ワードプレス関連の役立つ情報をまとめています。WordPressプラグイン、WordPressテーマ(テンプレート)の情報を分かりやすく紹介します。

WordPressのセキュリティ対策プラグイン15選

このエントリーをはてなブックマークに追加
セキュリティ

記事公開 2013.06.30

最終更新 2015.12.03

WordPressのセキュリティ対策のプラグインを紹介します。WordPressをセキュリティ対策を何もせずに利用していると、様々な危険に晒されたままの状態になり、非常に危険です。

例えば、「海外の何者かにWordPressを乗っ取られる」「Webページの改ざん」「迷惑なスパムコメントが毎日大量に投稿される」など、様々な危険な要素があります。

セキュリティ対策のプラグインを利用することで、それらの危機から自分のWebサイトを防衛しましょう。

はじめに

WordPressのセキュリテイ対策の重要性

注意

WordPressは、日本でも海外でも非常に人気のあるコンテンツ管理システム(CMS)です。利用者が非常に多いので、それを悪用しようとする悪者も非常に多いです。

それらの殆どが海外からの不正利用です。脆弱性をスキャンし、何かセキュリティ的な弱点を発見したら、それを利用してWebページを改ざんしたり、WordPressを乗っ取ったりすることがあります。

WordPressをセキュリティ対策を何もとらずに利用していると、様々な危険に晒されたままの状態になり、非常に危険です。この記事で紹介するプラグインを活用し、WordPressのセキュリテイを向上させましょう。

最近よくある被害や迷惑行為

  1. 海外の何者かによるWordPress管理画面の乗っ取り。
  2. Webページの改ざん。
  3. 迷惑なスパムコメントが大量に投稿される。

必ずバックアップをお取り下さい!

プラグインをインストールする前には、必ずバックアップをお取り下さい。

サーバー環境によってはプラグインがエラーになる場合があります。ご注意下さい。プラグインはいきなり本番サーバーで利用せず、別に設けたテスト環境で試した上で本番サーバーで利用することをお勧めします。

全てのプラグインを同時に利用しないで下さい

念の為説明しておきますが、この記事で紹介するプラグインを全て同時に利用しないで下さい。例えば、「iThemes Security」を利用すると、WordPressのセキュリテイ対策を一元管理できます。このプラグインを利用すると、殆どのセキュリテイ対策ができるので、他のプラグインを利用する必要がありません。

簡単に利用できるプラグイン

比較的簡単にセキュリテイ対策ができるプラグインを紹介します。WordPressを初期状態のまま利用していると、様々な危険に晒された状態のままです。まず最初に、下記プラグインを利用して全体的なセキュリティ対策を行いましょう。

SiteGuard WP Plugin

SiteGuard WP Plugin

SiteGuard WP Pluginは、WordPressの管理画面とログイン画面に対して不正ログインを試みる攻撃から防御することに特化したセキュリティ対策のプラグインです。

ブルートフォース攻撃、パスワードリスト攻撃など、WordPressの管理画面に不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能が搭載されています。画像認証の文字は「ひらがな」と「英数字」から選択できます。ひらがなによる画像認証は、日本語が分からない外国人には突破困難なので、セキュリティ対策として役に立ちます。

このプラグインは、日本の企業が開発・運用しています。プラグインの管理画面やオンラインマニュアルが全て日本語表記です。難しい初期設定などはありません。初心者でも安心して利用できます。

ちなみに、このプラグインは、レンタルサーバーのヘテムルでもWordPressのセキュリティ対策プラグインとして採用されています。運用実績もあり、信頼性が確かなプラグインです。

このプラグインでできるセキュリテイ対策

  1. 管理画面のアクセス制限。
  2. ログイン画面のURL変更。
  3. ログイン画面、コメント投稿画面に画像認証を追加する。
  4. ログイン画面のエラーメッセージを無効化する。
  5. ログイン失敗を繰り返す接続元を一定期間ロックする。
  6. ログイン時にメール通知する。
  7. 正しい入力を行っても、意図的にログインを一回失敗する。
  8. ピンバックを無効化。
  9. WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメール通知する。

