WordPressにおすすめのセキュリティプラグイン6選【初心者向け】
WindowsやMacと同じく、WordPressにもセキュリティ対策が必要です。
近年、WordPressを狙った攻撃が急増しており、安全にWebサイトを運営するためにはセキュリティプラグインが欠かせません。
『WordPressのセキュリティプラグインってどんなものがあるの?』
『セキュリティプラグインの特徴は?』
『プラグイン以外のセキュリティ対策は必要?』
今回のコラム記事では、上記のような疑問に答えます。
WordPressのセキュリティプラグイン6つにくわえ、セキュリティ関連に役立つプラグインも紹介します。
セキュリティプラグインを導入し、安全で快適にWebサイトを運営しましょう。
WordPressのセキュリティを脅かす攻撃
w3techsによると、世界中のWebサイトの43.3%をWordPressが占めています。
WordPressは世界中の企業・団体・個人が使用しており、初心者ユーザーも多くいます。
初心者ユーザーはセキュリティ意識が低いことが多く、悪意ある攻撃者にとって格好の的です。
WordPressのセキュリティを脅かす攻撃にはどのような種類があるのか、わかりやすく3つの攻撃方法を解説します。
- 不正アクセス
- 脆弱性を利用した攻撃
- スパムコメント
不正アクセス
不正アクセスとは、管理者権限を持っていない人が管理画面にログインしようとすることです。
不正アクセスの目的は「個人情報の漏洩」「Webサイトの改ざん」などです。
たとえば、Webサイトを改ざんして不正なスクリプトを仕込み、訪れたユーザーをスパムサイトにリダイレクトすることが考えられます。
個人情報の漏洩では、メルマガや読者アンケートの情報が漏洩する可能性もあります。
以下のような対策で、不正アクセスを防ぎましょう。
- ログインURLの変更
- ログインユーザー名・パスワードの強化
- 複数回のログインの失敗でロックをかける
脆弱性を利用した攻撃
脆弱性を利用した攻撃も大きな脅威です。
フォームや掲示板、コメント欄などの入力欄は、とくに攻撃を受けやすい箇所です。
検索フォームにSQL言語で命令文を入力し、データベースを操作する手法が昔は流行していました。
そのほかにも、掲示板やコメント欄で不正なスクリプト付きのリンクを送信し、クリックしたユーザーのブラウザを攻撃する方法もあります。
古いバージョンのWordPressやプラグイン、テーマは狙われやすいです。
脆弱性を利用した攻撃へ対策するため、WordPressやプラグイン、テーマを更新しましょう。
面倒くさがらず、アップデートの通知がきたら小まめに更新してください。
スパムコメント
スパムコメントとは、ブログのコメント欄に記事内容と関係のないコメントを書き込むことです。
スパムコメントはボットを利用し、無差別かつ大量に関係のないコメントを投下します。
スパムコメントの目的はフィッシング詐欺、売名、架空請求などです。
直接的な被害はないものの、ユーザーがクリックしてしまうなど二次的な被害が拡大する恐れがあります。
スパムコメントを防ぐには、以下のような対策をしましょう。
- コメント欄を閉鎖する
- スパムコメント対策プラグイン(Akismet)の導入
- WordPressのコメント欄にreCAPTCHAを導入
WordPressのおすすめセキュリティ対策プラグイン6選
WordPressのおすすめセキュリティ対策プラグインを6つ紹介します。
- SiteGuard WP Plugin
- iThemes Security
- Wordfence Security
- Google Authenticator
- All In One WP Security & Firewall
- BulletProof Security
SiteGuard WP Plugin
SiteGuard WP Pluginは、大手レンタルサーバーである「ロリポップ!」も推奨している、完全国産のセキュリティプラグインです。
管理画面への不正アクセス防止が主な特徴で「管理ページのアクセス制限」「ログインURL変更」「ログイン画像認証」「ログインロック」「ログインアラート」といった機能を備えています。
SiteGuard WP Pluginの設定画面は、すべて日本語ですので操作や設定がかんたんです。
WordPress初心者に、強くおすすめしたいセキュリティプラグインです。
iThemes Security
iThemes Securityは、海外で人気のセキュリティプラグインで、100万以上のインストールを誇ります。
