はじめに
Solid Securityとは?
WordPressサイトを運営する上で、セキュリティ対策は切っても切れない重要課題です。そんな中で注目されているのが、かつて「iThemes Security」として知られた「Solid Security – Password, Two Factor Authentication, and Brute Force Protection(以下、Solid Security)」という強力なセキュリティプラグインです。このプラグインは、ログインセキュリティの強化、二段階認証(2FA)の導入、ブルートフォース攻撃防止、脆弱性スキャン、ファイアウォール機能など、多彩なセキュリティ対策をワンストップで提供します。
Solid Securityは、世界中で累計3,400万回以上ダウンロードされており、WordPressサイトの安全運用に欠かせないツールとして高い評価を得ています。特に最近のアップデートで新機能やUI改善が続々と追加され、ますます使いやすく、かつ強力なセキュリティプラグインへと進化しています。
なぜWordPressにSolid Securityが必要か?
WordPressは世界で最も普及しているCMS(コンテンツ管理システム)である反面、サイバー攻撃の標的になりやすいという側面もあります。実際、毎日約3万件のサイトが何らかの攻撃を受けていると言われており、2022年には米国でのサイバー攻撃が前年比57%も増加しています。特にログイン画面へのブルートフォース攻撃や脆弱性を狙ったマルウェア感染は深刻な問題です。
Solid Securityは、こうした多様な攻撃からサイトを守るために設計されており、初心者でも簡単に導入できるセットアップやテンプレートによって、サイトタイプに応じた最適なセキュリティ設定が可能です。さらに、Patchstackと連携した脆弱性検出機能(Pro版)により、未然にリスクを察知して対策を講じることもできます。このように、Solid SecurityはWordPressサイトを「最強の盾」で守るための総合的なソリューションとして非常に有効です。
本記事の目的とターゲット読者
本記事では、WordPress初心者やプラグイン導入初心者を対象に、Solid Securityの基本的な機能から最新バージョン9.3.8でのアップデート内容、導入手順、そして各種設定や活用方法までを詳しく解説します。特に2025年4月にリリースされた最新のアップデートでは、不要なJavaScriptファイルの削除によるスキャン精度向上や、Two-Factor TOTPシークレットのWPログイン画面からの生成機能追加など、ユーザビリティとセキュリティが大幅に強化されています。
使い方や設定方法を具体的に紹介することで、初心者でも迷わずにSolid Securityを導入し、WordPressサイトの安全性を飛躍的に高められるようサポートします。
—
Solid Securityの基本機能
ログインセキュリティ(Password & Login Protection)
WordPressサイトの最も狙われやすい部分はログイン画面です。Solid Securityは、強力なパスワードポリシーの設定やログイン試行回数の制限、ログインURLの隠蔽といった多層防御を提供します。これにより、悪意ある第三者がパスワードを推測したり、ブルートフォース攻撃でアクセスを試みるリスクを大幅に低減します。
特にログイン試行の失敗が一定数を超えた場合、自動的にIPアドレスをブロックする機能は強力で、これによりサーバー負荷の軽減にもつながります。さらに、ログイン履歴の記録・監視も可能で、不審なログインがあった場合に素早く対応できる点も安心です。
二段階認証(Two-Factor Authentication, 2FA)
Solid Securityは、Google AuthenticatorやAuthyといったTOTP(Time-based One-Time Password)方式の二段階認証をサポートしています。パスワードだけでなく、スマートフォンアプリによるワンタイムコードの入力を必須にすることで、不正ログインのリスクを飛躍的に減らします。
最新バージョン9.3.8では、WPログイン画面から直接TOTPシークレットを生成できる新機能が追加され、ユーザーはより簡単に二段階認証を設定・利用可能になりました。これによりユーザー体験が向上し、セキュリティの強化と利便性の両立が実現しています。
ブルートフォース攻撃対策(Brute Force Protection)
ブルートフォース攻撃とは、パスワードを片っ端から試すことで不正ログインを狙う攻撃手法です。Solid Securityは、単一サイトだけでなく、約100万サイト規模のネットワークで共有されるブラックリストを活用し、悪質なIPアドレスを迅速に検知・遮断します。
