WordPressのセキュリティを強化するプラグイン15選&基礎知識

secure

WordPressは、オープンソースのCMSとして世界中で幅広く利用されています。一方で、オープンソースであるがゆえに、サーバーに不正侵入されてデータを改ざんされたり、個人情報の不正流入が起きてしまっているのも事実です。

WordPressのセキュリティに対して少しでも知識を持っていたり、セキュリティ対策に有効なプラグインを入れていたりすれば、大半のリスクは回避できます。

そこで今回は、Wordpressセキュリティについての基礎知識と、4つのセキュリティ被害をご説明します。そして、それぞれの被害を回避するためのプラグインを15個まとめました。

現在Wordpressを使ってサービスを運用している方も、これから使う予定のある方も、ぜひ参考にしてみてください。

WordPressはなぜ狙われるのか?

世界中のハッカーからWordpressが狙われるのは、Wordpressが世界一使用されているCMSだからです。2017年の時点で世界中に公開されているWebサイトのうち、Wordpressで制作されたサイトは全体の約30%。CMSとしては、実に約60%のWebサイトでWordpressが利用されているのです。

管理画面がインターネット上に存在しているので、Webサイトのコアな部分がいつ攻撃されてもおかしくない状況にあります。セキュリティ対策をしなければ、いつハッキングされるかわからない危険にWebサイトを晒し続けることになります。

これらの危険を放っておいて被害を受けてしまうと……

管理画面への不正アクセスや大量のスパムコメントなどの被害を受けます。それだけならまだしも、大量のユーザー情報が漏洩してしまった日には、サービスの信頼はガタ落ちです。

サービスの復旧や信用回復には、途方もない労力と時間を必要とします。

取り組むべきセキュリティ対策

では、あらゆる危険に対してどのような対策をとればいいのでしょうか。
代表的な4つの対策をご紹介します。

  1. ファイアウォール強化
    ファイアウォールとは、ネットワークの結節点となる場所に設けて、通過させてはいけない通信を阻止するシステムです。サイトのセキュリティ対策のもっとも根本的なセキュリティ対策です。ファイアウォールを強化することで、悪意あるユーザーがネットワークに侵入するのを防ぎます。
  2. 管理画面の強化
    管理画面にまつわるセキュリティプラグインを導入すると、ログイン画面や管理画面のセキュリティを強化し、不正ログインの確率を下げられます。
  3. スパムコメント対策
    スパムコメントとは、サイトのコメント欄に企業や個人の利益のために書き込む悪質な投稿です。詐欺コメントが多く、こういったコメントを受け続けると、サービスの信頼が下がってしまいます。回避するには、スパムコメント対策用のプラグインを使用することをおすすめします。
  4. データバックアップ
    サイトがクラッシュされることや不正改ざんなどによって、サイトがなくなるケースもあります。データを復元するためのサービスはいくつかありますが、データをバックアップできるプラグインがおすすめです。

入れておきたいプラグイン15選

具体的に、どのようなプラグインでセキュリティを強化すればいいのかご紹介します。

ファイアウォール対策に役立つプラグイン

1. 『SiteGuard WP Plugin(サイトガード・WPプラグイン)』(日本語対応)

1. Siteguard

『SiteGuard WP Plugin(サイトガード・WPプラグイン)』は、WordPressサイトの基本的なセキュリティ対策を実行できるプラグインです。

管理ページへのアクセス制限やログインページ変更、スパムコメント削除、画面認証などの機能がプラグインに含まれています。

初心者にとっては使いやすいですが、高度な設定を実施できないため、他社プラグインと併用しましょう。

SiteGuard WP Plugin

2.『All In One WP Security & Firewall(オールインワン・セキュリティ&ファイアーウォール)』(英語対応)

2. All In One WP Security & Firewall

『All In One WP Security & Firewall(オールインワン・セキュリティ&ファイアーウォール)』では、各種設定ファイルのバックアップやログインユーザー名の変更、ログインユーザー名の変更、WordPressの各種ディレクトリやファイルに対するパーミッションの設定、PHPファイルの編集を無効化などを実施できます。

さらに、ユーザーのIPアドレスやユーザー名などの情報を登録できるブラックリストにより、スパム対策にも効果的です。

All In One WP Security & Firewall

3.『iThemes Security(アイテームズ・セキュリティ)』(日本語対応)

3. iThemes Security

『iThemes Security(アイテームズ・セキュリティ)』は、セキュリティ対策とデータベースバックアップができるプラグインです。

セキュリティ対策に活かせる機能は、404の検出とIPアドレスによる禁止ユーザーリストとネットワーク保護です。

また、データバックアップは、データをサーバーに置くのか、メールで送信するかの両方から選べます。

iThemes Security

4.『Wordfence Security(ワードフェンス・セキュリティ)』(英語対応)

4. Wordfence

『Wordfence Security(ワードフェンス・セキュリティ)』は、脆弱性スキャンやファイヤーウォール、リアルタイムトラフィック、IPブロックなどの機能を含むセキュリティプラグインです。

他のプラグインと比べて、設定が簡単にできるのが特徴です。

アプリケーションの管理画面に表示される「Start a Wordfence Scan」をクリックするとスキャンが実行され、複数の項目で問題点と対策が表示されます。

Wordfence Security

5.『BulletProof Security(ブレットプルーフ・セキュリティ)』(英語対応)

