セキュリティ対策プラグイン【SiteGuard WP Plugin】の設定方法(使い方)

セキュリティ対策プラグイン【SiteGuard WP Plugin】の設定方法(使い方) プラグイン
2025.06.27
このブログは、ロリポップ!ライトプランのサーバーにWordPress無料テーマCocoonで作成しています。

サイトを運営するうえで一番悩ましいのが、不正アクセス対策やスパム対策です。

せっかくブログの開設、運営ができるようになったのに、不正アクセスなどの攻撃でブログが改ざんされると、元のクリーンな状態に戻すにはものすごい労力が必要となります。
下手すれば、プロの業者さんに何万円も支払わないと復元できないかもしれません。

WordPressの場合は、セキュリティ対策ができるプラグインがいくつか利用できるようになっているので、プラグイン機能有効利用して効果的な対策をしていきましょう。

ここでは、「SiteGuard WP Plugin」の設定方法(使い方)を中心に詳しく解説していくので、セキュリティ対策を検討している人は、ぜひ参考にしてください。

「SiteGuard WP Plugin」は必要か

「SiteGuard WP Plugin」は必要か?と問われると、このプラグインがなくてもサイトの運営は可能です。

ただ、世界中でよく使われているWordPressは、常に「不正アクセス」のターゲットになっているんですよね。

以下のサイトでも、全Webサイトの43.4%がWordPressを利用しているという調査結果が確認できます。(2025/06/26時点の数字)

Usage Statistics and Market Share of Content Management Systems, June 2025

結論を書くと、

WordPressの場合は、「SiteGuard WP Plugin」などのセキュリティ対策プラグインの導入は必要(必須)と言えます。

せっかく、収益を確保しているサイトが改ざんによって無関係なサイトに書き替えたられたりすると、目も当てられません。

しかも、一度不正アクセスされると、元のクリーンな状態に戻すのもかなり難易度の高い対応となります。

不正アクセスの手段として一番多いのが、WordPressのログインページからの侵入だと言われます。

侵入を完全に防ぐのは至難のわざですが、標準のログインページを任意のURLに変更するだけでも不正アクセスのリスクはグッと低くなります。

今回、解説する「SiteGuard WP Plugin」は、ログインページの変更をはじめ、ログインユーザー名を隠蔽するなどの、セキュリティ対策となる機能が搭載されています。

「SiteGuard WP Plugin」は、インストールした時点で半分以上の項目が設定済みとなっているので、残りの3項目だけ設定すればセットアップが完了します。

意外と簡単にセキュリティ対策ができるので、初心者の人にもおすすめのプラグインです。

「SiteGuard WP Plugin」の設定方法(使い方)

必須プラグイン

必須プラグインは全部で4つあるので、全てインストールしよう!

「SiteGuard WP Plugin」をインストールして、設定をしていきます。

インストール/有効化

「SiteGuard WP Plugin」をインストールして有効化します。

WordPress管理メニューの「プラグイン」→「プラグインを追加」とクリック。

WordPress管理メニューの「プラグイン」→「プラグインを追加」

「SiteGuard WP Plugin」を入力(自動で検索)

「SiteGuard WP Plugin」をインストール/有効化

「今すぐインストール」→「有効化」をクリック。

「SiteGuard WP Plugin」をインストール/有効化

設定項目一覧

「SiteGuard WP Plugin」にセキュリティ対策項目を確認してみましょう。

WordPressの管理メニューの「SiteGuard 」→「ダッシュボード」をクリック。

「SiteGuard WP Plugin」の設定項目一覧

ダッシュボードが開くと設定項目の一覧が確認できますが、緑のチェックマーク項目はデフォルトで設定済みであることを示します。

「SiteGuard WP Plugin」の設定項目一覧

次から、未設定(「ログインページ変更」含む)の項目について設定をしていきます。

基本的に、上の画像で緑のチェックがついている項目は、変更(設定)の必要がありません。

未設定項目を設定する

ここでは、未設定項目と「ログインページ変更」の項目(赤枠の項目)を設定します。

ダッシュボードから該当のリンクから開いてください。

「SiteGuard WP Plugin」の未設定項目を設定する

管理ページアクセス制限

変更は必須
WordPressにログインしていない人から、管理ページへアクセスできないように対策します。

「有効」を押して「変更を保存」をクリック。

「SiteGuard WP Plugin」の「管理ページアクセス制限」を設定する

ログインページ変更

「ログインページ変更」は標準状態では既に設定済みとなっていますが、一部設定内容を変更します。

変更は必須
標準の状態では、ログインの標準URL(https://wp-admin/)にアクセスすると、変更後のログインURLにリダイレクト(転送)されてしまいます。
これを防ぐために設定を変更します。

赤枠のオプションにチェックをつけて、「変更を保存」をクリックしてください。

「SiteGuard WP Plugin」の「ログインページ変更」を設定する

変更後のログインページ名には自動で「login_5桁の数字」が入力されます。

このまま保存してもいいですが、できれば英数字、ハイフン、アンダーバーを含めた文字列に変更することをおすすめします。(もっと推測されない文字列に変更)

