「CloudSecure WP Securityをインストールしたけど、
設定項目が多くてどこから手をつければいいかわからない」「SiteGuardと何が違うの?」と感じていませんか?
CloudSecure WP Security(以下、CloudSecure)は、
国産のWordPressセキュリティプラグインです。
不正ログイン防止に特化した機能が充実しており、
SiteGuardと同様に日本語で使いやすく設計されています。
この記事では、CloudSecureのインストールから各機能の設定方法まで、スクリーンショットをまじえて順番にわかりやすく解説します。
よこやま良平ITエンジニアとして20年以上WordPressに携わってきたよこやま良平です。WordPress書籍を30冊以上執筆してきたわたしが、CloudSecureの設定を初心者でも迷わないよう丁寍に解説します。
- CloudSecure WP Securityとは何か・何ができるか
- インストールと初期設定の手順
- 各機能の意味と推奨設定
- インストール後に必ずやるべき設定
- CloudSecureで解決できないこと・他プラグインとの使い分け
まずはCloudSecureがどんなプラグインかを理解してから、設定に進みましょう。
こんなお悩みはありませんか?
- ある朝、サイトを開いたら真っ白画面になっていた
- 管理画面にログインできなくなって手が止まった
- 身に覚えのない記事やページが勝手に増えていた
- プラグインを更新したらサイト全体が崩れてしまった
- 以前バックアップを取ったか自分でも覚えていない
累計1,000件以上のWordPressトラブル対応の経験から、「壊れる前に備える」ためのチェックリストを1冊にまとめました。
ログイン・本体・バックアップ・サーバー・運用の5分野を、50項目で「危険度・確認方法・対処法」まで解説しています。
セキュリティプラグイン・WordPressの教科書も含めた3大特典を、
今なら無料で受け取れます。
CloudSecure WP Securityとは?特徴と主な機能
CloudSecure WP Securityは、国産のWordPressセキュリティプラグインです。WordPress公式ディレクトリで配布されており、不正ログイン防止・管理画面保護・スパム対策など幅広い機能を無料で使えます。
設定画面がすべて日本語で用意されており、初心者でも直感的に操作できます。SiteGuardと機能的に似ていますが、CloudSecureは二段階認証(2FA)・ファイル編集無効化など独自の機能も備えています。
- ログインページURL変更:デフォルトのログインURL(/wp-login.php)を別のURLに変更
- ログイン試行制限:一定回数ログインに失敗したIPアドレスを自動でブロック
- 二段階認証(2FA):ログイン時にメール認証コードを要求する高度な認証
- CAPTCHA(画像認証):ログインページのbot対策認証を追加
- IPアドレス制限:特定のIPアドレスからのアクセスをブロックまたは許可
- ユーザー名漏えい防止:外部からユーザー名を特定されないよう保護
- XMLRPC無効化:XMLRPC経由の攻撃を遷断
- REST API制限:不審なREST APIアクセスを制限
- ログイン通知:ログインがあった際にメールで通知
- ファイル編集無効化:管理画面からテーマ・プラグインファイルを編集できないようにする
CloudSecureにはマルウェアのスキャン・検出機能はありません。感染を検出したい場合はWordfenceなどスキャン機能付きのプラグインを別途導入してください。
CloudSecure WP Securityのインストール手順
CloudSecureはWordPress公式ディレクトリで配布されているため、管理画面から直接インストールできます。
- WordPress管理画面 →「プラグイン」→「新規プラグインを追加」を開く
- 検索欄に「CloudSecure」と入力する
- 「CloudSecure WP Security」を見つけて「今すぐインストール」をクリックする
- インストール完了後、「有効化」をクリックする
CloudSecureの設定画面の見方
有効化が完了すると、管理画面の左メニューに「CloudSecure」という項目が追加されます。ここからすべての設定を確認・変更できます。
- WordPress管理画面の左メニューから「CloudSecure」をクリックする
- 「ダッシュボード」に各機能の有効・無効状態が一覧で表示される
- 設定を変更したい機能名をクリックして個別に設定する