5. BulletProof

『BulletProof Security(ブレットプルーフ・セキュリティ)』は、不正ログインへの予防対策とブルートフォース対策を実施できるセキュリティアプリケーションです。

簡単な操作で、セキュリティログとwp-login.php周りの設定を強化できます。

初心者を対象にしているアプリケーションですが、『BulletProof Security』では全体的な対策ができないため、他のアプリケーションとの併用をおすすめします。

BulletProof Security

管理画面のセキュリティ対策に役立つプラグイン

6.『Google Authenticator(グーグル・オーセンティケーター)』(英語対応)

6. Google

『Google Authenticator(グーグル・オーセンティケーター)』は、GoogleによるWordPress用の2段階認証システムです。

ログインの際はユーザー名とパスワードだけでなく、スマートフォンアプリからコードを確認しなければいけません。iPhoneなら「Google Authenticator」を、Androidなら「Google 認証システム」を使います。

Google Authenticator

7.『Stealth Login Page(ステルス・ログインページ)』(英語対応)

7. Stealth

『Stealth Login Page(ステルス・ログインページ)』は、ログイン画面にもうひとつのパスワードを追加できるセキュリティ対策のプラグインです。

別のデバイスにコードを送信して認証するタイプではなく、2個目のパスワードを記入するアプリケーションです。

Stealth Login Page

8.『Crazy Bone(クレージー・ボーン)』(英語対応)

8. New

『Crazy Bone(クレージー・ボーン)』は、管理画面のログイン履歴を記録し、ユーザーの情報を閲覧できるプラグインです。

日時やIPアドレスなどの情報を残してくれるため、悪質なユーザーを見つけやすくなっています。また、WordPressに自分以外のユーザーがアクセスする頻度を確認できます。

Crazy Bone

9.『Limit Login Attempts(リミット・ログイン・アテンプト)』(英語対応)

9. Limit Attempts

『Limit Login Attempts(リミット・ログイン・アテンプト)』は、ユーザーのログイン試行回数を制限するプラグインです。

制限したログイン試行回数を越えると、ログイン画面が一時的にロックされます。その結果、パスワード総当り攻撃によるシステムへの不正アクセスを防げます。

Limit Login Attempts

スパムコメント対策に役立つプラグイン

10. 『Akismet(アキスメット)』(英語対応)

10. New

『Akismet(アキスメット)』は、海外でも日本でも評価されているスパムコメントを自動的に振り分けてくれるプラグインです。

Google Analyticsが発行するAPIキーを取得すると全機能が使えます。初期設定でほとんどのスパムコメントを取得してくれます。

Askimit

11.『Throws SPAM Away』(日本語対応)

11. Throw Spam Away

『Throws SPAM Away(スローズ・スパム・アウェイ)』は日本語のスパムコメントをフィリターリングしてくれるプラグインです。

また、日本語に限らず、どんな言語でもNGワードを設定できます。コメント欄にリンクを記入することが禁止され、IPアドレスによる判断もできます。

Throws SPAM Away

12. 『WP-SpamShield Anti-Spam(WP・スパムシェイルド・アンチ・スパム)』(英語対応)

12. Spamshield

『WP-SpamShield Anti-Spam(WP・スパムシェイルド・アンチ・スパム)』は、自動的にコメントスパムをブロックしてくれるプラグインです。

『Akismet(アキスメット)』 より正確にスパムコメントを振り分けてくれて、AIだけではなく、人間によるスパムコメントのフィリタリングもできます。

WP SpanShield Anti-Spam

データバックアップに役立つプラグイン

13.『UpdraftPlus(アップデートプラス)』(英語対応)

13. Updraft

『UpdraftPlus(アップデートプラス)』は、SQLファイルからはじめ、サーバー上のファイルを圧縮して保存してくれるプラグインです。

メールやGoogle Driveなど、データを置く場所も幅広く対応してくれます。最短で4時間ごとのバックアップ間隔を設定でき、データベースも暗号化できます。

UpdraftPlus

14.『BackWPup(バックWパップ)』(日本語対応)

14. BackWPup

『BackWPup(バックWパップ)』は、FTPサーバーにアップロードされているWordPressのファイルをバックアップできるプラグインです。

サイトのバックアップは「Job」と呼ばれ、サイトにおけるバックアップしたい要素を分けて保存できます。『Dropbox』(ドロップボックス)やGoogle Driveなどにバックアップのデータを保存できます。

BackWPup

15.『All-in-One WP Migration(オール・イン・ワンWPマイグレーション)』(日本語対応)

15. All-in-One WP Migration

『All-in-One WP Migration(オール・イン・ワンWPマイグレーション)』は、WordPressのサーバーを簡単に移設できるプラグインです。データを書き出し、移設先にアップロードするという簡単なプロセスのみです。ボタンひとつでサイトが格納され、専門知識のない人でも使いやすいよう設計されています。

さらに、『All-in-One WP Migration(オール・イン・ワンWPマイグレーション)』のバックアップでは、スパムコメントのような、いらない情報を保存しないオプションもあります。

All-in-One WP Migration

まとめ

いかがでしたか?

しっかりしたセキュリティ対策を実施するには、ファイアーウォールなど基本的なセキュリティ対策のプラグインが必要です。

WordPressでサイトを作るときは、セキュリティ対策のプラグインをぜひお試しください。

(執筆:Jordan Colston 編集:Emily)

SHARE

  • 広告主募集
  • ライター・編集者募集
  • WorkshipSPACE
週2日20万円以上のお仕事多数
Workship