本ページはプロモーションが含まれています
Webの世界は全世界の人々とつながっているが故にセキュリティ面にも注意しなければなりません。
世界中すべてのWebサイトのうち、約30%がWordPressで作成されているともいわれています。一方で、多くのユーザーがいるからこそ、悪意のあるユーザーの標的になりやすいのも事実。
WordPress is used by 60.0% of all the websites whose content management system we know. This is 31.8% of all websites.
出典:https://w3techs.com/technologies/details/cm-wordpress/all/all
こうした中、あまりインターネットに詳しくない方もWordPressを快適に使用できるように、世界中の技術者がセキュリティ対策を行うことができるプラグインを公開してくれています。
今回はそのセキュリティ対策のプラグインをご紹介し、快適にWordPressを使用できるに解説していきます。
- 1 WordPressプラグインで行うセキュリティ項目
- 2 WordPressにおすすめのセキュリティプラグイン14選
- 3 最適なセキュリティプラグインの組み合わせ
WordPressプラグインで行うセキュリティ項目
WordPressのプラグインで行うセキュリティ項目について説明します。そのプラグインがどんなセキュリティ対策をしてくれているのか知ることでより納得感をもって対策できます。
スパムコメント対策
Webサイトのコメント欄に自社の宣伝や悪質な勧誘などを投稿してくるスパムコメントは、数件ならその都度削除して対処できますが、数十件にもなると手に負えなくなります。きちんと対策しておきましょう。
不正ログイン対策
不正ログイン攻撃は、悪意のあるユーザーが想定できるログイン情報を手当たり次第入力し、ログインを試みる攻撃手法です。ブルートフォースアタック(総当たり攻撃)とも呼ばれています。
ファイアウォール
ファイアウォールとは外部ネットワークからの攻撃や不正アクセスから自分たちのネットワークを守ってくれるソフトウェアのことをいいます。これはレンタルサーバーでも対策をしてくれている場合も多く、プラグインで対策をする必要がないこともあります。
悪用テーマチェック
WordPressはプラグインやテーマは世界中の人が制作し、公開されています。大変ありがたいことなのですが、一部のユーザーが仕込んだ悪意のあるコードによって、マルウェア感染やデータの改ざんの被害にあった例もあります。
WordPressにおすすめのセキュリティプラグイン14選
上記のサイバー攻撃の対策ができるWordPressプラグインをご紹介します。
汎用セキュリティプラグイン
まずは、色々な攻撃から守ってくれる汎用的なプラグインをご紹介します。とりあえず基本的なセキュリティ対策を行うことができるので、どれが1つを入れておくと安心でしょう。
SiteGuard WP plugin ー初心者でも手軽に設定できるー
プラグインの概要
「SiteGuard WP Plugin」は数あるセキュリティプラグインの中でも人気のプラグインです。一番の特徴はその手軽さ。インストールするだけで、基本的なセキュリティ対策ができてしまうので初心者の方にも扱いやすいプラグインです。国産のプラグインなので、日本語で操作、設定が可能です。
プラグインの機能
| 機能 | 説明 |
|---|---|
| ログインページの変更 | WordPressはログインURLが決まっています。(wp-login.php)これでは、攻撃の対象になりやすいため、URLにランダムな数字を加えログインページを変更してくれます。 |
| 管理画面へのアクセス制限 | ログインしていない接続元IPアドレスから管理画面へのアクセスがあった場合、404エラーで弾く機能です。管理画面への不正アクセスを防いでくれます。 |
| 画像認証(CAPTCHA認証) | ログインページとコメント欄に画像認証を設置することにより、ブルートフォース攻撃等による不正ログインやコメントスパムを防いでくれます。 |
| ログインロック | 何度もログインを失敗した場合にその接続元によるログインを一定期間ロックしてくれます。ブルートフォース攻撃など機械的にユーザー名、パスワードを当てはめて攻撃する手法に対して対策できます。 |
| ログイン失敗時のエラーメッセージの無効化 | WordPressのデフォルトのログイン機能では、パスワードが間違っていても、ユーザー名があっていた場合、エラーメッセージにその旨が表示されてしまいます。ユーザー名、パスワード、画像認証どれを間違えても同一のエラーメッセージを表示して対策します。 |