ユーザー名漏えい防御

変更は必須
WordPressにログインするユーザー名がわからないように、隠蔽します。

WordPressの場合、標準の状態ではURLの後ろに「?author=1」をつけてアクセスすると、簡単に登録ユーザー名が確認できてしまいます。

「ユーザー名漏えい防御」未設定時のユーザー名漏えい

ユーザーID(author)の「1」には、インストールを実施した管理者権限のある人が割り当てられるので、必ずこの対策は実施しましょう。

現在有効化されているプラグインが下に一覧表示されるので、「除外プラグイン 追加」ボタンを押して、すべてのプラグインを上の「除外プラグイン」の方に移動させます。
その後、「REST API 無効化」にチェック→「有効」をクリック→「変更を保存」をクリックします。

「SiteGuard WP Plugin」の「ユーザー名漏えい防御」を設定する

変更不要項目(設定済)

ここでは、標準状態で既に設定済みとなった項目について解説します。

設定済みの項目は変更しなくても問題ありません。

画像認証

既に有効なので変更は不要
不正アクセス対策やスパム対策として、ログインページやコメントページなどに画像認証を追加する設定です。

「SiteGuard WP Plugin」の「画像認証」

有効化されると、ログインページやコメントのページには画像認証が表示されるようになります。

ログインページの画像認証

「SiteGuard WP Plugin」のログインページ用「画像認証」

コメントページの画像認証

「SiteGuard WP Plugin」のログインページ用「画像認証」

パスワード確認ページの画像認証

「SiteGuard WP Plugin」のログインページ用「画像認証」

ログイン詳細エラーメッセージの無効化

既に有効なので変更は不要
このプラグインをインストールされていない場合、ログイン画面でユーザー名やパスワードが間違った時のエラーメッセージには、ログインできるユーザー名が表示されてしまいます。

これだと、攻撃者にユーザー名が漏れてしまうんですよね。

このプラグインをインストールするだけで、ユーザー名が表示されないエラーメッセージが出力されます。

「SiteGuard WP Plugin」の「ログイン詳細エラーメッセージの無効化」

■「ログイン詳細エラーメッセージの無効化」が無効の場合
(プラグインをインストールしていない

以下のようにログインできるユーザー名が表示されたり、逆にユーザー名が正しくないことがわかってしまいます。([testuser]はログインできるユーザー名です)

ユーザー名は正しいけど、パスワードが間違っていた場合。

パスワードは正しいけど、ユーザー名が間違っていた(testuserXXX)場合

■「ログイン詳細エラーメッセージの無効化」が有効の場合
(プラグインをインストール済み

ユーザー名またはパスワードの入力誤りがあっても、ユーザー名が表示されなくなります。

「SiteGuard WP Plugin」の「ログイン詳細エラーメッセージの無効化」

ログインロック

既に有効なので変更は不要
連続で何度もログインを試行された時に、しばらくログイン処理が実行できないようにする設定です。

「SiteGuard WP Plugin」の「ログインロック」

ログインアラート

場合によって変更も可
WordPressにログインがあるたびに、ログイン情報をメールで通知する設定です。

「SiteGuard WP Plugin」の「ログインアラート」

ログインがあるたびに、ログイン者の情報がメールで通知されます。

「SiteGuard WP Plugin」の「ログインアラート」メール

場合によっては変更も可能
運営が落ち着くまでは何度もログインすることになるので、メール通知がわずらわしく思うかもしれません。
ログインの回数が多い間は、この機能はOFFにしてもいいでしょう。
(ただし、その後はONにするのを忘れないように)

XMLRPC防御

既に有効なので変更は不要
XML-RPC経由での攻撃などによる不正ログインを無効化する設定です。

「SiteGuard WP Plugin」の「XMLRPC防御」

更新通知

既に有効なので変更は不要
WordPress、プラグイン、テーマのアップデート(更新)が必要な時に、その旨をメールで通知する設定です。

「SiteGuard WP Plugin」の「更新通知」

場合によっては設定する項目

以下は、必要であれば適宜設定する項目です。

フェールワンス

必要であれば有効にする
不正アクセス対策として、ログインが成功しても1度はわざとエラーにする設定です。

「SiteGuard WP Plugin」の「フェールワンス」

この設定も不正対策には有効ですが、自分自身もログインでは一度エラーとなります。
それがわずらわしくなければ設定してもいいでしょう。

設定不要項目

以下は、設定変更が不要の項目です。

WAFチューニングサポート

法人向けの機能
この設定について画面下に詳しい説明が書かれていますが、要は過剰に反応するWAFを抑制する設定です。

「SiteGuard WP Plugin」の「WAFチューニングサポート」

この設定(機能)を利用するためには、サーバー側に「SiteGuard Lite」というソフトウェアが導入されていることが前提のようです。

「SiteGuard Lite」については以下の公式サイトで確認できますが、有料となっているようなので、おそらく企業向けの機能になるんじゃないかと思います。

JP-Secure SiteGuard / SiteGuard Lite | 株式会社ラック
利用しているサーバーにインストールするだけで、Webアプリケーションファイアウォール(WAF)として機能し、SQLインジェクションやクロスサイトスクリプティングなどのWebアプリケーションの脆弱性を狙った攻撃を遮断します。
www.lac.co.jp

まとめ

先にも書いてますが、WordPressの利用率は非常に高いので、悪意のある第三者からの標的になりやすいです。

WordPressのログインページのURLを変更する機能をはじめ、さまざまなセキュリティ対策が可能となっている「SiteGuard WP Plugin」を導入して、安心してサイト運営ができるようにしましょう!

必須プラグイン

必須プラグインは全部で4つあるので、全てインストールしよう!

コメント

タイトルとURLをコピーしました