【2026年4月】SiteGuard WP Pluginに脆弱性。WordPress運用で確認すること
こんにちは、Umi Designです。
ワードプレスのサイトのセキュリティについて。
セキュリティは「SiteGuard」ってプラグインを入れているから大丈夫!
と思っているでしょうか?
「SiteGuard WP Plugin」は、WordPressの管理者ログインURLを変えられたり、不正なログインがないか履歴を見られたり、確かに便利なプラグインです。
しかし2026年、このプラグインに脆弱性(セキュリティ上の欠陥)が発表されました。
そして2026年4月になった現在も、プラグイン開発元からの修正アップデートはまだリリースされていません。
「じゃあどうすればいいの?」と不安になった方、ご安心ください。
今すぐパニックになる必要はありません。
この記事では、難しい知識がなくても「今日できる対策」 をわかりやすくお伝えします。
1. 何が起きているの?3行でわかる今回の問題
- 対象
SiteGuard WP Plugin バージョン 1.7.9 以下 ( 2026/4/1 時点最新 ) - 不具合内容
ログイン画面の「画像認証(パズル・数字入力)」が、機械によって突破されやすくなっている。 - 状況
2026年4月1日現在、開発元の修正版はまだリリースされていない。
危険度は?
脆弱性の深刻度を表す「CVSSスコア」という指標がありますが、5.3 / 10点です。
「今すぐサイトが乗っ取られる!」というレベルではなく、玄関の鍵穴が緩んでいる状態です。
焦りは禁物だけど、放置も禁物。
CVSSスコアってそもそも何?
セキュリティの世界では、脆弱性の深刻度を「CVSSスコア」という0〜10点の数字で表します。
((Common Vulnerability Scoring System:共通脆弱性評価システム) の略)
目安は以下の通りです。
| スコア | レベル | イメージ |
|---|---|---|
| 9.0〜10.0 | 緊急 | すぐサイトが乗っ取られる可能性 |
| 7.0〜8.9 | 重要 | 悪用されると大きな被害が出る |
| 4.0〜6.9 | 警告(今回はここ) | 条件次第で悪用される可能性あり |
| 0.1〜3.9 | 注意 | 影響は限定的 |
今回の5.3は「警告」レベル。
セキュリティリスクはありますが、適切な対策を取れば十分に防げる範囲です。
2. 現場で見てきた「あるある」な落とし穴
Umi Designではこれまで、多くの中小企業・個人事業主のWordPressサイトをサポートしてきました。
その中でよく目にするのが、
「せっかくプラグインは入っているのに、設定がほぼ初期値のまま」 という状態です。
あるお客様のサイトを確認させていただいたとき、SiteGuardは確かにインストールされ有効化されていました。
しかし設定画面を開いてみると、ログインURLは初期値の /wp-login のまま。
画像認証は有効になっていましたが、それ以外の保護機能はほとんど手付かずでした。
プラグイン有効化して、ずっとこのままです。何か変えなきゃいけないの?
と考えるオーナー様は、決して少なくありません。
(プラグインをインストール・有効化だけしてあとは放置というケースはあるあるです)
でもSiteGuardは「インストール後に自分で設定してはじめてちゃんと機能するプラグイン」なのです。
インストールしただけでは「開けっ放しの玄関」
SiteGuardの最も便利な機能のひとつが、「ログインURLの変更」です。
WordPressのデフォルトのログインURLは https://あなたのドメイン/wp-login.php で、これは世界中の誰でも知っています。
攻撃者はこのURLに対して、IDとパスワードを機械的に何千回も試す「ブルートフォース攻撃」を仕掛けてきます。
ログインURLを デフォルトワードプレスの/wp-login から別のURLに変更するだけで、このような攻撃は防ぐことができます。
しかし設定をデフォルトのまま変えていなければ、SiteGuardを入れていても意味がほとんどありません。
「ログインURL変えてるけど?」と思ったら、実はwp-loginでも入れる状態で、逆に入口が増えてしまっているケースも非常に多いです。
今回の脆弱性によって画像認証が突破されやすくなっている今、ログインURLを変更していないサイトは特に狙われやすい状態と言えます。
3. 実はサーバーが守ってくれている!「多層防御」の考え方
SiteGuardに問題が見つかっても、すぐにサイトが危険になるわけではありません。
なぜなら、セキュリティは「重ね着」が基本だからです。
セキュリティはSiteGuardだけではなく、他にも色々な分野に強い機能があります。
| 防御レイヤー | 役割のたとえ |
|---|---|
| SiteGuard(プラグイン) | 玄関の鍵 |
| WAF(サーバー機能) | 敷地入口の監視ゲート |
| Wordfenceなど | 家の中の警備員 |
| 強力なパスワード | 本人確認の最後の砦 |
エックスサーバーやConoHa WINGなど、国内の主要レンタルサーバーには 「WAF(ウェブアプリケーションファイアウォール)」 という強力な防御システムが標準搭載されています。
