SiteGuard WP Pluginは、日本のサイバーセキュリティ企業『ジェイピー・サイバー・プロテクション』が提供する、WordPress専用の強力なセキュリティプラグインです。WordPressに最適化して提供する強力なセキュリティプラグインで、このプラグインがあれWordPressサイトは、あらゆる脅威から鉄壁の最強防御を実現します。
初心者でも安心の簡単設定で、プロフェッショナルなセキュリティ対策が出来ると思います。安全なウェブ環境を築くための必須アイテム、それがSiteGuard WP Pluginです。
機能一覧
| 機能 | 説明 | 初期 |
| 1:管理ページアクセス制限 | 管理ページ(/wp-admin/以降)アクセスさせない | OFF |
| 2:ログインページ変更 | (wp-login.php)から(login_35504)等に変更 | ON |
| 3:画像認証 | ログイン時、ID、パスワード、画像の文字を入力 | ON |
| 4:ログイン詳細エラーメッセージの無効化 | エラーメッセージ同一 | ON |
| 5:ログインロック | ログインの失敗回数などで一定の時間ロックをかける | ON |
| 6:ログインアラート | ログイン時メールで通知 | ON |
| 7:フェールワンス | ログインが成功時、1度は失敗する | OFF |
| 8:XMLRPC防御 | DDoS攻撃、ブルートフォース攻撃から防御 | OFF |
| 9:ユーザー名漏えい防御 | ユーザー名を漏えいさせない | OFF |
| 10:更新通知 | 更新をメールで通知 | ON |
| 11:WAFチューニングサポート | WAF (SiteGuard Lite)の除外リストを作成 | OFF |
| 12:ログイン履歴 | ログイン履歴 | ON |
たくさんの機能があります。私が変更する箇所のみ書きます。
管理ページアクセス制限、ONにする
未登録IPからの管理ページアクセスを404エラーで拒否します(ログインページは除外)。こちらの設定はIPアドレスで判断するので、間違ったり良く分からないまま設定すると管理ページに入れなく可能性もあるので、こちらは無理してONにしなくてもいいと思います。
ログインページ変更、ONにする
ログインページの変更設定
この機能は初期設定でONになっていますが、「管理者ページからログインページへリダイレクトしない」オプションを有効にすることをおすすめします。この設定を有効化しないと、https://xxx.com/wp-admin.php にアクセスした際、自動的に https://xxx.com/login_12345 のような変更後のログインURLにリダイレクトされます。
ログインURLの変更
変更後のログインURL(例: login_12345)は自由に設定可能です。推測されにくい名前にするため、英数字、ハイフン、アンダーバーを組み合わせた長い文字列(例: huh___ifdv556—-d465f54)を使用するのがおすすめです。このようにすることで、セキュリティがさらに向上します。
プラグインなしで設定したい方はこちらの記事もご参照ください。ワードプレス、ログインURLを変更する方法【プラグインなし】
機能一覧の3、4、5
3:画像認証、4:ログイン詳細エラーメッセージの無効化、5:ログインロック。こちらはONのままでいいと思います。設定も簡単です。
ログインアラート、OFFにする
管理画面の設定↠一般の管理者メールアドレスに、ログインされる毎に毎回通知されます。私はOFFにしていますが、こちらは好みで検討して下さい。
フェールワンス、ONにする
パスワードや、ログインネームが一致しても必ずエラーになります。5秒以降、60秒以内に、もう一度ログインすると成功します。5秒以内にログインできないのは、短時間のログイン攻撃を防ぐことが出来ます。『管理者のみ』。こちらをチェックします。そうすることにより会員サイト等の場合、他のユーザーは対象になりません。
XMLRPC防御
XMLRPCは、WordPressが外部と通信するための古い仕様で、主に遠隔からの操作やデータ同期を可能にします。しかし、この機能はセキュリティ上の脆弱性が多く、DDoS攻撃やブルートフォース攻撃の窓口となるケースが報告されています。近年ではREST APIが新しい仕様として導入され、多くの場面でXMLRPCの代替となっています。REST APIはまだ比較的新しい規格ですが、使い方次第で安全かつ効率的な運用が可能です。
ポイント
WordPressを利用する際、特にカスタムコードを多用しない場合は、XMLRPC機能を無効化することを推奨します。不要な機能は攻撃のリスクを減らすためにも排除するのが無難です。
XMLRPCを無効化する
「XMLRPC無効化」を有効にします。また、「ピンバック無効化」もXMLRPCの一部機能に含まれるため、この設定を有効にすると同時に無効化されます。
XMLRPCを無効化すると、この機能を利用するプラグインや機能が正常に動作しない場合があります。具体的には、リモート投稿や一部の外部連携プラグインで不具合が発生する可能性があります。そのため、必要なプラグインがある場合は、事前にその仕様を確認してください。
総じて、XMLRPCはセキュリティリスクが高い機能であり、特別な理由がない限り無効化を推奨します。
XMLRPCが無効になっているか
https://xxx.com/xmlrpc.php。こちらにアクセス。
※xmlrpc.phpにアクセスすると、自動でワードプレスからログアウトになります。
XML-RPC server accepts POST requests only.↠有効状態
404ページ↠無効状態
ユーザー名漏えい防御、ONにする
WordPressでは、特定のURL形式(例: https://xxx.com?author=数字)を使用することで、簡単にユーザー名が確認できてしまいます。特に、管理者ユーザーのIDは通常「1」であるため、この仕様を悪用されるリスクがあります。
「ユーザー名漏えい防御」を有効(ON)にするだけで、このリスクを防ぐことができます。設定は簡単なので必ず有効化してください。