インストール方法

  1. WordPress管理画面 > プラグイン > 新規追加 >「SiteGuard WP Plugin」で検索
  2. WordPress.org からダウンロード

プラグインの解説

SiteGuard WP Plugin – 管理画面への不正ログインを防ぐWordPressプラグイン

Acunetix WP Security

Acunetix WP Security

Acunetix WP Securityは、脆弱性をスキャンし、それに対するセキュリティ対策ができるプラグインです。

WordPressを初期設定のまま利用していると危険に晒されたままの状態になります。このプラグインを利用してWordPressのセキュリティ上の脆弱性をスキャンし、セキュリテイ対策を行いましょう。

このプラグインは、セキュリティ関連の機能だけでなく、データベースのバックアップ機能もあります。設定を変更する前は、事前にデータベースのバックアップをとりましょう。

ちなみに、管理画面の殆どの部分が英語表記です。

このプラグインでできるセキュリテイ対策

  1. 脆弱性スキャン
  2. セキュリティを向上させる設定変更
  3. データベースのテーブルの接頭辞(Prefix)の変更
  4. データベースバックアップ
  5. セキュリティを向上させる為にファイルのパーミッションを一括変更
  6. 管理者ユーザー以外に対して、バージョンやエラー等の情報を隠せる

インストール方法

  1. WordPress管理画面 > プラグイン > 新規追加 >「Acunetix WP Security」で検索
  2. WordPress.org からダウンロード

プラグインの解説

Acunetix WP Security – セキュリテイ対策と脆弱性スキャンができるWordPressプラグイン

高度なセキュリテイ対策

高度なセキュリテイ対策を利用できるプラグインを紹介します。様々なセキュリティ対策機能とデータベースのバックアップ機能が利用できます。

iThemes Security

iThemes Security

iThemes Securityは、高度なセキュリティ対策とデータベースのバックアップができるプラグインです。1つのプラグインで様々なセキュリティ対策を施すことができます。

このプラグインは、設定項目が多いので慣れるまでに少し難しく感じるかもしれませんが、慣れてしまえば使いやすいプラグインです。下記にプラグインの機能の説明をまとめました。WordPressのセキュリティ対策を強化したい方は参考にして下さい。

このプラグインで出来るセキュリティ対策

  1. WordPressのセキュリティの状態を確認できる。優先順位別に対策を提示してくれる。
  2. 推測されやすい「admin」のユーザーネームとユーザーIDの番号を変更できる。
  3. データベースの定期バックアップを登録できる。データの保存先は「メール送信」「サーバー上に保存」を選択できる。
  4. 脆弱性スキャンと思われる大量の404エラーを検知して管理画面をロックできる。
  5. WordPressの管理者が管理画面を利用しない時間帯に管理画面をロックできる。
  6. サーバー上にあるファイルの変更を検知し、定期的にメールやログ画面で変更履歴を知らせてくれる。
  7. WordPressのログイン画面のスラッグを変更してログイン画面を他者から隠すことができる。
  8. WordPressのシステムファイル(関連ファイル)を保護できる。
  9. 不審なクエリー文字列をフィルターできる。
  10. ユーザーエージェントを判別してbotが投稿するスパムコメントを拒否できる。
  11. アップロードディレクトリ上でのPHP実行を無効化できる。
  12. BAN機能あり。拒否したいユーザー及びbotのIPアドレスを指定して接続を拒否できる。
  13. HackRepair.com のブラックリストを基に悪意のあるユーザーやbotを自動的に拒否できる。
  14. ログイン試行回数の制限ができる。不正を検知すると管理画面をロックできる。(ブルートフォースアタック対策)
  15. 【上級者向け】 WordPressのコンテンツが格納されている「wp-content」のディレクトリ名を変更できる。
  16. 【上級者向け】 WordPressのデータベースのテーブル接頭辞(Prefix)を変更できる。

