WordPressにおすすめのセキュリティプラグイン14選!最適な組み合わせもご紹介

本ページはプロモーションが含まれています

Webの世界は全世界の人々とつながっているが故にセキュリティ面にも注意しなければなりません。

世界中すべてのWebサイトのうち、約30%がWordPressで作成されているともいわれています。一方で、多くのユーザーがいるからこそ、悪意のあるユーザーの標的になりやすいのも事実。

WordPress is used by 60.0% of all the websites whose content management system we know. This is 31.8% of all websites.

Usage Statistics and Market Share of WordPress, March 2024

こうした中、あまりインターネットに詳しくない方もWordPressを快適に使用できるように、世界中の技術者がセキュリティ対策を行うことができるプラグインを公開してくれています。

今回はそのセキュリティ対策のプラグインをご紹介し、快適にWordPressを使用できるに解説していきます。

目次

WordPressプラグインで行うセキュリティ項目

WordPressのプラグインで行うセキュリティ項目について説明します。そのプラグインがどんなセキュリティ対策をしてくれているのか知ることでより納得感をもって対策できます。

スパムコメント対策

Webサイトのコメント欄に自社の宣伝や悪質な勧誘などを投稿してくるスパムコメントは、数件ならその都度削除して対処できますが、数十件にもなると手に負えなくなります。きちんと対策しておきましょう。

不正ログイン対策

不正ログイン攻撃は、悪意のあるユーザーが想定できるログイン情報を手当たり次第入力し、ログインを試みる攻撃手法です。ブルートフォースアタック(総当たり攻撃)とも呼ばれています。

ファイアウォール

ファイアウォールとは外部ネットワークからの攻撃や不正アクセスから自分たちのネットワークを守ってくれるソフトウェアのことをいいます。これはレンタルサーバーでも対策をしてくれている場合も多く、プラグインで対策をする必要がないこともあります。

悪用テーマチェック

WordPressはプラグインやテーマは世界中の人が制作し、公開されています。大変ありがたいことなのですが、一部のユーザーが仕込んだ悪意のあるコードによって、マルウェア感染やデータの改ざんの被害にあった例もあります。

WordPressにおすすめのセキュリティプラグイン14選

上記のサイバー攻撃の対策ができるWordPressプラグインをご紹介します。

汎用セキュリティプラグイン

まずは、色々な攻撃から守ってくれる汎用的なプラグインをご紹介します。とりあえず基本的なセキュリティ対策を行うことができるので、どれが1つを入れておくと安心でしょう。

SiteGuard WP plugin ー初心者でも手軽に設定できるー

SiteGuard WP Pluginのプラグインページ
プラグインの概要

「SiteGuard WP Plugin」は数あるセキュリティプラグインの中でも人気のプラグインです。一番の特徴はその手軽さ。インストールするだけで、基本的なセキュリティ対策ができてしまうので初心者の方にも扱いやすいプラグインです。国産のプラグインなので、日本語で操作、設定が可能です。