また、関連するセキュリティ対策として「REST API 無効化」も検討できます。REST APIを無効化することで、さらに外部からの情報漏えいリスクを軽減可能です。ただし、REST APIを利用するプラグインに不具合が生じる可能性があるため、必要なプラグインのみを除外設定するなどの対応が必要です。不安な場合は無効化することを推奨します。
注意
REST APIやXMLRPCの無効化によって機能が制限される場合があるため、設定変更前にプラグインの動作を確認することをおすすめします。
更新通知、OFFにする
ワードプレス等の更新時、通知が届きます。ログイン同様必要なければOFFにしましょう。
WAFチューニングサポート
WAF設定について
この機能(WAFチューニングサポート)はONでもOFFでも構いません。WAF(Web Application Firewall)は、不正アクセスによるサイトの改ざんや情報漏えいを防ぐ仕組みです。
設定の前提
サーバー側でWAF(SiteGuard Lite)が有効になっている場合、その時点で基本的な防御は行われています。このプラグインのWAFチューニングサポート機能は、自分のアクセスが誤って不正と検知された場合に対応するためのものです。そのため、通常はOFFのままでも問題ありません。
必要に応じた対応
万が一、不正アクセスとして検知された場合は、シグネチャ(攻撃パターン)、対象ファイル名、コメントを新しいルールとして追加することで、その後は同様のアクセスが除外されます。この機能は、検知が発生した場合にのみ活用すれば十分です。
セキュリティ対策一覧
SiteGuard WP Pluginは非常に強力なセキュリティ対策ですが、それだけで完璧というわけではありません。実際の攻撃はサーバー、ブラウザ、ユーザー操作など多方面から行われるため、それぞれに適切な防御が必要です。WordPressを本気で守りたいなら、サイト全体を俯瞰しながら、どの領域にどの対策があるかを明確にしておくことが大切です。以下に、セキュリティの重要な項目を8つの分類で整理しました。
WAF・CDN層の防御
概要: ネットワーク層での攻撃遮断
例: クラウド型CDN・DDoS保護, サーバー内蔵WAF
主な確認方法: curl -I でWAF関連ヘッダー確認 / Sucuri SiteCheck / サーバー管理画面(WAF設定)
認証・認可の制御
概要: ログイン・セッション・権限の保護
例: 2段階認証(Google Authenticator)、ログイン試行制限(SiteGuard)、CSRFトークン、WP-Members
主な確認方法: ログイン画面の挙動確認 / WordPressプラグイン設定(WP 2FA・Limit Login Attempts) / Cookieとセッションの発行チェック
ソフトウェア更新・脆弱性管理
概要: コア・プラグイン・サーバーの脆弱性回避
例: WordPress本体・プラグイン・テーマ・PHP・MySQLのバージョン管理
主な確認方法: WP管理画面の更新状況 / サイトヘルス情報 / WPScanでバージョン脆弱性チェック
入力バリデーション・出力エスケープ
概要: フォーム・URL等の不正入力対策
例: XSS、SQLインジェクション、ファイルアップロード偽装対策
主な確認方法: ブラウザDevToolsでフォーム送信テスト / OWASP ZAP・Burp Suiteで入力チェック / HTML出力のエスケープ確認
ファイルとディレクトリの公開制限
概要: 設定ファイルや管理用ファイルへの直接アクセス防止
例: .htaccess, wp-config.php, readme.html, license.txt, .env
主な確認方法: 該当URLに直接アクセス(404または403ならOK) / WPScanやNiktoによる列挙チェック / サーバー設定確認
バックアップと改ざん検知
概要: 攻撃時の復旧およびファイル改ざんの早期発見
例: 自動バックアップ、ファイル整合性チェック、変更検知通知
主な確認方法: BackWPup / UpdraftPlusなどのバックアップログ確認 / Wordfence・iThemes Securityの改ざん検知ログ確認
ブラウザ挙動制御以外のプライバシー対策
概要: リファラーやCookieの不要な情報漏洩を防止
例: SameSite、Secure、HttpOnly属性付きCookie、Referrer制御
主な確認方法: DevTools「Application」タブでCookie確認 / CookieServeで外部向け送信状況確認 / 実際のリファラー送信動作をテスト
Security Headers(ブラウザ制御)
概要: ブラウザに攻撃を未実行のままブロックさせる仕組み
例: Content-Security-Policy, Strict-Transport-Security, X-Frame-Options, X-Content-Type-Options, Permissions-Policy, Referrer-Policy
主な確認方法: curl -I でヘッダー確認 / DevToolsの「Headers」タブで確認 / SecurityHeaders.com でスコア診断
まとめ
SiteGuard WP Pluginを利用することで、WordPressサイトのセキュリティを大幅に向上させることができます。本記事で紹介した設定を適切にカスタマイズすることで、不正アクセスや脅威からサイトを守りながら、運用の負担を最小限に抑えることが可能です。
特に、XMLRPCの無効化やログインページの変更、ユーザー名漏えい防止などは、基本的かつ効果的な対策として優先的に設定を見直しましょう。ただし、プラグインやテーマとの互換性に注意し、不明な点があればバックアップを取った上で設定を変更することをお勧めします。
セキュリティは「完璧」を目指すのではなく、できる限りリスクを減らし、継続的に見直すことが重要です。SiteGuard WP Pluginを活用して、安全で快適なWordPress運営を実現してください。
コメント
じい