| ログインアラート | 管理画面にログインがあった場合、ログインユーザーにメールで通知をしてくれます。身に覚えのないログインがあった場合気付きやすくなるので、不正ログイン対策になります。 |
| フェールワンス | フェールワンスは正しいログイン情報を入力しても必ず1回ログインを失敗させる機能です。パスワードリスト攻撃などの機械的な攻撃を受けにくくしてくれます。 |
| XMLRPC防御 | WordPressの標準機能であるXMLRPC機能とピンバック機能を無効にして悪用攻撃を防ぎます。これらの機能を活用して、WordPressを運用している場合は無効化しないでください。 |
| 更新通知 | WordPressは脆弱性を改善するために、テーマやプラグイン、WordPress本体が定期的にバージョンアップされます。バージョンアップがされた際にWebサイト運営者に更新通知することで常に最新のバージョンするように促してくれます。 |
| WAFチューニングサポート | Webサーバーに導入されたWAFによって誤検出が起こるのを回避する機能です。ウィジェットやメニューなどのWordPressの機能やプラグインによるアクセスをWAF誤ってブロックする場合があります。WAFチューニングサポートを使ってWAFの機能をコントロールできます。 |
プラグインの使い方
「SiteGuard WP plugin」の使い方は下記の公式サイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。
WordPressでは外部システムから記事投稿や画像のアップロードを行うことができます。その際に利用されるプロトコルのことをXMLRPCといいます。XML形式のデータをHTTPで送受信するメソッドの1つです。
All in One Security & FireFall ー網羅的にセキュリティ対策が可能ー
プラグインの概要
様々なサキュリティ対策を網羅的に行うことができるプラグインです。ファイアウォールを導入やスパムコメント対策、ファイルの変更があった場合に通知をしてくれるファイルスキャン機能もあります。管理画面は日本語ではなく英語なので、取っ付きにくいかもしもしれませんが、有名なプラグインなので、色々な方は解説記事を公開してくれています。
プラグインの機能
| WordPress設定ファイルのバックアップ | .htaccessやwp-config.phpなど重要なファイルをバックアップしてくれます。 |
| データベースのバックアップ | 手動アップのほか、バックアップを取る間隔を設定して自動バックアップを行うこともできます。 |
| データベースの接頭辞(Prefix)の変更 | WordPressのデフォルトの状態では、悪意のあるユーザーにデータベースの場所を特定される危険性があります。データベースの接頭辞(Prefix)を設定し、場所の特定を防ぎます。 |
| ログインロック | 何度もログインを失敗した場合にその接続元によるログインを一定期間ロックしてくれます。ブルートフォース攻撃など機械的にユーザー名、パスワードを当てはめて攻撃する手法に対して対策できます。 |
| WordPressバージョンの非表示 | WordPressのバージョンが古い場合、攻撃の対象とされやすくなります。公開する必要のない情報は非表示にしておいた方が良いでしょう。管理画面の設定項目でチェックをいれるだけで、WordPressのバージョンを非表示にしてくれます。 |
| ユーザー名とパスワードの強度チェック | ログインユーザー名とパスワードの強度をチェックし、脆弱性がある場合はエラーメッセージを表示して知らせてくれます。WordPressではユーザー名が「admin」とされている場合が多く、攻撃と対象となっています。 |
| ディレクトリやファイルのパーミッション(権限)監視 | ディレクトリやファイルのパーミッション(権限)に異常がないか監視できます。管理画面内でおすすめのパーミッション(権限)に変更してくれる機能もついています。 |
| ブラックリスト設定 | IPアドレスやユーザーエージェントを指定してアクセスを拒否することができます。 |
| ファイアウォール | ファイアウォール機能を有効にします。.htaccessファイルの保護やサーバー署名の無効化など簡易的なファイアウォール設定が可能です。 |
| XMLRPC防御 | WordPressの標準機能であるXMLRPC機能とピンバック機能を無効にして悪用攻撃を防ぎます。これらの機能を活用して、WordPressを運用している場合は無効化しないでください。 |
| ログインページの変更 | WordPressはログインURLが決まっています。(wp-login.php)これでは、攻撃の対象になりやすいため、URLにランダムな数字を加えログインページを変更してくれます。 |
| スパムコメントブロック | botによるスパムコメントを検出しブロックしてくれます。 |