インストール方法

  1. WordPress管理画面 > プラグイン > 新規追加 >「iThemes Security」で検索
  2. WordPress.org からダウンロード

プラグインの解説

iThemes Security – 高度なセキュリティ対策とDBバックアップができるWordPressプラグイン

All In One WP Security & Firewall

All In One WP Security & Firewall

All In One WP Security & Firewallは、WordPressのセキュリティ対策の設定を一元管理できるプラグインです。

このプラグインは、高度なセキュリティ対策の機能が1つのプラグインにまとめられています。プラグインの管理画面は英語表記ですが、非常に多機能でありながら使いやすいプラグインです。

WordPressをセキュリティ対策を何もせずに運用していると、様々な危険に晒されたままの状態になり、非常に危険です。このプラグインを活用して、外部からの攻撃に対し、自分のWebサイトを防衛しましょう。

このプラグインで出来るセキュリティ対策

  1. プラグインのダッシュボードでセキュリティ対策の状態がひと目で確認できる。
  2. WordPressの管理者ユーザーのユーザーネームを簡単に変更できる。(adminユーザーを利用しないための機能)
  3. ログイン画面のログイン試行回数を制限できる。一定回数ログインに失敗すると管理画面をロックできる。
  4. ログイン画面のブルート・フォースアタック(総当り攻撃)の対策機能あり。ログイン画面のURLを変更できる。
  5. データベースの接頭辞(Prefix)の変更ができる。
  6. データベースの自動バックアップ及び手動バックアップができる。
  7. サーバー上のディレクトリやファイルパーミッションに異常がないかを監視できる。
  8. WP管理画面でテーマのテンプレートを編集不可にできる。(メニュー非表示)
  9. WordPressのインストール関連ファイルに対してアクセス不可にできる。(readme.html、license.txt、wp-config-sample.php)
  10. ブラックリスト管理機能あり。(BAN、ユーザーエージェント)
  11. 簡易的なファイアーウォール機能あり。
  12. コメントスパム対策の投稿認証(Captcha)の機能あり。
  13. コメントスパム対策のSpambotブロック機能あり。
  14. ファイル変更の自動検出機能あり。
  15. Webサイトのメンテナンス中にサイト訪問者に対してメッセージを表示する機能あり。
  16. Webサイト上での「右クリック」「テキスト選択」「コピー」を禁止できる。(※抜け穴が沢山あるので気休め程度の機能です)

※機能が多いので省略しますが、上記以外にも沢山の機能があります。

インストール方法

  1. WordPress管理画面 > プラグイン > 新規追加 >「All In One WP Security & Firewall」で検索
  2. WordPress.org からダウンロード

プラグインの解説

All In One WP Security & Firewall – WordPressのセキュリティ対策を一元管理できるプラグイン

ファイアーウォール

Wordfence Security

Wordfence Security

Wordfence Securityは、WordPressのセキュリテイ対策のプラグインです。脆弱性スキャン、ファイアーウォール、リアルタイム・トラフィック解析、IPブロック機能など、セキュリテイ対策関連の機能が満載です。難点としては、管理画面は、全て英語表記です。

一部機能が有料版で提供されていますが、無料版のみでも非常に高機能です。尚、画面に文字しか表示されないページは、有料版で提供される機能です。

このプラグインでできるセキュリテイ対策

  1. 脆弱性スキャン
  2. ファイアーウォール機能を利用できる
  3. リアルタイム・トラフィック解析で、アクセスしてきた人間やBOTを監視できる
  4. IPブロック機能で、指定したIPアドレスと接続元ネットワークを拒否できる

インストール方法

  1. WordPress管理画面 > プラグイン > 新規追加 >「Wordfence Security」で検索
  2. WordPress.org からダウンロード

プラグインの解説

Wordfence Security – 高度なセキュリテイ対策のWordPressプラグイン

管理画面のセキュリティ対策

管理画面のログイン履歴を記録するプラグインです。

Limit Login Attempts

セキュリティ

Limit Login Attemptsは、WordPressのログイン画面に対するログイン試行回数を制限できるプラグインです。ログイン認証に複数回失敗すると、ログイン画面を一定時間ロックし、管理画面への不正ログインを防ぐ効果があります。ログイン試行回数やログイン画面のロック時間は、プラグインの管理画面で自由に設定できます。

