WordPressのセキュリティプラグインを調べると、Wordfence・SiteGuard・Really Simple Securityなど、多数の選択肢が出てきます。
どれを選べばいいかわからない。機能が多すぎて設定が難しそう。そう感じて後回しにしてしまう方が多いです。
結論から言います。エックスサーバーを使っているなら、CloudSecure WP Securityを選んでください。設定は4項目だけです。
この記事では、CloudSecureを選ぶ理由と、最低限やるべき設定の手順を解説します。
CloudSecure WP Securityとは何か|エックスサーバー製の強み
サーバーを作った会社が作ったプラグイン
CloudSecure WP Securityは、エックスサーバーが開発したWordPress向けのセキュリティプラグインです。無料で使えます。
他のセキュリティプラグインとの決定的な違いは「サーバーの仕様を前提に設計されている」ことです。
外部のセキュリティプラグインは、どのサーバーでも動くように汎用的に作られています。エックスサーバー固有の機能との連携は、考慮されていないことがほとんどです。
CloudSecureはエックスサーバーのWAF(Webアプリケーションファイアウォール)との親和性が高く、干渉が起きにくいです。他のプラグインで起きやすい「セキュリティプラグインを入れたら500エラーが出た」という問題が起きにくい構造です。
クイックスタートでは初期インストール済みの場合がある
エックスサーバーのWordPressクイックスタートを使った場合、CloudSecureが最初からインストールされていることがあります。
インストール済みの場合は「有効化」をクリックするだけで使える状態になります。プラグイン一覧で「CloudSecure WP Security」を探し、有効化してください。
CloudSecureの設定で最初にやること|4つの重要設定
設定1:ログインURLの変更
WordPressのデフォルトのログインURLは /wp-login.php です。
このURLは全WordPressサイト共通で知られています。自動的にログインを試みるボット(総当たり攻撃ツール)は、このURLに対して大量のアクセスを繰り返します。
CloudSecureのダッシュボードから「ログインURL変更」の設定画面を開き、任意のURLに変更します。
必ず変更後のURLをメモしてください。
変更後のURLを忘れると、自分がWordPressにログインできなくなります。パスワードマネージャーかテキストファイルに保存してから設定してください。
設定2:ログイン試行回数の制限
パスワードを何度も試す「ブルートフォース攻撃」への対策です。
一定回数のログイン失敗が続くと、そのIPアドレスからのアクセスを一時的にブロックします。CloudSecureの設定画面から「ログイン試行制限」を有効にします。
デフォルトの設定値(5回失敗で15分ブロックなど)で問題ありません。
設定3:XML-RPCの無効化
XML-RPCはWordPressのリモート投稿機能です。モバイルアプリや外部サービスからWordPressを操作するために使われます。
使っていない場合は無効にすることを推奨します。XML-RPCは過去に複数の脆弱性が発見されており、攻撃の入口として悪用されるケースがあります。
CloudSecureの設定画面から「XML-RPC無効化」をオンにします。
設定4:ダッシュボードへの直接アクセスの制限(任意)
管理画面のURLに対して、ログインしていない状態でのアクセスを制限できます。
特定のIPアドレスからのみ管理画面にアクセスできるように設定する機能です。固定IPを持っている場合に有効な設定です。
モバイル回線などIPアドレスが変動する環境からアクセスする場合は、設定後にアクセスできなくなることがあります。自分の環境を確認してから設定してください。
SiteGuardとの違い|なぜCloudSecureを選ぶのか
SiteGuard WP Pluginもよく使われるセキュリティプラグインです。機能は似ています。
エックスサーバー環境でどちらかを選ぶなら、CloudSecureです。理由は前述の通り、エックスサーバーのWAFとの親和性が高いためです。
両方を同時にインストールする必要はありません。機能が重複し、設定の管理が複雑になります。どちらかを選んで使ってください。
CloudSecureで対応できないセキュリティ設定
.htaccessでの追加設定
CloudSecureだけでは対応できないセキュリティ設定があります。
wp-config.phpへの直接アクセス制限、特定のディレクトリへのアクセス制限などは、.htaccessに直接書く方法が有効です。
ただし、.htaccessの記述ミスはサイト全体にアクセスできなくなる原因になります。CloudSecureの設定を先に完了させてから、余裕があれば検討してください。
詳しくは「.htaccessでWordPressを守る方法」を参照してください。
エックスサーバーのWAF強化
CloudSecureの設定が完了したら、エックスサーバーのサーバーパネルからWAFの強度を上げます。
WAFの強化はプラグインの設定完了後に行うことが重要です。WAFを先に強化すると、プラグインの動作に干渉して500エラーが出ることがあります。詳しくは「セキュリティとカスタマイズの順序」を確認してください。
まとめ|CloudSecure設定の4ステップ
この記事の内容を整理します。
やること4つ
- ログインURLの変更(変更後URLを必ずメモ)
- ログイン試行回数の制限を有効にする
- XML-RPCを無効にする
- 設定完了後にエックスサーバーのWAFを強化する
CloudSecureを選ぶ理由
エックスサーバー製のため、サーバーのWAFとの親和性が高い。他のセキュリティプラグインを追加で入れる必要がなくなる。
CloudSecureの設定が完了したら、次は「使うプラグインはこの6本だけ」を確認してプラグイン構成を整えてください。
