WordPressのセキュリティ対策におすすめの強化プラグイン15選

世界一使われているCMSであるため、多くの悪質なユーザーに狙われているWordPress。そのため、サイトにセキュリティ対策のプラグインを実行しないと、不正アクセスや大量のスパムコメントなどの被害を受けざるをえないです。

その危険性を回避するには、WordPressのセキュリティを強化するプラグインが必要です。今回はWordPressにおいて不可欠な、セキュリティ対策のプラグインを15個まとめました。

セキュリティ対策の種類は、「ファイアーウォール」「管理画面セキュリティ対策」「スパムコメント対策」「データバックアップ」という4つのカテゴリーに分けられます。

 

ファイアウォール対策に役立つプラグイン

ファイアウォールとは、ネットワークの結節点となる場所に設けて、通過させてはいけない通信を阻止するシステムです。サイトのセキュリティ対策のもっとも根本的なセキュリティ対策です。

1. 『SiteGuard WP Plugin(サイトガード・WPプラグイン)』(日本語対応)

1. Siteguard

『SiteGuard WP Plugin(サイトガード・WPプラグイン)』は、WordPressのサイトの基本的なセキュリティ対策を実行できるプラグインです。管理ページへのアクセス制限やログインページ変更、スパムコメント削除、画面認証などの機能がプラグインに含まれています。

初心者にとっては使いやすいですが、高度な設定を実施できないため、他社プラグインと併用しましょう。

SiteGuard WP Plugin

2.『All In One WP Security & Firewall(オール・イン・ワン・セキュリティ&ファイアーウォール)』(英語対応)

2. All In One WP Security & Firewall

『All In One WP Security & Firewall(オール・イン・ワン・セキュリティ&ファイアーウォール)』では、各種設定ファイルのバックアップやログインユーザー名の変更、ログインユーザー名の変更、WordPressの各種ディレクトリやファイルに対するパーミッションの設定、PHPファイルの編集を無効化などを実施できます。

さらに、ユーザーのIPアドレスやユーザー名などの情報を登録できるブラックリストにより、スパム対策にも通用します。

All In One WP Security & Firewall

3.『iThemes Security(アイテームズ・セキュリティ)』(日本語対応)

3. iThemes Security

セキュリティ対策とデータベースバックアップの両方ができる『iThemes Security(アイテームズ・セキュリティ)』。設定できる項目が多いです。セキュリティ対策に活かせる主機能は、404の検出とIPアドレスによる禁止ユーザーリストとネットワーク・ブルートフォース保護です。

また、データバックアップは、サーバーに置くのか、メールに送信することの両方できます。

iThemes Security

4.『Wordfence Security(ワードフェンス・セキュリティ)』(英語対応)

4. Wordfence

『Wordfence Security(ワードフェンス・セキュリティ)』とは、脆弱性スキャンやファイヤーウォール、リアルタイムトラフィック、IPブロックなどの機能を含んでいるセキュリティプラグインです。他のプラグインと比べて、設定が簡単にできます。

アプリケーションの管理画面に記載される「Start a Wordfence Scan」をクリックすると、スキャンが実行されて、複数の項目で問題点および対策を述べます。

Wordfence Security

5.『BulletProof Security(ブレットプルーフ・セキュリティ)』(英語対応)

5. BulletProof

不正ログインへの予防対策とブルートフォース対策を実施できるセキュリティアプリケーション・『BulletProof Security(ブレットプルーフ・セキュリティ)』。手軽な設計となり、セキュリティログとwp-login.php周りの設定を強化できます。

初心者を対象にしているセキュリティアプリケーションですが、『BulletProof Security』では全体的な対策ができないため、他のアプリケーションと併用すべきです。

BulletProof Security

 

管理画面のセキュリティ対策に役立つプラグイン

管理画面にまつわるセキュリティプラグインを導入すると、ログイン画面や管理画面のセキュリティを強化し、不正ログインの確率を下げられます。

6.『Google Authenticator(グーグル・オーセンティケーター)』(英語対応)

6. Google

『Google Authenticator(グーグル・オーセンティケーター)』は、GoogleによるWordPress用の2段階認証システムのこと。そのためログインの際に、ユーザー名とパスワードだけではなく、スマートフォンアプリからコードを確認しなければいけません。iPhoneなら「Google Authenticator」で、Androidなら「Google 認証システム」を使います。

Google Authenticator

7.『Stealth Login Page(ステルス・ログインページ)』(英語対応)

7. Stealth

ログイン画面にもうひとつのパスワードを追加できるセキュリティ対策のプラグイン・『Stealth Login Page(ステルス・ログインページ)』。別のデバイスにコードを送信して認証するタイプではなく、2個目のパスワードを記入するアプリケーションです。