このプラグインを利用すると、パスワード総当り攻撃(ブルートフォースアタック)による不正アクセスを防止できます。プラグインの管理画面でログイン試行回数やログイン画面をロックする時間を設定できます。

もし、WordPressのログイン画面に対するセキュリティ対策を何もしていない場合は、このプラグインを活用しましょう。

インストール方法

  1. WordPress管理画面 > プラグイン > 新規追加 >「Limit Login Attempts」で検索
  2. WordPress.org からダウンロード

プラグインの解説

Limit Login Attempts – ログイン画面に対するログイン試行回数を制限できるWordPressプラグイン

Crazy Bone

Crazy Bone

Crazy Boneは、WordPress管理画面のログイン履歴を記録して閲覧できるプラグインです。ログインに成功した履歴とログインに失敗した履歴が記録されます。

もし、外部の誰かがあなたのWordPressで運営するWebサイトを乗っ取ろうとしている場合、管理画面のログイン履歴にログインエラーの履歴が残るので、悪意のあるユーザーを発見しやすくなります。

さらに、WordPress管理画面に別の接続元IPアドレスから接続があった場合、ダッシュボードに警告が表示され、自分(管理者)以外のユーザーがログインしたことを知ることができます。

あなたがWordPressを利用して運営しているWebサイトは、あなたが知らないだけで、実は、毎日のように誰かがログインしようとして、ログインエラーが発生しているかもしれません。このプラグインを利用し、どのくらいログインエラーが発生しているか把握しておきましょう。

インストール方法

  1. WordPress管理画面 > プラグイン > 新規追加 >「Crazy Bone」で検索
  2. WordPress.org からダウンロード

プラグインの解説

Crazy Bone – WordPress管理画面のログイン履歴を記録・閲覧できるプラグイン

Stealth Login Page

Stealth Login Page

Stealth Login Pageは、WordPressのログイン画面に2つ目のログインパスワードを追加できるプラグインです。パスワードを複数にすることでセキュリテイを強化できます。

このプラグインを利用すると、ログイン画面に第二認証コードを追加できます。管理画面にログインする際にパスワードを2つ入力する必要があります。WordPressのセキュリテイを更に強化できます。

ログイン画面のパスワードに対するセキュリテイ対策は、二段階認証など、他にも方法は幾つかありますが、このプラグインは単体で動作するので導入が簡単です。他のセキュリテイ対策のプラグインと併用して利用することもできます。

インストール方法

  1. WordPress管理画面 > プラグイン > 新規追加 >「Stealth Login Page」で検索
  2. WordPress.org からダウンロード

プラグインの解説

Stealth Login Page – WordPressのログイン画面に2つ目のログインパスワードを追加できるプラグイン

スパムコメント対策

Webサイトを運営していると、コメント欄にスパムコメントが毎日のように投稿されるようになります。スパムコメントは、フィッシングサイトや悪意のあるコードが書かれたページに誘導するURLが投稿される場合があります。スパムコメントは、放置すると、セキュリティ的にも良くないので、スパムコメント対策は必ず行いましょう。

ちなみに、ここで紹介するプラグインは、単体で利用するのではなく、併用して利用するとスパムコメントがさらに減らせます。

Akismet

Akismet

Akismetは、Webサイトのコメント欄に投稿される迷惑なスパムコメント(迷惑なコメント)をフィルタリングし、除去できるプラグインです。このプラグインは、初期状態からインストールされています。APIキーを取得する作業が少し面倒ですが、非常に役に立つプラグインなので活用しましょう。

「AIPキー」を取得する際に、非商用のWebサイトを運営する個人の場合は、初期設定で支払いが有料になっていますが、左にバーをスライドすると、0ドルに変更できます。寄付は任意なので、個人の非商用利用の場合は、無料で利用できます。尚、商用サイトの場合は有料です。