たった数分のかんたんな操作で、WordPressで作ったWebサイトを保護します。
iThemes Securityの管理画面はわかりやすく、直感的に操作しやすいです。
管理画面の一部は日本語対応しているため、英語が苦手でも安心して導入できます。
iThemes Securityの主な機能として「セキュリティ診断」「禁止ユーザーのブロック」「データベースのバックアップ」「ファイル変更の検出」「ブルートフォース攻撃対策」「SSL設定」などを備えています。
とにかく多機能なセキュリティプラグインがほしい人に、iThemes Securityはおすすめです。
Wordfence Security
Wordfence Securityは、ファイアウォールとマルウェアスキャンを備えたセキュリティプラグインです。
「脆弱性のスキャン」「改善方法の提示」「IP制限」といった機能が備わっており、包括的にWordPressを攻撃から守ります。
また、Wordfence Securityには、ファイルが変更されたときに自動で修復する機能があるので、仮に不正改ざんが行われても速やかに復旧できます。
Wordfence Securityのプレミアム会員になると、IPのブラックリストがシェアできるため、より安全性を高めることが可能です。
ただし、Wordfence Securityは、カスタマイズの設定がやや難しいことが難点です。
Google Authenticator
Google Authenticatorは、Googleアプリを利用した2段階認証をWordPressに導入するプラグインです。
2段階認証はユーザーごとに設定できます。
たとえば、管理者には2段階認証を設定し、そのほかのユーザーは通常のログイン設定を適用することも可能です。
Google Authenticatorを利用するには、Googleアプリをスマートフォンにインストールする必要があります。
Google Authenticatorによる2段階認証を行うことで、仮にユーザー名やパスワードが流出してもセキュリティが保たれます。
All In One WP Security & Firewall
All In One WP Security & Firewallは名前のとおり、ファイアウォールを導入できるプラグインです。
ファイアウォールだけでなく、多種多様なセキュリティ対策も行えます。
All In One WP Security & Firewallは、セキュリティの専門家によって設計されており、信頼性と安全性が高いことが特徴です。
All In One WP Security & Firewallの主な機能としては「各種設定ファイルのバックアップ」「データベースの接頭語の変更」「パーミッションの設定」「PHPファイルエディタの無効化」などがあります。
BulletProof Security
BulletProof Securityは、WordPressに基本的なセキュリティ対策を追加できるプラグインです。
「マルウェアスキャナー」「ファイアウォール」「ログインセキュリティ」「データベースのバックアップ」「スパム対策」といった機能を搭載しています。
ただし、BulletProof Securityは日本語に対応しておらず、管理画面はすべて英語です。
英語の苦手な人にはあまりおすすめできません。
.htaccessを書き換える機能は、キャッシュ系プラグインと相性が悪いです。
そのため、プラグインを併用する際は注意してください。
セキュリティ関連で入れておきたいプラグイン
セキュリティ関連で導入しておきたいプラグインについて解説します。
WPS Hide Login
WPS Hide LoginはログインURLを変更できる、非常にシンプルかつ軽いプラグインです。
WordPressはログインURLが世界共通です。
そのため、悪意ある攻撃者は、WordPressで作られたWebサイトのログインページをすぐに見つけ出せます。
しかし、WPS Hide LoginでログインURLを変更すれば、第三者にログインページを発見されることはまずありません。
WPS Hide Loginは変更したいログインURLを設定するだけです。
ログインURLを元に戻したい場合はプラグインを無効化、または削除しましょう。
IP Geo Block
IP Geo Blockは、海外からのIPアドレスをブロックすることで、不正アクセスを防ぐプラグインです。
IP Geo Blockは日本人が作成したプラグインで、設定画面がすべて日本語です。
マッチング規則でホワイトリストとブラックリストを選択でき、IPアドレスの国コードを入力することでアクセスを許可・禁止できます。