プラグインの機能
機能説明
ログインページの変更WordPressはログインURLが決まっています。(wp-login.php)これでは、攻撃の対象になりやすいため、URLにランダムな数字を加えログインページを変更してくれます。
管理画面へのアクセス制限ログインしていない接続元IPアドレスから管理画面へのアクセスがあった場合、404エラーで弾く機能です。管理画面への不正アクセスを防いでくれます。
画像認証(CAPTCHA認証)ログインページとコメント欄に画像認証を設置することにより、ブルートフォース攻撃等による不正ログインやコメントスパムを防いでくれます。
ログインロック何度もログインを失敗した場合にその接続元によるログインを一定期間ロックしてくれます。ブルートフォース攻撃など機械的にユーザー名、パスワードを当てはめて攻撃する手法に対して対策できます。
ログイン失敗時のエラーメッセージの無効化WordPressのデフォルトのログイン機能では、パスワードが間違っていても、ユーザー名があっていた場合、エラーメッセージにその旨が表示されてしまいます。ユーザー名、パスワード、画像認証どれを間違えても同一のエラーメッセージを表示して対策します。
ログインアラート管理画面にログインがあった場合、ログインユーザーにメールで通知をしてくれます。身に覚えのないログインがあった場合気付きやすくなるので、不正ログイン対策になります。
フェールワンスフェールワンスは正しいログイン情報を入力しても必ず1回ログインを失敗させる機能です。パスワードリスト攻撃などの機械的な攻撃を受けにくくしてくれます。
XMLRPC防御WordPressの標準機能であるXMLRPC機能とピンバック機能を無効にして悪用攻撃を防ぎます。これらの機能を活用して、WordPressを運用している場合は無効化しないでください。
更新通知WordPressは脆弱性を改善するために、テーマやプラグイン、WordPress本体が定期的にバージョンアップされます。バージョンアップがされた際にWebサイト運営者に更新通知することで常に最新のバージョンするように促してくれます。
WAFチューニングサポートWebサーバーに導入されたWAFによって誤検出が起こるのを回避する機能です。ウィジェットやメニューなどのWordPressの機能やプラグインによるアクセスをWAF誤ってブロックする場合があります。WAFチューニングサポートを使ってWAFの機能をコントロールできます。
プラグインの使い方

「SiteGuard WP plugin」の使い方は下記の公式サイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。

XMLRPCとは?

WordPressでは外部システムから記事投稿や画像のアップロードを行うことができます。その際に利用されるプロトコルのことをXMLRPCといいます。XML形式のデータをHTTPで送受信するメソッドの1つです。

All in One Security & FireFall ー網羅的にセキュリティ対策が可能ー

All In One WP Security & Firewallのプラグインページ
プラグインの概要

様々なサキュリティ対策を網羅的に行うことができるプラグインです。ファイアウォールを導入やスパムコメント対策、ファイルの変更があった場合に通知をしてくれるファイルスキャン機能もあります。管理画面は日本語ではなく英語なので、取っ付きにくいかもしもしれませんが、有名なプラグインなので、色々な方は解説記事を公開してくれています。

プラグインの機能
機能説明
WordPress設定ファイルのバックアップ.htaccessやwp-config.phpなど重要なファイルをバックアップしてくれます。
データベースのバックアップ手動アップのほか、バックアップを取る間隔を設定して自動バックアップを行うこともできます。
データベースの接頭辞(Prefix)の変更WordPressのデフォルトの状態では、悪意のあるユーザーにデータベースの場所を特定される危険性があります。データベースの接頭辞(Prefix)を設定し、場所の特定を防ぎます。
ログインロック何度もログインを失敗した場合にその接続元によるログインを一定期間ロックしてくれます。ブルートフォース攻撃など機械的にユーザー名、パスワードを当てはめて攻撃する手法に対して対策できます。
WordPressバージョンの非表示WordPressのバージョンが古い場合、攻撃の対象とされやすくなります。公開する必要のない情報は非表示にしておいた方が良いでしょう。管理画面の設定項目でチェックをいれるだけで、WordPressのバージョンを非表示にしてくれます。
ユーザー名とパスワードの強度チェックログインユーザー名とパスワードの強度をチェックし、脆弱性がある場合はエラーメッセージを表示して知らせてくれます。WordPressではユーザー名が「admin」とされている場合が多く、攻撃と対象となっています。
ディレクトリやファイルのパーミッション(権限)監視ディレクトリやファイルのパーミッション(権限)に異常がないか監視できます。管理画面内でおすすめのパーミッション(権限)に変更してくれる機能もついています。
ブラックリスト設定IPアドレスやユーザーエージェントを指定してアクセスを拒否することができます。
ファイアウォールファイアウォール機能を有効にします。.htaccessファイルの保護やサーバー署名の無効化など簡易的なファイアウォール設定が可能です。
XMLRPC防御WordPressの標準機能であるXMLRPC機能とピンバック機能を無効にして悪用攻撃を防ぎます。これらの機能を活用して、WordPressを運用している場合は無効化しないでください。
ログインページの変更WordPressはログインURLが決まっています。(wp-login.php)これでは、攻撃の対象になりやすいため、URLにランダムな数字を加えログインページを変更してくれます。
スパムコメントブロックbotによるスパムコメントを検出しブロックしてくれます。
ファイル・データベーススキャンファイルやデータベースに変更があった場合にメールで通知をしてくれます。不正アクセスによるデータの改ざんやマルウェア感染の対策になります。
右クリック・テキスト選択・コピー禁止Webサイト上での右クリックやテキスト選択、コピーを無効化してくれます。
プラグインの使い方

