【完全版】CloudSecure WP Security
設定・運用マニュアル
本マニュアルの対象者:初心者 〜 サイト立ち上げに慣れた中上級者まで
CloudSecure WP Securityは、エックスサーバー社が開発・運営する非常に軽量かつ強力な国産の無料セキュリティプラグインです。完全日本語対応で扱いやすい反面、ブログ上級者でも設定の意図や「締め出しリスク」を正確に記憶している人は多くありません。新規サイト立ち上げ(WordPressインストール直後)のたびに確認すべき設定のチェックシートとしてご活用ください。
1. 導入直後に必ず行うべき「手動設定」
プラグインを有効化した後、管理画面メニューから必ず個別に確認・変更すべき最重要項目です。
① ログインURLの変更 & リダイレクト設定 最重要
初期のログインURL(/wp-login.phpや/wp-admin/)はハッカーやbotから常に狙われています。ここを独自URLに変えることが最大の防御です。
- 設定方法: メニューの「ログインURLの変更」で、推測されにくい独自の文字列(ファイル名)を入力。
- 管理者ページからログインページにリダイレクトしない: 必ず「ON(チェックを入れる)」にする。
【達人でも見落としがちな盲点:リダイレクトなしの重要性】
このチェックを入れ忘れる(オフにする)と、ハッカーが標準の /wp-admin/ にアクセスした際、サーバーが親切に「新しい秘密のログインURL」へ自動で転送(リダイレクト)してしまいます。これではURLを変更した意味がありません。ONにすることで自動転送を阻止し、ハッカーに「404 Not Found(ページなし)」エラーを返して完全にURLを隠匿できます。
② 画像認証追加(CAPTCHA) 必須設定
ログイン画面やフォームに「ひらがな」や「英数字」の画像認証を挟み、プログラムによる自動総当たり攻撃(ブルートフォースアタック)や迷惑コメントを一掃します。
- 設定方法: メニューの「画像認証追加」を開く。
- 対応: 以下の3つすべてにチェックを入れて有効化する。
- ログインフォーム
- コメントフォーム(海外からのスパムコメントを完全に弾きます)
- パスワードリセットフォーム
2. デフォルトで「自動有効化」されている安心機能
CloudSecureは優秀なプラグインのため、インストールした時点で以下の機能が自動的にオンになっています。設定は触らず、そのまま有効状態を維持してください。
| 機能名 |
効果と役割 |
| ログイン無効化 自動ON |
短時間に連続してログインを失敗したIPアドレスを検知し、一定時間完全にロック(ブロック)します。 |
| エラーメッセージ統一 自動ON |
ログイン失敗時、「ユーザー名が違います」「パスワードが違います」と教えず、一律で「情報が間違っています」と表示。ハッカーにヒントを与えません。 |
| ユーザー名漏えい防止 自動ON |
WordPressの仕様(/?author=1などの特殊なURLアクセス)を悪用し、外部からログインID(ユーザー名)をのぞき見される脆弱性を塞ぎます。 |
| XML-RPC無効化 自動ON |
アプリ連携などで使う古い通信規格(現在はほぼ不使用)を遮断。ここを突いた大量アクセス攻撃を予防します。 |
3. 中上級者でも【オフ(無効)】のままにすべき機能
「強力そうだから」という理由ですべての機能をオンにすると、運用の障害になります。以下の機能は原則オフのまま運用してください。
◆ 管理画面アクセス制限(原則:オフ推奨)
特定のIPアドレス(主に自宅のインターネット回線など)からしか管理画面に入れないようにする機能です。
一見強力ですが、スマホ回線(4G/5G)から記事を書いたり、カフェのWi-Fiでサイトをチェックしたりする際に、自分自身が「不審なアクセス」と判定されて管理画面から締め出されるトラブルが多発します。個人運営のサイトでは、オフのままにしておくのが最も安全かつ快適です。
◆ 2段階認証(お好みで:通常はオフでOK)
スマホの認証アプリと連動させる仕組みです。セキュリティは強固になりますが、毎回のログインに手間がかかるようになります。「ログインURL変更 + リダイレクトなし + 画像認証」が揃っていれば突破されることはほぼ無いため、無理に設定する必要はありません。
4. トラブルシューティング:変更後のURLを忘れた場合
「ブックマークを忘れた」「URLのメモを紛失した」という場合でも、サーバー側(エックスサーバー等のファイルマネージャー)からいつでも救出可能です。焦らず以下のいずれかを実施してください。
方法 A:.htaccess ファイルから特定する(推奨)
- サーバーのファイルマネージャーから、対象ドメインの
public_html フォルダを開く。
- 中にある
.htaccess というファイルを「編集」または「ダウンロード」して開く。
- ファイル内から以下の記述を探す:
RewriteRule ^○○○○○○(.*)$ wp-login.php$1 [L]
- この
○○○○○○ に書かれている文字列が、あなたが設定した秘密のログインURLです。(例: secret-abc なら、新しいURLは https://ドメイン名/secret-abc)
方法 B:プラグインを一時的に「強制停止」して初期URLに戻す
- サーバーのファイルマネージャーから
public_html/wp-content/plugins/ フォルダを開く。
- その中にある
cloudsecure-wp-security フォルダの名前を変更し、末尾に「-off」などをつける。(例: cloudsecure-wp-security-off)
- プラグインが強制停止するため、従来のURL(
https://ドメイン名/wp-admin/)からログイン画面を開き、通常通りログインする。
- 【重要】ログイン状態のまま別のタブでサーバーのファイルマネージャーを開き、フォルダ名を元の
cloudsecure-wp-security に戻す。
- WordPressの管理画面に戻り、ブラウザを再読み込み(リロード)する。これでプラグインの設定画面が開けるようになるため、メニューの「ログインURLの変更」から、忘れてしまったURLを確認、または再設定する。