これにより、ユーザーのサイトだけでなくSolid Securityを利用する全サイトの情報を活用したグローバルな防御が可能です。加えて、IPのブロックやホワイトリスト登録は管理画面の新設されたファイアウォールのIP管理タブから簡単に操作できます。
脆弱性スキャナー(Vulnerability Scanner)
プラグインやテーマ、WordPress本体の脆弱性は、攻撃者が侵入する入口となるため、常に最新の状態を保つことが重要です。Solid Securityの脆弱性スキャナーは、Patchstackのデータベースと連携し、サイトにインストールされているソフトウェアの脆弱性を検出します。
スキャン結果は管理画面でわかりやすく表示され、問題が発見された場合は具体的な対応方法も案内されるため、初心者でも適切に対処可能です。なお、スキャン精度は最新のアップデートで不要なJSファイルを削除したことにより向上しています。
ファイアウォール(Firewall)
Solid Securityは包括的なファイアウォール機能を搭載しています。これにより、特定のIPアドレスのアクセス制限や許可、カスタムルールの作成が可能です。2025年4月の最新バージョンでは、新たに「IP管理」タブが追加され、IPの管理操作をより直感的かつ効率的に行えるようになりました。
ファイアウォールは不正アクセスを未然に防ぐ第一防衛線として機能し、サイトの安全性を大幅に向上させます。管理画面からGUIで簡単に設定できるため、技術的な知識が少ない方でも安心して利用できます。
ユーザーセキュリティ管理(User Security)
サイト利用者のセキュリティ意識を高めることも重要です。Solid Securityはユーザー単位でのパスワードリセットや二段階認証の強制設定、ログインセッションの管理など、多彩な操作を一括または個別に行えます。
ユーザーのセキュリティ状態を一覧で把握できるため、管理者は必要に応じて迅速に対応できます。特に多人数が利用するサイトやコミュニティ型サイトでは、この機能が活躍します。
—
最新バージョン9.3.8のアップデート詳細
2025年4月28日にリリースされたSolid Security バージョン9.3.8は、セキュリティ強化とユーザビリティ向上の両面で複数の重要な改良が施されました。以下、特に注目すべきアップデート内容を詳しく解説します。
不要なJSファイル削除によるスキャン精度向上
従来のUI刷新に伴い不要になった古いJavaScriptファイルがプラグインに残っていたことで、脆弱性スキャン時に誤検知(false-positives)が発生していました。今回のアップデートではそれらのファイルを完全に削除し、スキャンの精度が大幅に向上。
これは誤検知による混乱や不要な対応を防ぎ、管理者が本当に対応すべき脆弱性だけに集中できるようになったことを意味します。結果として脆弱性管理の効率化に直結する重要な改善です。
StellarWP Telemetryライブラリの認証チェック強化
Solid Securityは利用状況の匿名データを収集するTelemetry機能を内包していますが、今回のアップデートでこのTelemetryライブラリの認証チェックが強化されました。不正なデータ送信や改ざんリスクを減らし、プライバシー保護とセキュリティの両立を図っています。
Telemetryは任意参加の新機能として提供されており、参加することで製品改善に貢献できますが、データの安全性がより確保された形となりました。
WordPress 6.5必須化の影響と対応
Solid Security 9.3.8からはWordPress 6.5以降が必須となりました。これはWordPress本体の最新APIやセキュリティ機能を活用するための措置であり、古いバージョンでの動作保証は終了しています。
このため、まだWordPressのバージョンが6.5未満のユーザーはアップデート前にWordPress本体のバージョンアップを行う必要があります。逆に言えば、6.5以降の最新環境でより強固かつ安定したセキュリティ対策が可能になっています。
Two-Factor TOTPシークレットのWPログイン画面からの生成機能追加
二段階認証の利便性がさらに向上しました。これまでは管理画面のユーザープロフィール画面などでしかTOTPシークレットの生成ができなかったのに対し、今回のアップデートでWPログイン画面から直接シークレット生成が可能に。
これによりユーザーはログイン時に素早く安全に二段階認証を設定でき、セキュリティ設定のハードルが下がりました。結果としてセキュリティ強化の促進に大きく寄与します。
ファイアウォールのIP管理タブ新設
従来のファイアウォール設定画面に加え、新たに「IP管理」タブが実装されました。ここからはIPアドレスのブロックや許可、ホワイトリスト管理が一元的に行え、操作性が飛躍的に向上しています。
