「Solid Securityをインストールしたけど、設定ウィザードが英語でよくわからない」
「iThemes Securityから名前が変わったって聴いたけど、何が変わったの?」と感じていませんか?
Solid Security(旧iThemes Security)は、WordPressセキュリティの老舗プラグインです。
サイトの種類に合わせた「セットアップウィザード」で初期設定を素早く完了できる点が特徴で、世界中で100万以上のサイトに導入されています。
この記事では、Solid Securityのインストールから各機能の設定まで、
スクリーンショットをまじえて日本語でわかりやすく解説します。
よこやま良平ITエンジニアとして20年以上WordPressに携わってきたよこやま良平です。多数のサイト復旧を手がけてきたわたしが、Solid Securityの設定を初心者でも迷わないよう丁寍に解説します。
- Solid Securityとは何かセiThemes Securityとの違い
- インストールとセットアップウィザードの手順
- ログイン保護・二段階認証の設定方法
- マルウェアスキャンの使い方
- 他のセキュリティプラグインとの使い分け
こんなお悩みはありませんか?
- ある朝、サイトを開いたら真っ白画面になっていた
- 管理画面にログインできなくなって手が止まった
- 身に覚えのない記事やページが勝手に増えていた
- プラグインを更新したらサイト全体が崩れてしまった
- 以前バックアップを取ったか自分でも覚えていない
累計1,000件以上のWordPressトラブル対応の経験から、「壊れる前に備える」ためのチェックリストを1冊にまとめました。
ログイン・本体・バックアップ・サーバー・運用の5分野を、50項目で「危険度・確認方法・対処法」まで解説しています。
セキュリティプラグイン・WordPressの教科書も含めた3大特典を、
今なら無料で受け取れます。
Solid Securityとは?iThemes Securityとの違い
Solid Securityは、以前「iThemes Security」という名前だったWordPressセキュリティプラグインです。2023年にSolid Securityへとリブランディングされ、UIの刺新とセットアップウィザードの強化が行われました。
基本的な機能はiThemes Securityと同じですが、現在のSolid Securityはより使いやすいインターフェースになっています。
旧バージョン(iThemes Security)を使っていた方も、そのまま設定を引き継いで使用できます。
- ローカルブルートフォース保護:ログイン失敗回数を制限してブロック
- ネットワークブルートフォース保護:iThemesネットワーク全体の攻撃情報を共有してブロック
- 二段階認証(2FA):認証アプリを使ったTOTP方式の高度な認証(無料版から利用可能)
- ログインページURL変更:デフォルトのログインURLを変更して攻撃を防ぐ
- ファイル変更検出:WordPressファイルへの不正な変更を検出
- 404検出:短時間に大量の404エラーを発生させIPをブロック
- データベースプレフィックス変更:SQLインジェクション対策
- サイトスキャン:既知の脆弱性とマルウェアをチェック
- 強力なパスワード強制:ユーザーに強力なパスワードの使用を強制
- 高度なマルウェアスキャン:有料版(Pro)のみ
- 自動マルウェア除去:有料版(Pro)のみ
- パスワードレス認証:有料版(Pro)のみ
- 個人サイトや小規模サイトは無料版で基本的な保護が得られる
Solid Securityのインストール手順
Solid SecurityはWordPress公式ディレクトリで配布されているため、管理画面から直接インストールできます。
- WordPress管理画面 →「プラグイン」→「新規プラグインを追加」を開く
- 検索欄に「Solid Security」と入力する
- 「Solid Security – Password, Two Factor Authentication, and Brute Force Protection」を見つけて「今すぐインストール」をクリックする
- インストール完了後、「有効化」をクリックする
セットアップウィザードで初期設定を完了する
Solid Securityを有効化すると、「セットアップウィザード(Setup Wizard)」が起動します。このウィザードに沿って設定することで、サイトの種類に合った初期設定を素早く完了できます。
ステップ1:サイトタイプの選択
最初にサイトの種類を選択します。サイトタイプによって推奨設定が変わります。
- Blog(ブログ):個人ブログや情報発信サイト
- Ecommerce(ECサイト):WooCommerceなどを使った通販サイト