機能①ログインページURL変更の設定(最重要)
WordPressのデフォルトのログインURLは「サイトURL/wp-login.php」です。世界中の攻撃者がこのURLを知っているため、変更するだけで不正ログイン攻撃の大半を防ぐことができます。CloudSecureで最も重要な設定のひとつです。
- CloudSecure設定画面 →「ログインページURL変更」をクリックする
- 「機能を有効にする」をオンにする
- 新しいログインURLのパス(例:
my-login-2026)を入力する - 「保存」をクリックする
- 新しいURL(例:
https://あなたのサイト/my-login-2026)をブックマークする
ログインURLを変更すると、以前のURL(/wp-login.php)からはアクセスできなくなります。新しいURLをブックマークまたはメモしておかないと自分がログインできなくなります。URLを忘れた場合は、FTPでCloudSecureプラグインフォルダをリネームして無効化することで元のURL(/wp-login.php)が復活します。
機能②ログイン試行制限の設定
一定回数以上ログインに失敗したIPアドレスを自動的にブロックする機能です。「辞書攻撃」や「総当たり攻撃」と呼ばれる、無数のパスワードを試し続ける攻撃を防じます。
- 失敗許容回数:3~5回(少すぎると自分も誤ってブロックされやすくなる)
- ブロック時間:30分~1時間(長すぎると自分がブロックされた際に困る)
- 設定後は必ず「保存」ボタンをクリックすること
機能③二段階認証(2FA)の設定
二段階認証(2FA)は、ユーザー名とパスワードに加えて、メールアドレスに送られるワンタイムコードの入力を求めるセキュリティ機能です。仮にパスワードが盗まれても、コードがなければログインできないため、不正アクセスを強力に防げます。
SiteGuardにはない機能で、CloudSecure独自の強みのひとつです。特にビジネスサイトや会員サイトには積極的に有効化することをおすすめします。
- CloudSecure設定画面 →「二段階認証」をクリックする
- 「機能を有効にする」をオンにする
- 認証コードを送るメールアドレスが正しいか確認する
- 「保存」をクリックする
- 次回ログイン時にメールに届くコードを入力してログインできることを確認する
機能④CAPTCHA(画像認証)の設定
ログインページにCAPTCHA(画像認証)を追加することで、自動化ツール(ボット)によるログイン攻撃を防ぎます。人間だけが解ける問題を出すことで、機械的な総当たり攻撃を大幅に減らせます。
- ログインページ:必ず有効にする
- コメント投稿フォーム:スパムコメントが多い場合は有効にする
- パスワードリセットページ:有効にすることを推奨
- Google reCAPTCHAを使う場合はAPIキーの取得が必要
機能⑤IPアドレス制限の設定
特定のIPアドレスからのアクセスを個別にブロックしたり、逆に許可IPアドレスのみがログインできるように制限したりできます。不正アクセスの試行が特定のIPから繰り返される場合などに活用しましょう。
- ブロックリスト:指定したIPアドレスからのアクセスを拒否する
- 許可リスト:指定したIPアドレスのみログインを許可する(固定IPがある場合に有効)
- ログイン試行ログからブロックすべきIPを確認できる
自分のIPアドレスをブロックリストに追加してしまうと、自分がサイトにアクセスできなくなります。「許可リスト」を使う場合も、自分のIPアドレスを必ず許可リストに追加してから保存してください。
機能⑥XMLRPC無効化・⑦ユーザー名漏えい防止の設定
この2つは有効にするだけでよく、特別な設定変更は不要です。
- XMLRPC無効化:WordPressを外部から遠隔操作するXMLRPC機能を悪用した攻撃を遷断する。外部アプリからWordPressを操作していなければ有効にして問題なし
- ユーザー名漏えい防止:「サイトURL/?author=1」などにアクセスすると管理者のユーザー名が表示されてしまう問題を防ぐ。有効化するだけでOK
機能⑧REST API制限の設定
WordPressにはREST APIという外部からデータを取得・操作できる仕組みがあります。この機能は便利な反面、不審な用途に悪用されることもあります。CloudSecureのREST API制限を使うと、認証されていないユーザーからのREST APIアクセスを制限できます。
ECサイトや会員サイトなど外部連携が必要なサイトは設定を慎重に行ってください。通常のブログやコーポレートサイトであれば有効にして問題ありません。