| ファイル・データベーススキャン | ファイルやデータベースに変更があった場合にメールで通知をしてくれます。不正アクセスによるデータの改ざんやマルウェア感染の対策になります。 |
| 右クリック・テキスト選択・コピー禁止 | Webサイト上での右クリックやテキスト選択、コピーを無効化してくれます。 |
プラグインの使い方
「All in One Security & FireFall」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。
All In One WP Security & Firewallプラグインは、ワードプレスで必要なセキュリティ対策を包…
iThemes Security
プラグインの概要
「iThemes Security」の特徴は操作性の高い直感的な設定画面です。包括的なWordPressのセキュリティ項目があるのですが、パネル状のユーザーインターフェースがとても見やすく扱いやすくなっています。海外製品ですが日本語に翻訳されている部分もあるので、英語が苦手な方でも安心です。
プラグインの機能
| セキュリティチェック | プラグインで推奨されている機能や設定になっているか確認できます。 |
| グローバル設定 | プラグインによるwp-config.php等へのアクセスを許可するかや通知メールの設定を行うことができます。 |
| Notification Center | サーバー状にあるファイルに変更があった際にメールの通知が届きます。 |
| 404の検出 | 404エラーが大量に検知された際に管理画面をロックしスヌーピング(情報の傍受)、不正アクセスを防いでくれます。 |
| 退出中モード | スケジュールによって退出時間を設定し、退出中は管理画面へのアクセスを無効にします。 |
| 禁止ユーザー | IPアドレスやユーザーエージェントを指定してアクセスを拒否することができます。 |
| データベースのバックアップ | 手動アップのほか、バックアップを取る間隔を設定して自動バックアップを行うこともできます。 |
| ローカルのブルートフォース保護 | ロックアウト機能を有効にし、設定した回数ログインに失敗すると一定期間ログインできなくなります。設定により恒久的にログインを禁止にすることもできるので、より強固なブルートフォース保護が可能です。 |
| SSL | ページ単位でのSSL設定を行うことができます。サイト全体のSSL化は非推奨と書かれていますが、Googleがサイト全体のSSL化を推奨しているため、特に理由がない限りサイト全体にSSLを有効にしましょう。 |
| Password Requirements | より強力なパスワードを設定するように、パスワードメータで評価してくれます。 |
| システムの微調整 | ファイルへの書き込み権限の設定や不審なクエリ文字を検知してくれます。 |
| WordPress のソルト(暗号化する際に付与されるデータ) | WordPress サイトのセキュリティ強化で使用するシークレットキーを更新します。 |
| WordPressの微調整 | コメントスパムを削減したりXMLRPCを無効にする設定ができます。 |
プラグインの使い方
「iThemes Security」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。
All In One WP Security & Firewallプラグインは、ワードプレスで必要なセキュリティ対策を包…
BulletProof Security
プラグインの概要
「BulletProof Security」も基本的なセキュリティ対策を行ってくれるプラグインです。日本語対応していない英語のみの管理画面なっている上に、機能がシンプル故に物足りない感じがします。.htaccessファイルを書き換える機能を使用する際は、キャッシュプラグインを調整する必要があります。少し上級者向けのプラグインかもしれません。
プラグインの機能
| セキュリティスキャン | フォルダやファイルをスキャンしてマルウェア感染などセキュリティに問題がないかチェックします。 |
| 画像認証(CAPTCHA認証) | ログインページとコメント欄に画像認証を設置することにより、ブルートフォース攻撃等による不正ログインやコメントスパムを防いでくれます。 |
| メンテンスモードの表示設定 | 指定したIPアドレスからのアクセス時にメンテナンスモードを表示させます。不正アクセス対策になります。 |
| .htaccessファイルの設定 | 管理画面上で.htaccessファイルの書き換えができます。 |
| データベースのバックアップ機能 | スケジュール設定をすることで定期的にバックアップを取ってくれます。手動でのバックアップも行うことができます。 |
