ブログ開設後、落ち着いて細かな設定周りを見直していたところ、初めて見るプラグイン「CloudSecure WP Security」がいつのまにか入っていたことに気づきました。
ほかのブログで使用しているプラグイン「SiteGuard」と似た働きをするもののようです。
管理画面とログインURLをサイバー攻撃から守る、安心の国産・日本語対応プラグインです。
かんたんな設定を行うだけで、不正アクセスや不正ログインからあなたのWordPressを保護し、セキュリティが向上します。CloudSecure WP Security – Description
この記事では、初めて目にしたCloudSecure WP Securityとその設定方法を、初心者向けに簡単にまとめました
CloudSecure WP Securityはエックスサーバー利用者のWPに入っている
CloudSecure WP SecurityはエックスサーバーにWordPressを設置する際、「簡単インストール」を選択すると追加でインストールされるプラグインです。
エックスサーバーの「お知らせ」によると、2025年3月25日からこの対応が取られたようです。
このたび当サービスでは、
「WordPress簡単インストール」機能を更新し、
セキュリティ対策プラグイン「CloudSecure WP Security」の同時インストールに対応しました。「CloudSecure WP Security」は、
WordPressの管理画面とログインURLをサイバー攻撃から守る、
国産・日本語対応のセキュリティ対策プラグインです。セキュリティ強化に必要な機能がセットになっているため、
不正ログインや不正アクセスといったサイバー攻撃への不安を抱える初心者の方も、
安心してWordPressサイトを運用いただけます。
でも、どうして一緒にインストールされるようになったんだろう
調べてみると、CloudSecure WP Securityはクラウドセキュア株式会社が提供しており、ここはエックスサーバーの関連会社のようです。(エックスサーバーグループ・会社一覧)
同系列の会社ということなので、互いに相性が良いのかもしれません。
また、エックスサーバーのグループ会社の「ネットオウル」が運営する「スターレンタルサーバー」でも同様に、WordPressを導入すると自動的にCloudSecure WP Securityが追加されるようです。
不要なら「簡単インストール」で除外もできる
■利用方法
「WordPress簡単インストール」機能の設定画面にて、
プラグイン「CloudSecure WP Security」のチェックボックスが
有効になっていることをご確認ください。エックスサーバー「お知らせ」
簡単インストール画面の一番下に、「プラグイン」という項目があります。
このチェックを外すと、WordPressと同時にCloudSecure WP Securityがインストールされることを防ぐことができます。
すでに入っていて不要な場合は削除でOK
CloudSecure WP Securityが入っているものの不要な場合は、「削除」でOK。
有効にしている場合は「無効化」を押してから削除できます。
CloudSecure WP Securityはいつでも追加できる公式プラグイン
お使いのWordPressにCloudSecure WP Securityが追加されておらず、新たに導入したい場合は、「ダッシュボード」>「プラグイン」>「新規プラグインを追加」から追加できます。
検索窓に「CloudSecure WP Security」と入力すればすぐにインストール可能です。
CloudSecure WP Securityの設定
CloudSecure WP Securityの設定自体はとても簡単です。
国産プラグインなので日本語ですし、翻訳にありがちなわかりにくい表現もなく、操作も直感的にできます。
「ログイン無効」などの文字をクリックすると、詳細設定画面に移動します。
ほとんどの機能ではシンプルな設定をポチッとして、変更を保存するだけで完了。
最低限の設定をサッと終わらせて早く投稿したい人や、初心者にはありがたい仕様といえます
初期設定でON(有効)になっている設定
| ログイン無効化 | ログイン失敗回数が上限に達した場合、ログインを無効化。 |
|---|---|
| ログインエラーメッセージ統一 | ユーザー名、パスワード、画像認証のどれを間違えても同一のメッセージを表示。 |
| ユーザー名漏えい防止 | 「?author=数字」でのアクセスによるユーザー名漏えいを防止。 |
| XML-RPC無効化 | XML-RPC機能を無効化。 |
| ログイン通知 | ログインがあったとき、メールで通知。 |
| アップデート通知 | WordPress、プラグイン、テーマの更新が必要になったとき、メールで通知。 |
| サーバーエラー通知 | サーバーエラー「HTTPステータスコード500」が発生したとき、エラーを記録し、メールで通知。 |
| ログイン履歴 | 管理画面にログインした履歴を表示。 |
手動でON(有効)にした機能
| ログインURL変更 | ログインURLを変更します。 |
|---|---|
| 画像認証追加 | ログインフォーム、コメントフォームなどに画像認証を追加。 |
| 管理画面アクセス制限 | 管理画面ディレクトリ以下へのアクセスを制限。 |
| 設定ファイルアクセス防止 | WordPressのシステムに関するファイルへの不正アクセスを遮断。 |
| XML-RPC無効化 | XML-RPC機能を無効化。 |
| シンプルWAF | WordPressへの攻撃に対して、基本的な防御機能を備えたシンプルなWAF(Web Application Firewall)機能。 SQLインジェクションやクロスサイトスクリプティングなどの一般的な攻撃を遮断。 |
ログインURL変更は必須!
ログインURLはハッキングの危険を避けるため、真っ先に変更しておいたほうがよいと思われる設定です。
デフォルトで文字列が入っているので、そのままでもOKです。もちろん、自分で文字列を打ち込むことも可能です。
自分もログインできなくなるかも……(過去に経験済み)
よくわからない・まだ理解していない機能は触らないほうがいいかも
| 2段階認証 | ユーザー名とパスワードの入力に加え、別のコードで追加認証を行う。 |
|---|---|
| REST API無効化 | REST APIを無効化。 |
※利用するには、Google Authenticator アプリケーションでデバイスを登録する必要があります。
とあったので、2段階認証は有効にしていません。
ちょっと面倒かなって……
また、REST API無効化も、手を入れた結果不具合があった場合、自分では対応が難しいと判断したので有効にしていません。
競合プラグインとの併用は不可
当然ではありますが、競合するプラグインとの併用はできません。(SiteGuard WP Pluginなど)
CloudSecure WP Securityの残念な点:画像認証に「ひらがな」がない!
シンプル操作でわかりやすいCloudSecure WP Securityですが、少し残念な点があります。
それは、画像認証に「ひらがな」が選択できないこと。
CloudSecure WP Securityの画像認証は、今のところ、4文字の英数字だけです。
不穏なアクセスをするIPはほとんどがヨーロッパなど外国からのアクセスですが、実行者が日本人ではないという根拠にはなりません。
しかし、外国人も確かにいるはずです。
そういう考えから、ひらがなの画像認証には一定の安心感を感じているので、CloudSecure WP Securityにもひらがながあったらいいのにな……と思っています。
確実にアップデートを重ねているプラグインのようなので、遠からず対応してくれそうな気もしています
まとめ
手早く設定できるCloudSecure WP Securityはエックスサーバーの関連会社が作っている国産のセキュリティプラグインです。
そのため、エックスサーバーでWordPressを簡単インストールすると自動的に追加されます。
わかりやすい日本語と直感的な操作感は「とりあえず入れておきたい」「設定に時間を取られたくない」人におすすめといえるでしょう。
わからない設定は調べるか、理解できるまでは触らないようにして、スムーズで安心なブログ運営を楽しみましょう。
各設定の詳細右上にある「マニュアルはこちら」から勉強することで理解も深まります
コメント