Stealth Login Page

8.『Crazy Bone(クレージー・ボーン)』(英語対応)

8. New

『Crazy Bone(クレージー・ボーン)』は、管理画面のログイン履歴を記録し、ユーザーの情報を閲覧できるプラグインです。日時やIPアドレスなどの情報を残してくれるため、悪質なユーザーを見つけやすいです。また、自分のWordPressに自分以外の人がアクセスの頻度を可視化できます。

Crazy Bone

9.『Limit Login Attempts(リミット・ログイン・アッテムプツ)』(英語対応)

9. Limit Attempts

『Limit Login Attempts(リミット・ログイン・アッテムプツ)』とは、ユーザーのログイン試行回数を制限するプラグインです。制限したログイン試行回数を越えると、ログイン画面が一時的にロックされます。その結果、パスワード総当り攻撃によるシステムへの不正アクセスを防げます。

Limit Login Attempts

 

スパムコメント対策に役立つプラグイン

スパムコメントとは、サイトのコメント欄に企業や個人などの利益のために文章を書き込む投稿の一種です。詐欺のコメントが多く、よくボットによって配信されます。こういうコメントを回避するには、スパムコメント対策用のプラグインを使いましょう。

10. 『Akismet(アキスメト)』(英語対応)

10. New

海外でも日本でも評価されているスパムコメントを自動的に振り分けてくれるプラグイン『Akismet(アキスメト)』。

Google Analyticsが発行するAPIキーを取得しないと、サービスを使えませんが、APIキーを取得する次第に全機能が使えます。初期設定でほとんどのスパムコメントを取得してくれます。

Askimit

11.『Throws SPAM Away』(日本語対応)

11. Throw Spam Away

『Throws SPAM Away(スローズ・スパム・アウェイ)』は日本語のスパムコメントをフィリターリングしてくれるプラグインです。また、日本語に限らず、どんな言語でもNGワードを設定できます。コメント欄にリンクを記入することが禁止され、IPアドレスによる判断もできます。

Throws SPAM Away

12. 『WP-SpamShield Anti-Spam(WP・スパムシェイルド・アンチ・スパム)』(英語対応)

12. Spamshield

『WP-SpamShield Anti-Spam(WP・スパムシェイルド・アンチ・スパム)』は、自動的にコメントスパムをブロックしてくれるプラグインです。『Akismet(アキスメト)』 より正確にスパムコメントを振り分けてくれて、ボットだけではなく、人間によるスパムコメントのフィリターリングもできます。

WP SpanShield Anti-Spam

 

データバックアップに役立つプラグイン

サイトがクラッシュされることや不正改ざんなどによって、サイトがなくなるケースもあります。データを復元するためのサービスはいくつかありますが、データをバックアップできるプラグインをご紹介します。

13.『UpdraftPlus(アップデートプラス)』(英語対応)

13. Updraft

 

SQLファイルからはじめ、サーバー上のファイルを圧縮して保存してくれるプラグイン『UpdraftPlus(アップデートプラス)』。メールやGoogle Driveなど、データを置く場所も幅広く対応してくれます。最短で4時間ごとのバックアップ間隔を設定でき、データベースも暗号化できます。

UpdraftPlus

14.『BackWPup(バックWパップ)』(日本語対応)

14. BackWPup

FTPサーバーにアップロードされているWordPressのファイルをバックアップできる『BackWPup(バックWパップ)』。サイトのバックアップは「Job」と呼ばれ、サイトにおけるバックアップしたい要素を分けて保存できます。『Dropbox』(ドロップボックス)やGoogle Driveなどにバックアップのデータを置けます。

BackWPup

15.『All-in-One WP Migration(オール・イン・ワンWPマイグレーション)』(日本語対応)

15. All-in-One WP Migration

WordPressのサーバー移設を簡単にできるプラグイン『All-in-One WP Migration(オール・イン・ワンWPマイグレーション)』。ボタン一発でサイトが格納され、専門知識のない人にとっても使いやすいです。移設元からデータを書き出し、移設先にアップロードするという簡単なプロセスのみです。

さらに、『All-in-One WP Migration(オール・イン・ワンWPマイグレーション)』のバックアップでは、スパムコメントのような必要ない情報を保存しないオプションもあります。

All-in-One WP Migration

 

まとめ

いかがでしょうか?

しっかりしたセキュリティ対策を実施するには、ファイアーウォールなど基本的なセキュリティ対策のプラグインだけではなく、段階ごとのプラグインが必要です。今後、WordPressでサイトを作るなら、セキュリティ対策プラグインを使ってみてください。

(執筆:Jordan Colston)

SHARE

RELATED

  • お問い合わせ
  • お問い合わせ
  • お問い合わせ