- Network(マルチサイト):WordPressマルチサイト構成
- Non-Profit(非営利・団体):NPOや団体サイト
- Brochure(コーポレート):会社・サービス紹介サイト
ステップ2:セキュリティ機能の有効化
サイトタイプを選択すると、推奨されるセキュリティ機能が表示されます。各機能のトグルをオンにして有効化します。基本的にはすべて有効にすることをおすすめします。
ステップ3:二段階認証(2FA)の設定
ウィザードの途中で二段階認証(2FA)の設定画面が表示されます。Solid Securityの2FAは認証アプリを使うTOTP方式です。
- スマートフォンに「Google Authenticator」または「Authy」などの認証アプリをインストールする
- 画面に表示されるQRコードを認証アプリで読み取る
- 認証アプリに表示された6桁のコードを入力して確認する
- バックアップコードを必ず保存する(スマートフォンを紛失した場合の緊急用)
スマートフォンを紛失・機種変更した場合、認証アプリが使えなくなります。バックアップコードを画面に表示された時点で必ずメモまたは印刷して安全な場所に保管してください。
ステップ4:ウィザード完了と設定の確認
ウィザードを完了すると、Solid Securityのダッシュボードに移動します。設定が正しく反映されているかダッシュボードで確認しましょう。
Solid Securityの設定画面の見方
有効化が完了すると、管理画面の左メニューに「Security」という項目が追加されます。
- Dashboard(ダッシュボード):セキュリティ状態の概要・最近のブロック一覧
- Features(機能):各セキュリティ機能のオン・オフ管理
- Site Scan(サイトスキャン):マルウェア・脆弱性のスキャン実行
- User Groups(ユーザーグループ):ユーザーの役割ごとのセキュリティ設定
- Logs(ログ):セキュリティイベントの記録確認
ブルートフォース保護の設定
Solid Securityのブルートフォース保護は「ローカル」と「ネットワーク」の2種類があります。どちらも有効にすることで、より強力な不正ログイン防止が実現できます。
ローカルブルートフォース保護
自分のサイトへのログイン失敗を記録し、一定回数を超えたIPアドレスをブロックする機能です。
- Max Login Attempts Per Host(ホストごとの最大試行回数):5回
- Max Login Attempts Per User(ユーザーごとの最大試行回数):10回
- Minutes to Remember Bad Login(失敗をカウントする期間):5分
- Automatically ban “admin” user(adminユーザーを自動バン):有効にする
ネットワークブルートフォース保護
iThemes/Solidセキュリティネットワーク全体で共有されている攻撃情報をもとに、悪意あるIPアドレスを自動でブロックする機能です。世界中のSolid Securityユーザーの攻撃情報を共有して守り合う仕組みです。
設定画面で「Enable Network Brute Force Protection(ネットワークブルートフォース保護を有効化)」をオンにするだけで機能します。
ログインページURLの変更
WordPressのデフォルトのログインURLを変更することで、攻撃者がログインページを見つけにくくなります。Solid Securityでは「Hide Backend(バックエンドを隠す)」という機能名で提供されています。
- 「Security」→「Features(機能)」→「Hide Backend」を開く
- 「Enable the Hide Backend Feature(バックエンドを隠す機能を有効化)」をオンにする
- 「Login Slug(ログインスラッグ)」に新しいURLのパス(例:
my-login-2026)を入力する - 「Save Settings(設定を保存)」をクリックする
- 新しいURL(例:
https://あなたのサイト/my-login-2026)をすぐにブックマークする
ログインURLを変更すると、以前のURL(/wp-admin/)からはアクセスできなくなります。変更後の新しいURLをすぐにブックマークしてください。URLを忘れた場合は、FTPでSolid Securityプラグインフォルダをリネームして無効化することで元のURL(/wp-login.php)が復活します。
サイトスキャンの使い方
Solid Securityのサイトスキャンは、GoogleやSucuriのデータベースをもとに既知の脆弱性とマルウェアをチェックします。SiteCheckという技術が使われており、無料版でも基本的なスキャンが可能です。