インストール方法

  1. WordPress管理画面 > プラグイン > 新規追加 >「Akismet」で検索
  2. WordPress.org からダウンロード

プラグインの解説

Akismet – スパムコメントをフィルタリングするWordPressプラグイン

Throws SPAM Away

Throws SPAM Away

Throws SPAM Awayは、海外から投稿されたスパムコメントを無視できるプラグインです。投稿されたコメントに「日本語の文字が使用されていない場合」や「任意のIPアドレスからの投稿」を無視できます。

スパムフィルターには、ライブドアの各種サービス等で利用されている「スパムちゃんぷるー」を利用できます。スパム判定の精度が高いので非常に役に立ちます。

このプラグインを利用すると、海外から投稿されるスパムコメントの大部分を無視することができます。大量のスパムコメントに悩まされている人には非常に役立つプラグインです。

インストール方法

  1. WordPress管理画面 > プラグイン > 新規追加 >「Throws SPAM Away」で検索
  2. WordPress.org からダウンロード

プラグインの解説

Throws SPAM Away – 海外から投稿されたスパムコメントを無視できるWordPressプラグイン

Captcha

Captcha

Captchaは、ブログのコメント欄にスパム対策の認証コード入力欄を追加できるWordPressプラグインです。認証方式は「誰でも分かる簡単な数式の答えを入力する」方式です。

もし、SI CAPTCHA Anti-Spamを利用してもスパムコメントが大量に投稿されるようであれば、Captchaを日本語表記で利用すると、日本語が分からない外国人が投稿できなくなるので、スパムコメントを減らせるかもしれません。

インストール方法

  1. WordPress管理画面 > プラグイン > 新規追加 >「Captcha」で検索
  2. WordPress.org からダウンロード

プラグインの解説

Captcha – ブログのコメント欄のスパム対策 WordPressプラグイン

SI CAPTCHA Anti-Spam

スパム

SI CAPTCHA Anti-Spamは、ブログのコメント欄にスパム対策の認証コード入力欄を追加できるWordPressプラグインです。このプラグインを導入すると、機械的に自動投稿されるスパムコメントを排除できます。もし、スパムコメントにお悩みの方は、このプラグインを導入することをお勧めします。

インストール方法

  1. WordPress管理画面 > プラグイン > 新規追加 >「SI CAPTCHA Anti-Spam」で検索
  2. WordPress.org からダウンロード

プラグインの解説

SI CAPTCHA Anti-Spam – ブログのコメント欄のスパム対策 WordPressプラグイン

テーマのセキュリティチェック

WordPressテーマに悪意のあるコードが記述されていないかをチェックできるプラグインです。あなたが使用しているテーマをチェックしてみましょう。

AntiVirus

Anti Virus

AntiVirusは、あなたが使用しているWordPressテーマにウィルスが仕込まれていないかをチェックしてくれるプラグインです。自動的にスキャンし、異常があった場合に教えてくれます。

インストール方法

  1. WordPress管理画面 > プラグイン > 新規追加 >「AntiVirus」で検索
  2. WordPress.org からダウンロード

Theme Authenticity Checker

ブロックTheme Authenticity Checker(TAC)は、WordPressテーマのテンプレートに悪意のあるコードが記述されていないかをスキャンできるプラグインです。

無料配布されている信頼性が不明なWordPressテーマを初めて利用する場合は、念の為にこのプラグインを利用してテーマ内をチェックしましょう。テーマ内にある外部リンクも検出できます。

ただ、このプラグインは、抜け穴も沢山あるようなので完璧ではありません。テーマ内部をもっと詳細に分析したい場合は、下記で紹介している「Theme-Check」をお使い下さい。

インストール方法

  1. WordPress管理画面 > プラグイン > 新規追加 >「Theme Authenticity Checker」で検索
  2. WordPress.org からダウンロード

プラグインの解説

Theme Authenticity Checker – テーマファイルの信頼性をチェックできるWordPressプラグイン

Theme-Check

Theme-Check

Theme-Checkは、WordPress.org で定められているテーマの品質に関するガイドライン(指針)を満たしているかをチェックできるプラグインです。

このプラグインでチェックして警告が出ないテーマは、公式ディレクトリに掲載されているテーマと同等レベルの品質があること(ガイドラインに準拠して作られている)になります。

