「SiteGuard WP Pluginをインストールしたけど、設定項目が多くてどこから手をつければいいかわからない」
「日本語の説明はあるのに、それでも設定の意味がよくわからない」という方は多いのではないでしょうか。
SiteGuard WP Plugin(以下、SiteGuard)は、
日本のセキュリティ会社JP-Secureが開発した国産WordPressセキュリティプラグインです。
特に管理画面への不正ログインを防ぐ機能に優れており、初心者でも導入しやすいと評判です。
この記事では、SiteGuardのインストールから各機能の設定方法まで、
スクリーンショットをまじえて順番にわかりやすく解説します。
よこやま良平ITエンジニアとして20年以上WordPressに携わってきたよこやま良平です。WordPress書籍を25冊以上執筆してきたわたしが、SiteGuardの設定を初心者でも迷わないよう丁寍に解説します。
- SiteGuard WP Pluginとは何か・何ができるか
- インストールと初期設定の手順
- 各機能の意味と推奨設定
- インストール後に必ずやるべき設定
- SiteGuardで解決できないこと・他プラグインとの使い分け
まずはSiteGuardがどんなプラグインかを理解してから、設定に進みましょう。
こんなお悩みはありませんか?
- ある朝、サイトを開いたら真っ白画面になっていた
- 管理画面にログインできなくなって手が止まった
- 身に覚えのない記事やページが勝手に増えていた
- プラグインを更新したらサイト全体が崩れてしまった
- 以前バックアップを取ったか自分でも覚えていない
累計1,000件以上のWordPressトラブル対応の経験から、「壊れる前に備える」ためのチェックリストを1冊にまとめました。
ログイン・本体・バックアップ・サーバー・運用の5分野を、50項目で「危険度・確認方法・対処法」まで解説しています。
セキュリティプラグイン・WordPressの教科書も含めた3大特典を、
今なら無料で受け取れます。
SiteGuard WP Pluginとは?特徴と主な機能
SiteGuard WP Pluginは、日本のセキュリティ企業JP-Secureが提供する国産のWordPressセキュリティプラグインです。
WordPress公式ディレクトリで配布されており、国内での利用者数は50万件を超えています。
特に「管理画面への不正ログインを防ぐ」ことに特化しており、管理画面・ログイン画面の保護機能が充実しています。
設定画面がすべて日本語で、説明もわかりやすいため初心者でも扱いやすいのが大きな特徴です。
- 管理ページアクセス制限:ログインしていない状態での管理画面へのアクセスを403エラーでブロック
- ログインページ変更:デフォルトのログインURL(/wp-login.php)を別のURLに変更
- 画像認証(CAPTCHA):ログインページに画像認証を追加してボット攻撃を防止
- ログインロック:一定回数以上ログインに失敗したIPをブロック
- ログインアラート:ログインがあった際にメールで通知
- フェールワンス:正しい情報でも1回目のログインを必ず失敗させる高度な不正対策
- XMLRPC防御:XMLRPC経由の攻撃をブロック
- ユーザー名漏えい防御:ユーザー名が外部から特定されないよう保護
- 更新通知:WordPress本体・プラグイン・テーマの更新をメールで通知
SiteGuardにはマルウェアのスキャン・検出機能はありません。感染を検出したい場合はWordfenceなどスキャン機能付きのプラグインを別途導入してください。
SiteGuard WP Pluginのインストール手順
SiteGuardはWordPress公式ディレクトリで配布されているため、管理画面から直接インストールできます。
- WordPress管理画面 →「プラグイン」→「新規プラグインを追加」を開く
- 検索欄に「SiteGuard」と入力する
- 「SiteGuard WP Plugin」を見つけて「今すぐインストール」をクリックする
- インストール完了後、「有効化」をクリックする
SiteGuardを有効化すると、ログインURLが自動的に変更されます。変更後のログインURLはメールアドレスに通知されますが、念のため画面に表示されるURLをすぐにブックマークしてください。変更前のURL(/wp-login.php)ではログインできなくなります。
SiteGuardの設定画面の見方
有効化が完了すると、管理画面の左メニューに「SiteGuard」という項目が追加されます。
- WordPress管理画面の左メニューから「SiteGuard」をクリックする
- 「ダッシュボード」に各機能の有効・無効状態が一覧で表示される
- 設定を変更したい機能名をクリックして個別に設定する
機能①管理ページアクセス制限の設定
この機能を有効にすると、WordPressにログインしていない状態で管理画面(/wp-admin/)にアクセスしようとした場合、403エラーページが返されます。攻撃者が管理画面の存在を確認することすら防げます。
デフォルトで有効になっているため、基本的にはそのままでOKです。
機能②ログインページ変更の設定(最重要)
WordPressのデフォルトのログインURLは「サイトURL/wp-login.php」です。世界中の攻撃者がこのURLを知っているため、変更するだけで攻撃の大半を防ぐことができます。SiteGuardで最も重要な設定です。
有効化した時点でSiteGuardが自動的にログインURLを変更します。デフォルトでは「login_(5桁のランダムな数字)」という形式のURLに変わります。
- SiteGuard設定画面 →「ログインページ変更」をクリックする
- 現在のログインURLを確認する
- 任意のURLに変更したい場合は「変更後のログインページ名」欄に入力して「保存」をクリックする
- 新しいURLをブックマークまたはメモする
変更後のログインURLを忘れてしまうと、自分が管理画面にアクセスできなくなります。変更後のURLは必ずブックマークするか、メモ帳などに保存してください。URLを忘れた場合は、FTPでSiteGuardプラグインフォルダをリネームして無効化することで元のURL(/wp-login.php)が復活します。