- 管理画面左メニューの「Security」→「Site Scan」をクリックする
- 「Scan Site(サイトをスキャン)」ボタンをクリックする
- スキャンが完了するまで待つ(数十秒~数分程度)
- 結果が表示される。問題がない場合は「No Issues Found(問題なし)」と表示される
ファイル変更検出の設定
WordPressのコアファイルが改ざんされると、サイトに悪意あるコードが仕込まれることがあります。ファイル変更検出機能は、WordPressのファイルへの変更を監視し、不審な変更があった場合にメールで通知してくれます。
- 「Security」→「Features(機能)」→「File Change Detection」を開く
- 「Enable File Change Detection(ファイル変更検出を有効化)」をオンにする
- 通知先メールアドレスが正しいか確認する
- 「Save Settings(設定を保存)」をクリックする
強力なパスワード強制の設定
ユーザーに強力なパスワードの使用を強制できます。管理者だけでなく、編集者や投稿者など複数のユーザーがサイトを管理している場合に特に有効です。
- 「Security」→「User Groups」を開く
- 「Administrator(管理者)」グループの設定を開く
- 「Strong Passwords(強力なパスワード)」をオンにする
- 必要に応じて他のユーザーグループにも同様の設定を行う
404検出の設定
404エラーは「ページが見つからない」状態です。攻撃者はWordPressの脆弱なファイルや管理画面へのパスを探すために、短時間に大量の404エラーを発生させることがあります。Solid Securityの404検出はこのような行動をするIPアドレスを自動でブロックします。
- Detect Period(検出期間):5分
- Error Threshold(エラーしきい値):20回(この回数以上404エラーを発生させIPをブロック)
Solid Securityの設定後確認チェックリスト
Solid Securityの初期設定が完了したら、以下のチェックリストで確認しましょう。
- セットアップウィザードを完了した
- 二段階認証(2FA)を設定してバックアップコードを保存した
- ローカルブルートフォース保護を有効にした
- ネットワークブルートフォース保護を有効にした
- ログインページURLを変更してブックマークした
- 初回サイトスキャンを実行して問題がないことを確認した
- ファイル変更検出を有効にした
- 404検出を有効にした
Solid Securityと他のプラグインの使い分け
Solid Securityは無料版から二段階認証が使える点がWordfenceやAIOSと比べた強みです。一方でマルウェアの詳細スキャンや自動除去は有料版(Pro)の機能です。
- ログイン保護・ファイル変更検出:Solid Security(メイン)
- マルウェアスキャン補完:Wordfence Security(スキャン専用に無料版を活用)
- 定期バックアップ:UpdraftPlus(万が一の復旧に必須)
Solid Securityの使い方まとめ
Solid Security(旧iThemes Security)は、セットアップウィザードで素早く初期設定を完了でき、無料版から二段階認証が使える点が特徴的なプラグインです。ファイル変更検出や404検出など独自の機能も充実しています。
- 管理画面からSolid Securityをインストール・有効化する
- セットアップウィザードでサイトタイプを選択して初期設定を完了する
- 二段階認証(2FA)を設定してバックアップコードを保存する
- ブルートフォース保護(ローカル・ネットワーク)を有効にする
- Hide BackendでログインページURLを変更してブックマークする
- Site Scanで初回スキャンを実行して問題がないか確認する
- ファイル変更検出・404検出を有効にする
定期バックアップにはUpdraftPlusを活用して、万が一の際もすぐに復元できる体制を整えておきましょう。
ホームページの乗っ取りが自分で解決できない時は
ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。
- ホームページが乗っ取られた・改ざんされた
- 管理画面にログインできなくなった
- 変なサイトにリダイレクトされている
- Googleに危険なサイトと表示されている
- 自分で復旧しようとしたが直らない
- WordPressを復旧・修正したい
- 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
- 90日間再感染保証・動作保証で安心
- 初期費用・調査費用0円で安心
