管理画面やログインURLのセキュリティを向上するプラグイン
- 『CloudSecure WP Security』は、日本のセキュリティ専門企業が提供しているため安心
- セキュリティと利便性はトレードオフの関係にあるため、バランスを考えて設定する
- 不明点があれば、使い方やマニュアルを確認したうえでフォーラムに質問する
初めて作るホームページだと、どんなセキュリティ対策をすればよいか分からないですよね。
WordPressでホームページを作る場合は、ひとまずこの『CloudSecure WP Security』を使えば、必要最低限のセキュリティ対策はできます。
あとは自社の状況に応じて、セキュリティ対策を整えていきましょう。
それでは素敵なホームページの完成を願っております。
最後まで読んでいただき、ありがとうございました。
ホームページの開設を検討している方へ
エックスサーバーは、高速かつ高い安定性を誇る「高性能レンタルサーバー」です。
国内シェアNo.1※のレンタルサーバーであり、23万社の導入実績があります。
2025年10月6日(月)17時まで、サーバー利用料金が最大30%オフになる期間限定キャンペーンを開催中です!
今なら月額693円~とお得にホームページを開設できます!
.comや.netなど大人気ドメインも永久無料と過去最大級にお得です。
ぜひこのお得な機会にホームページ開設をご検討ください!
※ 2025年6月時点、W3Techs調べ。
XServerビジネスは、エックスサーバーを法人向けに特化したレンタルサーバーです。
サーバー月間稼働率99.99%以上を保証する「SLA」をはじめ、セキュリティやサポートが充実しています。
2025年10月7日(火)17時まで、初期費用が0円になる期間限定キャンペーンを開催中です!
今ならお得にホームページを開設できます!
コーポレートサイトでよく使われる「.co.jp」のドメインも永久無料で、大変お得です。
ぜひこのお得な機会にホームページ開設をご検討ください!
『エックスサーバー』と『XServerビジネス』の違いは、以下の記事で詳しく解説しています。
なお、当メディア「初心者のための会社ホームページ作り方講座」では、初心者の方にわかりやすく会社のホームページを始められる方法を紹介しています!
ホームページの始め方・立ち上げに関する、ご質問・ご相談はツイッターDM( @kawauso_xsv )までお気軽にどうぞ!
カワウソ
当メディアはリンクフリーです。貴社のSNSやブログでご紹介いただけると嬉しいです。