「All in One Security & FireFall」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。

iThemes Security

iThemes Securityのプラグインページ
プラグインの概要

「iThemes Security」の特徴は操作性の高い直感的な設定画面です。包括的なWordPressのセキュリティ項目があるのですが、パネル状のユーザーインターフェースがとても見やすく扱いやすくなっています。海外製品ですが日本語に翻訳されている部分もあるので、英語が苦手な方でも安心です。

プラグインの機能
機能説明
セキュリティチェックプラグインで推奨されている機能や設定になっているか確認できます。
グローバル設定プラグインによるwp-config.php等へのアクセスを許可するかや通知メールの設定を行うことができます。
Notification Centerサーバー状にあるファイルに変更があった際にメールの通知が届きます。
404の検出404エラーが大量に検知された際に管理画面をロックしスヌーピング(情報の傍受)、不正アクセスを防いでくれます。
退出中モードスケジュールによって退出時間を設定し、退出中は管理画面へのアクセスを無効にします。
禁止ユーザーIPアドレスやユーザーエージェントを指定してアクセスを拒否することができます。
データベースのバックアップ手動アップのほか、バックアップを取る間隔を設定して自動バックアップを行うこともできます。
ローカルのブルートフォース保護ロックアウト機能を有効にし、設定した回数ログインに失敗すると一定期間ログインできなくなります。設定により恒久的にログインを禁止にすることもできるので、より強固なブルートフォース保護が可能です。
SSLページ単位でのSSL設定を行うことができます。サイト全体のSSL化は非推奨と書かれていますが、Googleがサイト全体のSSL化を推奨しているため、特に理由がない限りサイト全体にSSLを有効にしましょう。
Password Requirements より強力なパスワードを設定するように、パスワードメータで評価してくれます。
システムの微調整ファイルへの書き込み権限の設定や不審なクエリ文字を検知してくれます。
WordPress のソルト(暗号化する際に付与されるデータ)WordPress サイトのセキュリティ強化で使用するシークレットキーを更新します。
WordPressの微調整コメントスパムを削減したりXMLRPCを無効にする設定ができます。
プラグインの使い方

「iThemes Security」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。

BulletProof Security

BulletProof Securityのプラグインページ
プラグインの概要

「BulletProof Security」も基本的なセキュリティ対策を行ってくれるプラグインです。日本語対応していない英語のみの管理画面なっている上に、機能がシンプル故に物足りない感じがします。.htaccessファイルを書き換える機能を使用する際は、キャッシュプラグインを調整する必要があります。少し上級者向けのプラグインかもしれません。

プラグインの機能
機能説明
セキュリティスキャンフォルダやファイルをスキャンしてマルウェア感染などセキュリティに問題がないかチェックします。
画像認証(CAPTCHA認証)ログインページとコメント欄に画像認証を設置することにより、ブルートフォース攻撃等による不正ログインやコメントスパムを防いでくれます。
メンテンスモードの表示設定指定したIPアドレスからのアクセス時にメンテナンスモードを表示させます。不正アクセス対策になります。
.htaccessファイルの設定管理画面上で.htaccessファイルの書き換えができます。
データベースのバックアップ機能スケジュール設定をすることで定期的にバックアップを取ってくれます。手動でのバックアップも行うことができます。
アイドルセッションログアウト一定時間操作がないアカウントを自動的にログアウトさせる機能です。
プラグインの使い方