たとえば、Webサイトが日本国内向けの場合、日本国内からのIPアドレスしか受け付けないように設定することも可能です。
IP Geo Blockの設定項目は、多くてやや難しいですが、使いこなせばセキュリティ向上につながります。
Akismet
Akismetは、スパムコメントを自動でスパムフォルダに振り分けてくれるプラグインです。
WordPressにデフォルトでプラグインがインストールされています。
Akismetを利用するにはアカウント登録し、APIキーを入手することが必要です。
アカウント登録は無料で行えますが、Akismetは商用利用が禁止されています。
商用利用する場合は、有料のプランを選択することが必要です。
コメントを受け付けているWebサイトや、フォームをContact Form 7で作っている場合などには必須のプラグインです。
BackWPup
BackWPupは、自動バックアップができるWordPressのプラグインです。
WordPressのすべてのディレクトリと、データベースのバックアップが取れます。
バックアップは、ZIPファイルでダウンロードでき、サーバーにアップロードすることで復元可能です。
データベースの復元にはphpMyAdminを使います。
自動バックアップが無料で行えるプラグインは貴重です。
バックアップを取っておけば、仮に改ざんが行われても速やかに復旧できます。
プラグイン以外でセキュリティ対策をする方法
プラグイン以外で、WordPressのセキュリティをさらに強化する方法をご紹介します。
WordPressの更新
悪意ある攻撃者に不正アクセスされたり、改ざんされたりするWordPressの大半が古いバージョンです。
WordPressは更新のたびに脆弱性の修正を行っています。
セキュリティを向上させるなら、WordPressの更新をしっかりと行いましょう。
くわえて、WordPress本体のみならずプラグインやテーマも更新しましょう。
プラグインは自動アップデートを設定できます。
自動アップデートを有効化して、常に最新の状態を保ちましょう。
パーミッションの変更
パーミッションとは、ディレクトリやファイルへのアクセス権のことです。
所有者(Owner)、所有者のグループに属するユーザー(Group)、そのほかのユーザー(Other)に対し、それぞれ「読み込み」「書き込み」「実行」の権限を与えるかどうかをパーミッションでは設定します。
WordPressの推奨設定は、.htaccessが「606」で、wp-config.phpが「600」です。
そのほかのディレクトリは、基本的に「705」で、ファイルは「604」が推奨されています。
ただし、themesやuploadsなどのディレクトリは「707」を適用しましょう。
バックアップ
仮に不正改ざんが行われても、バックアップがあれば速やかに復旧可能です。
また、サーバートラブルや人為的なミスによる障害も、バックアップを取っておくことで被害を最小限に抑えられます。
WordPressのバックアップには「プラグイン」「サーバーのバックアップ機能」の2つの方法があります。
万全を期すなら、どちらのバックアップも行っておきましょう。
WebサイトのSSL化
SSLは「Secure Socket Layer」の略語で、データを暗号化して送受信する仕組みのことです。
HTTPでは筒抜けだった個人情報、クレジットカード番号、住所といった情報もSSLなら安心してやりとりできます。
SSLは通信を暗号化するため、仮に通信の内容を見られても解読は困難です。
WebサイトをSSL化して、セキュリティ向上に努めましょう。
まとめ
WordPressのセキュリティプラグインを6つご紹介しました。
WordPressは使い方がかんたんでメジャーなCMSなので、多くの企業・団体・個人が利用しています。
WordPressを利用している初心者ユーザーやセキュリティ意識が低い人も多く、攻撃者からすれば格好の的です。
WordPressのセキュリティプラグインを導入することで、手軽にセキュリティを向上できます。
いろいろなセキュリティプラグインがリリースされていますので、自身のWebサイトに最適なプラグインを選びましょう。
くわえて、プラグインだけに頼らず、基本的なセキュリティ対策もきっちり行ってください。
セキュリティを向上させ、安全で快適な運用を行いましょう。
まずは無料でご相談ください。
お問い合わせ・ご相談や、公開後の修正依頼などに関しては、いずれかの方法にてお問い合わせください。
※年末年始・土日祝は定休日となります
※受付時間 9:00~17:30