機能⑨ログイン通知の設定
管理画面にログインがあった際にメールで通知してくれる機能です。自分がログインしたときにも届きますが、身に覚えのないログイン通知が届いた場合はすぐに対応が必要です。
デフォルトで有効になっているため、基本的にはそのままにしておきましょう。通知が多すぎる場合は、自分のIPアドレスを「通知除外」に設定することで、自分のログイン時はメールが届かなくなります。
機能⑩ファイル編集無効化の設定
WordPressのデフォルトでは、管理画面から直接テーマやプラグインのPHPファイルを編集できます。攻撃者が管理画面に侵入した場合、このファイル編集機能を使ってマルウェアのコードを仕込まれるリスクがあります。
この機能を有効にすることで、管理画面からのファイル編集を無効化し、万が一の侵入時のリスクを下げられます。
CloudSecure設定後の確認チェックリスト
すべての設定が完了したら、以下のチェックリストで確認しましょう。CloudSecureのダッシュボードで各機能が「有効」になっていれば設定完了です。
- 変更後のログインURLをブックマークしてある
- 新しいログインURLからログインできることを確認した
- ログインページURL変更が有効になっている
- ログイン試行制限が有効になっている
- 二段階認証(2FA)が有効になっている(推奨)
- CAPTCHA(ログインページ)が有効になっている
- XMLRPC無効化が有効になっている
- ユーザー名漏えい防止が有効になっている
- ログイン通知が有効になっている
- ファイル編集無効化が有効になっている
SiteGuardとCloudSecureの違いと使い分け
どちらも不正ログイン防止に特化した国産プラグインですが、いくつか違いがあります。
- SiteGuard:ひらがなCAPTCHA・フェールワンス・更新通知が特徴。50万件以上のインストール実績がある老舗
- CloudSecure:二段階認証(2FA)・REST API制限・ファイル編集無効化が強み。より多機能で新しいプラグイン
- どちらもマルウェアスキャン機能はないため、Wordfenceとの併用を推奨
- 両方を同時に有効化するとログインURL変更機能が競合する可能性があるため、どちらか一方を使う
CloudSecureと他のプラグインの組み合わせ
CloudSecureはログイン保護・不正アクセス防止に特化したプラグインです。より完全なセキュリティ対策のために、以下の組み合わせをおすすめします。
- ログイン・不正アクセス防止:CloudSecure WP Security(メイン)
- マルウェアスキャン:Wordfence Security(スキャン専用に無料版を活用)
- 定期バックアップ:UpdraftPlus(万が一の復旧に必須)
CloudSecure WP Securityの使い方まとめ
CloudSecure WP Securityは、ログインURL変更・ログイン試行制限・二段階認証など、不正ログイン対策を幅広くカバーする国産プラグインです。SiteGuardにはない二段階認証やファイル編集無効化機能が特徴的で、より高度な保護を望む方に向いています。
- 管理画面 →「新規プラグインを追加」からCloudSecure WP Securityをインストール・有効化する
- ログインページURL変更を設定し、新しいURLをブックマークする
- ログイン試行制限の失敗回数・ブロック時間を設定する
- 二段階認証(2FA)を有効にして動作確認する
- CAPTCHAをログインページで有効にする
- XMLRPC無効化・ユーザー名漏えい防止・ファイル編集無効化を有効にする
- ダッシュボードですべての機能が「有効」になっているか確認する
マルウェアのスキャンが必要な場合はWordfenceと組み合わせ、定期バックアップにはUpdraftPlusを活用することで、万全のセキュリティ体制を整えられます。
ホームページの乗っ取りが自分で解決できない時は
ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。
- ホームページが乗っ取られた・改ざんされた
- 管理画面にログインできなくなった
- 変なサイトにリダイレクトされている
- Googleに危険なサイトと表示されている
- 自分で復旧しようとしたが直らない
- WordPressを復旧・修正したい
- 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
- 90日間再感染保証・動作保証で安心
- 初期費用・調査費用0円で安心