「BulletProof Security」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。

管理画面のセキュリティ対策プラグイン

主に管理画面への不正ログイン対策をしてくれるプラグインを紹介します。

Limit Login Attempts

Limit Login Attemptsのプラグインページ
プラグインの概要

「Limit Login Attempts」はブルートフォースアタック(総当たり攻撃)などの機械的な攻撃を防ぐことができます。ログイン画面に対するセキュリティ対策を行いたい方にはおすすめです。

プラグインの機能
機能説明
ログインロック何度もログインを失敗した場合にその接続元によるログインを一定期間ロックしてくれます。ブルートフォース攻撃など機械的にユーザー名、パスワードを当てはめて攻撃する手法に対して対策できます。
ログインエラーしたIPアドレスのアクセスログログインエラーをしたIPアドレスを記録します。
ログイン失敗時にメール通知設定した回数ログインを失敗した際に管理者にメールで通知をしてくれます。不正ログインの攻撃をいちはやく察知できます。
アクセスロックした履歴アクセスをロックしたIPアドレスの履歴を確認することができます。
プラグインの使い方

「Limit Login Attempts」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。

Crazy Bone

Crazy Boneのプラグインページ
プラグインの概要

「Crazy Bone」は管理画面へのログイン履歴を記録してくれるプラグインです。不正ログインの攻撃を受けているIPアドレス元をチェックすることができます。ただ、こちらのプラグインはXSSの脆弱性が確認されたことがあります。現在のバージョン(0.6.0以降)では修正されていますが、すでにインストールされている方はバージョンを最新の状態にしていきましょう。

プラグインの機能
機能説明
ログイン履歴の記録失敗したログインだけでなく、成功したログインも記録してくれます。

プラグインの使い方

「Crazy Bone」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。

スパム対策プラグイン

コメント欄やピンバック機能を悪用して悪性な宣伝、勧誘をしてくるスパム攻撃を対策してくれるプラグインを紹介します。

Akismet

Akismetのプラグインページ
プラグインの概要

「Akismet」はコメント欄に寄せられる迷惑コメントやスパムと思われるピンバックを自動的に振り分けてくれます。WordPressをインストールするとプリインストールされているので、知っている方も多いのでは無いでしょうか。WordPressの運営元が提供しているプラグインなので安心です。

プラグインの機能
機能説明
スパムコメントの自動フィルタリングスパムコメント・悪質なピンバックを自動的に判別しフィルタリンングしてくれます。
高度な統計情報(有料プラン)ブロックしたスパムの統計情報を見ることができます。
商用サイトのサポート(有料プラン)商用サイトであればサポートを受けることができます。
プラグインの使い方

「Akismet」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。

Throws SPAM Away

Throws SPAM Awayのプラグインページ
プラグインの概要

「Throws SPAM Away」は日本語の含まれていないコメントやブラックリスト投稿したコメントを受け付けないようにできるプラグインです。管理画面は日本語表記になっているのでわかりやすくなっています。

プラグインの機能
機能説明
海外言語のコメント無効日本語の含まれていないコメントを受付拒否できます。
ブラックリスト登録IPアドレスを指定してブラックリスト登録することができます。
プラグインの使い方

「Throws SPAM Away」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。

ファイアーウォールプラグイン

ファイアウォールを実装できるプラグインを紹介します。ネットワーク関連のセキュリティを強化したい場合はこちらのプラグインがおすすめです。

Wordfence Security

Wordfence Securityのプラグインページ
プラグインの概要

「Wordfence Security」はファイアウォール機能が利用できるほか、脆弱性スキャン機能やIPアドレスを指定してのアクセスブロックなど様々なセキュリティ対策を行うことができます。