| アイドルセッションログアウト | 一定時間操作がないアカウントを自動的にログアウトさせる機能です。 |
プラグインの使い方
「BulletProof Security」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。
管理画面のセキュリティ対策プラグイン
主に管理画面への不正ログイン対策をしてくれるプラグインを紹介します。
Limit Login Attempts
プラグインの概要
「Limit Login Attempts」はブルートフォースアタック(総当たり攻撃)などの機械的な攻撃を防ぐことができます。ログイン画面に対するセキュリティ対策を行いたい方にはおすすめです。
プラグインの機能
| ログインロック | 何度もログインを失敗した場合にその接続元によるログインを一定期間ロックしてくれます。ブルートフォース攻撃など機械的にユーザー名、パスワードを当てはめて攻撃する手法に対して対策できます。 |
| ログインエラーしたIPアドレスのアクセスログ | ログインエラーをしたIPアドレスを記録します。 |
| ログイン失敗時にメール通知 | 設定した回数ログインを失敗した際に管理者にメールで通知をしてくれます。不正ログインの攻撃をいちはやく察知できます。 |
| アクセスロックした履歴 | アクセスをロックしたIPアドレスの履歴を確認することができます。 |
プラグインの使い方
「Limit Login Attempts」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。
Crazy Bone
プラグインの概要
「Crazy Bone」は管理画面へのログイン履歴を記録してくれるプラグインです。不正ログインの攻撃を受けているIPアドレス元をチェックすることができます。ただ、こちらのプラグインはXSSの脆弱性が確認されたことがあります。現在のバージョン(0.6.0以降)では修正されていますが、すでにインストールされている方はバージョンを最新の状態にしていきましょう。
プラグインの機能
| ログイン履歴の記録 | 失敗したログインだけでなく、成功したログインも記録してくれます。 |
プラグインの使い方
「Crazy Bone」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。
WordPressのセキュリティを強化できるプラグイン【Crazy Bone】の使い方について初心者向けに解説した記事で…
スパム対策プラグイン
コメント欄やピンバック機能を悪用して悪性な宣伝、勧誘をしてくるスパム攻撃を対策してくれるプラグインを紹介します。
Akismet
プラグインの概要
「Akismet」はコメント欄に寄せられる迷惑コメントやスパムと思われるピンバックを自動的に振り分けてくれます。WordPressをインストールするとプリインストールされているので、知っている方も多いのでは無いでしょうか。WordPressの運営元が提供しているプラグインなので安心です。
プラグインの機能
| スパムコメントの自動フィルタリング | スパムコメント・悪質なピンバックを自動的に判別しフィルタリンングしてくれます。 |
| 高度な統計情報(有料プラン) | ブロックしたスパムの統計情報を見ることができます。 |
| 商用サイトのサポート(有料プラン) | 商用サイトであればサポートを受けることができます。 |
プラグインの使い方
「Akismet」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。
Throws SPAM Away
プラグインの概要
「Throws SPAM Away」は日本語の含まれていないコメントやブラックリスト投稿したコメントを受け付けないようにできるプラグインです。管理画面は日本語表記になっているのでわかりやすくなっています。
プラグインの機能
| 海外言語のコメント無効 | 日本語の含まれていないコメントを受付拒否できます。 |
| ブラックリスト登録 | IPアドレスを指定してブラックリスト登録することができます。 |
プラグインの使い方
「Akismet」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。
WordPressのスパムコメント対策として、デフォルトではプラグインAkismetの有効化(アクティベート)が推奨され…
ファイアーウォールプラグイン
ファイアウォールを実装できるプラグインを紹介します。ネットワーク関連のセキュリティを強化したい場合はこちらのプラグインがおすすめです。
Wordfence Security
プラグインの概要