管理者は直感的な操作で不審なIPの遮断や信頼できるIPの例外登録を行えるため、ファイアウォール設定にかける時間を大幅に削減可能です。
Usage Data Sharing(利用データ共有)の新機能(任意参加)
ユーザーからの利用データを匿名で収集し、Solid Securityの品質向上に役立てる新機能が追加されました。参加は完全に任意であり、個人情報や機密情報は一切含まれません。
参加することで、プラグインの開発チームはより実態に即した改善を行え、結果としてユーザー全体のセキュリティ強化につながります。
UI関連の改善とバグ修正まとめ
その他にも、管理画面のUI改善やバグ修正が多数行われています。特にReactによるUI刷新の恩恵で操作感が軽快になり、初心者でも迷わず設定を行えるようになりました。具体的にはログインセキュリティ機能の導入時の案内表示改善や各種通知のわかりやすさ向上などが含まれています。
—
Solid Securityの導入と初期設定
プラグインのインストール手順
まずはSolid Securityのインストールから始めます。WordPress管理画面の「プラグイン」→「新規追加」で検索窓に「Solid Security」と入力し、表示されたプラグインを「今すぐインストール」→「有効化」してください。
もしくは、以下の公式配布ページから直接ダウンロードしてアップロードする方法もあります。
10分で完了!かんたんセットアップガイド
プラグインを有効化すると、初回起動時にセットアップウィザードが起動します。ここで推奨されるセキュリティ設定を選択し、サイトタイプに応じたテンプレートを選べば、最適な設定が自動的に適用されます。
セットアップのポイントは以下の通りです。
1. サイトタイプ選択(後述のテンプレート参照)
2. ログイン保護の強化(パスワード強度、ログイン試行制限)
3. 二段階認証の有効化(推奨)
4. ファイアウォール基本設定の確認
5. 定期的な脆弱性スキャンのスケジューリング
これらを順に行うだけで、10分以内に堅牢なサイトセキュリティが完成します。
サイトタイプ別セキュリティテンプレートの選び方
Solid Securityでは、サイトの用途に応じて最適なセキュリティテンプレートが用意されています。テンプレートを使うことで、必要な機能だけを適切に有効化し、不要な設定は省くことが可能です。
| サイトタイプ | 特徴・おすすめポイント |
|——————-|—————————————————————-|
| Ecommerce(ECサイト) | 決済情報保護や顧客データの安全確保に重点を置いた設定。多層防御が必須。 |
| Network(コミュニティサイト) | 多数ユーザーの管理、セッション制御、アクセス制限が強化される。 |
| Non-Profit(非営利団体サイト) | 寄付情報やメンバー情報の保護、ログイン制限が中心のバランス型。 |
| Blog(ブログ) | コメントスパム対策やログイン保護を重視しつつ、運用の簡便さを確保。 |
| Portfolio(ポートフォリオ) | 作品やプロフィールの保護がメイン。低負荷・簡易設定で充分なセキュリティ。 |
| Brochure(企業紹介サイト) | 公開情報の保護より管理画面の安全性に重点。不要な機能を抑えたシンプル設定。 |
用途に合ったテンプレートを選ぶことで、セキュリティ設定のミスや漏れを防ぎ、最適な防御体制を構築できます。
—
Solid Securityの主要機能を使いこなす
ログインセキュリティの詳細設定と運用ポイント
ログインセキュリティはSolid Securityの要です。パスワード強度のルールを設定し、簡単すぎるパスワードの使用を防ぎましょう。また、ログイン試行回数制限を有効化すると、連続してログイン失敗したIPを自動的にブロックできます。
運用ではログイン履歴を定期的にチェックし、見慣れないIPや不審なアクセスを早期に発見することが重要です。さらに、ログインURLの変更や「hide backend」機能を活用し、攻撃者からログイン画面を隠すことも有効な対策です。
二段階認証(2FA)設定方法と最新UIの使い方
二段階認証はユーザーのセキュリティ意識を高めるだけでなく、管理者側も強制設定の有無を制御可能です。9.3.8以降はログイン画面からTOTPシークレットを生成できるため、手順がシンプルに。
ユーザーはスマホアプリでQRコードを読み取り、コードを入力するだけで設定完了。管理者はユーザーの2FA状態を一覧で確認・管理できるため、強制有効化やリセットも簡単です。
ブルートフォース攻撃対策ネットワークの仕組みと効果的な活用法
約100万サイトの攻撃情報を共有するネットワークを活用し、悪質なIPアドレスを即座にブロック。これにより単一サイトでの防御を超えたグローバルなセキュリティ効果が得られます。
効果的に活用するには、プラグインの自動ロ
コメント