プラグインの機能
機能説明
ファイアウォールファイアウォール機能を有効にします。インストールするだけで、攻撃してくるIPアドレス元をブロックします。
リアルタイムトラフィック解析webサイトの訪問者をリアルタイムで解析します。人間の訪問者だけでなく、検索エンジンのクローラーやbotも確認することができます。
IPブロック機能スパムコメントの投稿者など悪質なIPアドレスをブロックすることができます。
脆弱性スキャンフォルダやファイルをスキャンして脆弱性をチェックします。
プラグインの使い方

「Wordfence Security」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。

悪用テーマのチェックをするプラグイン

WordPressの無料配布されているテーマの中には、信頼性があまりないものもあります。以下で紹介するプラグインはテーマ内に悪意のあるコードや外部リンクがないかチェックすることができます。初めてインストールするテーマを使用する場合は、使用して問題が無いか確認しましょう。

Theme Check

Theme Checkのプラグインページ
プラグインの概要

「Theme Check」はWordPressが公式に発表しているテーマレビューのガイドラインを満たしているか確認することができるプラグインです。

WordPress.orgが公式に使用しているテーマテストツールと同じガイドラインチェックを行うことができます。

プラグインの機能
機能説明
テーマレビューのガイドライン準拠チェックWordPress公式が発表しているテーマレビューのガイドラインに準拠しているかチェックします。マルウェアなどの悪質なコードを見つけやすくなります。
プラグインの使い方

「Theme Check」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。

Theme Authenticity Checker

Theme Authenticity Checkerのプラグインページ
プラグインの概要

「Theme Authenticity Checker」もテーマに含まれた悪質なコードをチェックできます。ただ、先述した「Theme Check」よりも簡易的なものなので、特に理由がない場合は「Theme Check」を使用するのが良いと思います。

プラグインの機能
機能説明
テーマファイル内の悪質コードチェックテンプレートテーマファイルに含まれる悪質なコードや外部リンクをチェックすることができます。
プラグインの使い方

「Theme Authenticity Checker」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。

不正アクセス対策に特化したプラグイン

IP Geo Block

IP Geo Blockのプラグインページ
プラグインの概要

「IP Geo Block」は国コードでアクセスを制限できるプラグインです。IPアドレスによる制限よりもさらに効率よくアクセスをブロックすることができます。大量のアクセス被害似合っている方などはこちらのプラグインがおすすめです。

プラグインの機能
機能説明
ブラックリスト・ホワイトリスト設定国コードを設定してホワイトリストもしくはブラックリストを指定することができます。
XML-RPC防御海外からXML-RPC機能を使えなくすることができます。機能自体を無効にするのではないので、普段XML-RPCを利用している方でも使用できます。
コメント機能の無効化国コードを設定してコメントを無効化することができます。
プラグインの使い方

「IP Geo Block」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。

最適なセキュリティプラグインの組み合わせ

数あるセキュリティプラグインの中でどれを選べば良いのかと思うかもしれません。個人的におすすめなセキュリティプラグインの組み合わせは、インストールするだけで基本的なセキュリティ対策を十分にカバーできる「SiteGuard WP plugin」、公式にプリインストールされている安心のスパム対策「Akismet」です。

より大規模なwebサイトで高度なセキュリティ対策を行いたい場合は「Google Authenticator」を使用しても良いかもしれません。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

志賀裕一のアバター 志賀裕一 サーバーチョイス 編集者

Web開発歴6年のフリーランスエンジニア。大学在学中から教育系Webメディアを運営するスタートアップにて、Webディレクターとして従事。独立からこれまでに多くのコーポレートサイトやCRM、予約システムなどのシステム開発、オウンドメディア運営を経験。20以上のレンタルサーバーの使用経験を持つ。

目次