「Wordfence Security」はファイアウォール機能が利用できるほか、脆弱性スキャン機能やIPアドレスを指定してのアクセスブロックなど様々なセキュリティ対策を行うことができます。
プラグインの機能
| ファイアウォール | ファイアウォール機能を有効にします。インストールするだけで、攻撃してくるIPアドレス元をブロックします。 |
| リアルタイムトラフィック解析 | webサイトの訪問者をリアルタイムで解析します。人間の訪問者だけでなく、検索エンジンのクローラーやbotも確認することができます。 |
| IPブロック機能 | スパムコメントの投稿者など悪質なIPアドレスをブロックすることができます。 |
| 脆弱性スキャン | フォルダやファイルをスキャンして脆弱性をチェックします。 |
プラグインの使い方
「Wordfence Security」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。
Wordpressは現在、世界中の多くのサイトで利用されています。 Wordpressは、2017年の2月時点……
悪用テーマのチェックをするプラグイン
WordPressの無料配布されているテーマの中には、信頼性があまりないものもあります。以下で紹介するプラグインはテーマ内に悪意のあるコードや外部リンクがないかチェックすることができます。初めてインストールするテーマを使用する場合は、使用して問題が無いか確認しましょう。
Theme Check
プラグインの概要
「Theme Check」はWordPressが公式に発表しているテーマレビューのガイドラインを満たしているか確認することができるプラグインです。
WordPress.orgが公式に使用しているテーマテストツールと同じガイドラインチェックを行うことができます。
プラグインの機能
| テーマレビューのガイドライン準拠チェック | WordPress公式が発表しているテーマレビューのガイドラインに準拠しているかチェックします。マルウェアなどの悪質なコードを見つけやすくなります。 |
プラグインの使い方
「Theme Check」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。
スポンサーリンク WordPressでテーマが適切に作成されているかをチェックするプラグイン「Theme-Check」を…
Theme Authenticity Checker
プラグインの概要
「Theme Authenticity Checker」もテーマに含まれた悪質なコードをチェックできます。ただ、先述した「Theme Check」よりも簡易的なものなので、特に理由がない場合は「Theme Check」を使用するのが良いと思います。
プラグインの機能
| テーマファイル内の悪質コードチェック | テンプレートテーマファイルに含まれる悪質なコードや外部リンクをチェックすることができます。 |
プラグインの使い方
「Theme Authenticity Checker」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。
不正アクセス対策に特化したプラグイン
IP Geo Block
プラグインの概要
「IP Geo Block」は国コードでアクセスを制限できるプラグインです。IPアドレスによる制限よりもさらに効率よくアクセスをブロックすることができます。大量のアクセス被害似合っている方などはこちらのプラグインがおすすめです。
プラグインの機能
| ブラックリスト・ホワイトリスト設定 | 国コードを設定してホワイトリストもしくはブラックリストを指定することができます。 |
| XML-RPC防御 | 海外からXML-RPC機能を使えなくすることができます。機能自体を無効にするのではないので、普段XML-RPCを利用している方でも使用できます。 |
| コメント機能の無効化 | 国コードを設定してコメントを無効化することができます。 |
プラグインの使い方
「IP Geo Block」の使い方は下記のサイトがわかりやすいです。プラグインを導入する際に参考にしてみてください。
前回の記事でWordPressに対する改ざん攻撃への対処を行いましたが、その後さらにプラグイン「IP Geo Block…
最適なセキュリティプラグインの組み合わせ
数あるセキュリティプラグインの中でどれを選べば良いのかと思うかもしれません。個人的におすすめなセキュリティプラグインの組み合わせは、インストールするだけで基本的なセキュリティ対策を十分にカバーできる「SiteGuard WP plugin」、公式にプリインストールされている安心のスパム対策「Akismet」です。
より大規模なwebサイトで高度なセキュリティ対策を行いたい場合は「Google Authenticator」を使用しても良いかもしれません。