機能③画像認証(CAPTCHA)の設定
ログインページに「ひらがな4文字の画像認証」を追加する機能です。自動化ツール(ボット)によるログイン攻撃を大幅に減らす効果があります。人間でも読めるひらがなを使うため、日本のユーザーには使いやすい設計になっています。
画像認証はログインページだけでなく、コメント投稿フォームやパスワードリセットページにも追加できます。
- ログイン:必ず有効にする(デフォルトで有効)
- コメント:スパムコメントが多い場合は有効にする
- パスワードリセット:有効にすることを推奨
- ユーザー登録:一般ユーザー登録を許可している場合は有効にする
機能④ログインロックの設定
一定回数以上ログインに失敗したIPアドレスを自動的にブロックする機能です。「辞書攻撃」や「総当たり攻撃」と呼ばれる、無数のパスワードを試し続ける攻撃を防ぐ機能です。
- 期間:5分(この期間中のログイン試行をカウントする)
- 回数:3回(3回失敗したらロック)
- ロック期間:30分(デフォルト)
- 回数を少なくしすぎると自分が誤って入力した際にロックされやすくなるので注意
機能⑤ログインアラートの設定
WordPressの管理画面にログインがあった際に、登録メールアドレスに通知メールを送る機能です。自分がログインした際にも届きますが、身に覚えのないログイン通知が届いた場合は不正アクセスの疑いがあります。
この機能はデフォルトで有効になっています。ログインのたびにメールが届くのが煜わしい場合でも、セキュリティのためにオンにしておくことをおすすめします。
機能⑥フェールワンスの設定
「フェールワンス(Fail Once)」とは、正しいユーザー名とパスワードを入力しても、最初の1回目は必ずログインを失敗させる高度なセキュリティ機能です。
自動ツールによる攻撃はログインに成功した場合すぐに次の操作を行いますが、「1回必ず失敗」という仕組みにより、自動ツールによるログイン成功を実質的に防ぐことができます。
- 1回目のログインが失敗に見えても、もう一度同じ情報で入力するとログインできるため焦らなくてOK
- パスワードマネージャーを使っている場合は問題なく動作する
- 複数のユーザーが管理する場合、全員に事前に説明しておくとトラブルを防げる
機能⑦XMLRPC防御・⑧ユーザー名漏えい防御の設定
この2つは有効にするだけでよく、特別な設定変更は不要です。
- XMLRPC防御:WordPressを外部から遠隔操作するXMLRPC機能を悪用した攻撃を防ぐ。「XMLRPC無効化」「XMLRPC多重ログイン防止」の2つから選択できる
- ユーザー名漏えい防御:「サイトURL/?author=1」などのURLにアクセスすると管理者のユーザー名が表示されてしまう問題を防ぐ。有効化するだけでOK
機能⑨更新通知の設定
WordPress本体・プラグイン・テーマの更新が利用可能になった際にメールで通知してくれる機能です。古いバージョンを放置すると脆弱性が悪用されるリスクが高まるため、更新通知を受け取ってこまめに更新することがセキュリティの基本です。
- WordPress・プラグイン・テーマすべての更新通知を有効にする
- 通知先メールアドレスが正しいか確認する
- 通知が届いたらなるべく早めに更新を行う
SiteGuard設定後の確認チェックリスト
すべての設定が完了したら、以下のチェックリストで確認しましょう。SiteGuardのダッシュボードで各機能が「ON」になっていれば設定完了です。
- 変更後のログインURLをブックマークしてある
- 新しいログインURLからログインできることを確認した
- 管理ページアクセス制限が「ON」になっている
- ログインページ変更が「ON」になっている
- 画像認証(ログイン)が「ON」になっている
- ログインロックが「ON」になっている
- ログインアラートが「ON」になっている
- XMLRPC防御が「ON」になっている
- ユーザー名漏えい防御が「ON」になっている
- 更新通知が「ON」になっている
SiteGuardと他のプラグインの使い分け
SiteGuardはログイン保護に特化した優れたプラグインですが、マルウェアスキャンやファイアウォール機能は無料版にはありません。より完全なセキュリティ対策のために、他のプラグインと組み合わせることをおすすめします。
- ログイン・不正アクセス防止:SiteGuard WP Plugin(メイン)
- マルウェアスキャン:Wordfence Security(スキャン専用に無料版を活用)
- 定期バックアップ:UpdraftPlus(万が一の復旧に必須)
SiteGuard WP Pluginの使い方まとめ
SiteGuard WP Pluginは、日本語対応・国産・無料というWordPressユーザーにとって非常に使いやすいセキュリティプラグインです。特にログイン保護機能が充実しており、設定もシンプルです。
- 管理画面 →「新規プラグインを追加」からSiteGuard WP Pluginをインストール・有効化する
- 有効化直後に表示される新しいログインURLをすぐにブックマークする
- SiteGuardダッシュボードで全機能が「ON」になっているか確認する
- ログインロックの失敗回数・ロック期間を確認・調整する
- 画像認証の適用範囲(ログイン・コメント等)を設定する
- 更新通知のメールアドレスが正しいか確認する
- 新しいログインURLから実際にログインできるか確認する
マルウェアのスキャンが必要な場合はWordfenceと組み合わせ、定期バックアップにはUpdraftPlusを活用することで、万全のセキュリティ体制を整えられます。
ホームページの乗っ取りが自分で解決できない時は
ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。
- ホームページが乗っ取られた・改ざんされた
- 管理画面にログインできなくなった
- 変なサイトにリダイレクトされている
- Googleに危険なサイトと表示されている
- 自分で復旧しようとしたが直らない
- WordPressを復旧・修正したい
- 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
- 90日間再感染保証・動作保証で安心
- 初期費用・調査費用0円で安心