WAFは、不正なアクセスや攻撃パターンをサーバー側で自動的にブロックしてくれる仕組みです。
つまり、SiteGuardの一部機能に穴が開いていても、WAFがその前でブロックしてくれている可能性が高いのです。
「一つのプラグインに頼り切り」ではなく、複数の防御が重なっている状態を目指すことが、現代のWebセキュリティの常識です。
まずはサーバーの管理画面にログインして、WAFの設定がONになっているか確認をしてみましょう。
※ WAFも初期値はオフになっていることが多いです)
4. 乗り換えを検討するなら「CloudSecure WP Security」
今回の件をきっかけに「SiteGuardのアップデートが止まっているなら、別のプラグインに移りたい」と考える方も多いでしょう。
そのような方には、「CloudSecure WP Security」への乗り換えをおすすめします。
なぜCloudSecureが今の選択肢なのか
【エックスサーバーが運営する安心感】
2026年、国内最大手のレンタルサーバー会社「エックスサーバー」がCloudSecureの運営を引き継ぎました。開発・サポート体制が充実しており、脆弱性が発見された際の対応スピードが期待できます。
【完全日本語対応】
設定画面もヘルプドキュメントもすべて日本語です。
「英語の画面でよくわからない…」という心配がありません。
【SiteGuardの不満を解消する機能】
画像認証もありますし、同一アカウントの重複ログイン防止・ログイン試行回数の制限・不審なIPの自動ブロックなど、より現代的な機能が揃っています。
「とりあえずSiteGuard」という時代から、「開発が継続されている、信頼できる国内プラグインを選ぶ」時代へのシフトが起きています。
5. 今すぐできる!3つのチェックリスト
難しいことは後回しにしても、SiteGuardを現在を使っている(または何もしていない方)は、まず次の3点だけ確認してください。
これだけで、ある程度セキュリティリスクを下げることができます。
✅ チェック1⋯ログインパスワードを見直す
パスワードは16文字以上、英大文字・小文字・数字・記号を混ぜたものが理想です。
「password123」や「sitename2024」のような推測されやすいパスワードは今すぐ変更しましょう。
これが最も即効性の高い対策です。
✅ チェック2⋯サーバーのWAFがONになっているか確認する
各サーバーの管理画面(エックスサーバーなら「サーバーパネル」、ConoHa WINGなら「コントロールパネル」)にログインし、WAF設定を探してみてください。
OFFになっていた場合は、迷わずONにしましょう。
✅ チェック3⋯SiteGuardのログインURLが変更済みか確認する
WordPress管理画面から「SiteGuard」→「ログインページ変更」を開き、URLが /wp-login のままになっていないか確認してください。変更されていなければ、今すぐ別のURLに設定することをおすすめします。
また、「管理画面からログイン画面にリダイレクトしない」にチェックを入れましょう
【⚠️ 注意】
ログインURLを変更した後は、新しいURLをメモしておきましょう。忘れてしまうとご自身もログインできなくなってしまいます。
セキュリティの不安、Umi Designにご相談ください
サイトはビジネスを支える大切な資産です。
今回の脆弱性だけでなく、Webの状況は日々変わります。
ウェブサイトはデザインやSEOだけではありません。
- 自分のサイトの設定がどうなっているかわからない
- CloudSecureへの移行を代わりにやってほしい
- サイト全体のセキュリティを一度見直したい
- 管理画面にログインできなくなった
- マルウェア(ウイルス)に感染した
そんな様々なご要望にも対応しています。
千葉県松戸のWeb制作「Umi Design」は、サイト制作だけでなく、既にあるサイトの総合的な健康診断やセキュリティへの移行サポートを行っています。
少しでも不安を感じたら、お気軽にご相談ください。
エンジニアからひとこと
今回の件は「致命的」ではありませんが「放置して良い」ものでもありません。何か起きてからでは遅いのがセキュリティ対策です。
プラグインを入れているだけで安心している方は、ぜひこの機会に設定だけでも見直してみてください!
小さな確認の積み重ねが、サイトを守る一番の近道です。
この記事を書いた人
関連記事
-
ウェブサイトのドメイン紛失!失効時の所有権復旧と再発防止策 -
今すぐやめて!ビジネスで知らずにやっているPPAPの3つの致命的な問題 -
2026年 WordPressのお問い合わせが動かない?Contact Form 7使用者が知っておくべきこと -
【2026年1月】Gmailの仕様変更で「メールが届かない」 対象者と対策をわかりやすく解説 -
Core Web Vitals対策ツール徹底解説!Webサイト速度改善でSEO強化 -
Web集客を加速!失敗しない独自ドメイン選びと管理術 -
中小企業必見!Webセキュリティ対策費用の全貌とコストを抑える賢い方法 -
Outlookの「オブジェクトが削除されているため、操作を実行できません」エラー