このプラグインを利用すると、悪意のあるコード(マルウエア)が書かれたテーマを発見するのにも有効です。

インストール方法

  1. WordPress管理画面 > プラグイン > 新規追加 >「Theme-Check」で検索
  2. WordPress.org からダウンロード

おすすめレンタルサーバー

もし、難しいセキュリテイ対策なんて面倒くさい。可能な限り簡単にしたいと考えている方は、セキュリテイ対策が施されたレンタルサーバーを利用すると便利です。

例えば、ネタワンでも利用している、WordPress専用の wpXレンタルサーバー は、標準で「国外IPアドレスからのWordPress管理画面へのアクセスを制限」や「管理画面のログイン試行回数の制限」があります。WordPressの管理画面の乗っ取りは、殆どが海外からのアクセスである場合が多いです。海外からのアクセスを遮断できるので、普通のレンタルサーバーを利用するよりは、セキュリテイが向上します。

wpXレンタルサーバー

wpXレンタルサーバーで利用できるセキュリテイ対策

wpXレンタルサーバーには、下記のセキュリテイ対策の機能が組み込まれています。普通のレンタルサーバーを利用するよりは、セキュリティ的に安心です。

  1. 国外IPアドレスからのWordPress管理画面へのアクセスを制限
  2. ログイン画面のログイン試行回数制限
  3. 自動バックアップ機能と手動バックアップ機能

wpXレンタルサーバーのセキュリティをさらに向上させるプラグイン

wpXレンタルサーバーを利用する場合は、下記のプラグインを利用すると便利です。

さらに、BackWPup でバックアップを取っておけば、問題が発生しても、直ぐにバックアップデータから復元できるので安心です。

  1. Acunetix WP Security(セキュリテイ対策の設定変更)
  2. Akismet(スパム判定)
  3. SI CAPTCHA Anti-Spam 又は Captcha(投稿認証)
  4. Throws SPAM Away(スパム投稿を無視する)
  5. BackWPup(バックアップ)

まとめ

セキュリティ対策には、完璧はありません。常にイタチごっこみたいになりますが、やらないよりはやった方が絶対に良いです。

セキュリティ対策をしっかりしておくことで、「海外の何者かによるWordPressの乗っ取り」や「Webページの改ざん」「スパムコメント」を可能な限り防ぐことができます。

また、WordPressは、常に最新バージョンを利用するようにしましょう。最新バージョンで過去のセキュリティホールへの対策が施されている場合が多いです。WordPressの最新バージョンが公開されたら、その都度アップデートするようにしましょう。

スポンサーリンク



最後までお読み頂き、ありがとうございます

この記事の内容が役に立ったと思ったらソーシャルメディアで共有してね。

このエントリーをはてなブックマークに追加

RSSフィードを購読する

follow us in feedly

関連記事

コメント

    • しげる
    • 2015年 12月 02日

    一番最初の方に

    > 例えば、「Better WP Security」を利用すると、WordPressのセキュリテイ対策を一元管理できます。

    とありますが、「Better WP Security」はどこで紹介されているのでしょうか?
    見当たりませんが。。。(^^;)

      • ネタワン管理人
      • 2015年 12月 02日

      失礼しました。
      プラグインの名称が変更になって、古い情報が残ったままでした。
      現在はプラグインのアップデートで名称が変更になっています。
      正しくは「iThemes Security」のことです。
      間違いをご指摘頂きありがとうございます。助かりました。

      プラグイン名の変更
      「Better WP Security」→「iThemes Security」

*

RSSフィード Twitter Facebook Google+

スポンサーリンク

ワードプレステーマTCD

ネタワンでも利用しているTCDのWordPressテーマを紹介します。様々な種類のテーマが販売されています。

CORE(TCD027)

WordPressテーマ「CORE (TCD027)」

マガジンスタイルのメディアサイト(ポータルサイト)を構築できるWordPressテーマ


ワードプレステーマTCDの詳細&レビューはこちら