WordPressセキュリティ対策

WordPressのセキュリティを強化できるプラグインを紹介します。

WordPressのブログに対してのセキュリティ対策を何もしていないと、
無防備の状態であり、外部からの様々な攻撃に晒されている危険な状態です。

例えば、「ブログの管理者権限を乗っ取られる」「ブログの記事が改ざんされる」「迷惑なコメントスパムが毎日大量に投稿される」など、様々な被害に遭う可能性が高くなります。

セキュリティを強化するプラグインを活用することで、外部からの様々な攻撃から自分のブログを防衛しましょう。

この記事を読むと得られること
ねたわん

ブログのセキュリティを強化できるプラグインが見つかります。

はじめに

セキュリテイ対策の重要性

WordPressは、世界中で非常に人気のあるコンテンツ管理システム(CMS)です。

利用者が非常に多いので、それを悪用しようとする悪者も非常に多いのが現実です。

それらの殆どが海外からの不正なアクセスです。
脆弱性をスキャンし、セキュリティの弱点を発見したら、それを利用してWebページを改ざんしたり、WordPressの管理者権限を乗っ取ったりすることがあります。

WordPressをセキュリティ対策を何もとらずに利用していると、外部からの様々な攻撃に晒されたままの状態になり、非常に危険です。

この記事で紹介するプラグインを活用して、WordPressのセキュリテイを強化しましょう。

最近よくある被害・迷惑行為
  1. WordPressの管理者権限の乗っ取り。
  2. Webページの改ざん。
  3. 迷惑なスパムコメントが大量に投稿される。

プラグインの数は最小限に抑える

注意

ダメ、絶対、プラグインの入れすぎ

同時に利用するプラグインの数が多過ぎると、
プラグインの相性問題でエラーが発生したり、
ブログの表示が遅くなる原因になります。

本当に必要なプラグインだけを選んで導入してください。

利用するプラグインの数は、10個程度に抑えるのが理想です。

バックアップ必須

初心者

プラグインをインストールする前に、
必ずWordPressのデータベースをバックアップして下さい。

サーバー環境によってはエラーが発生する場合があります。
十分にご注意下さい。

初めて利用するプラグインは、本番環境に直ぐに導入せず、
別に用意したテスト環境で試す必要があります。

そして、問題がなければ本番環境に導入して下さい。

簡単に導入できるセキュリティ対策

初心者でも簡単にWordPressのセキュリテイを強化できるプラグインを紹介します。

WordPressを初期状態のまま運用していると、様々な危険に晒された状態のままです。
下記プラグインを活用して総合的なセキュリティを強化しましょう。

SiteGuard WP Plugin

SiteGuard WP Plugin

SiteGuard WP Pluginは、WordPressの管理画面とログイン画面に対して不正ログインを試みる攻撃から防御することに特化したセキュリティ対策のプラグインです。

ブルートフォース攻撃、パスワードリスト攻撃など、WordPressの管理画面に不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能が搭載されています。
画像認証の文字は「ひらがな」と「英数字」から選択できます。
ひらがなによる画像認証は、日本語が分からない外国人には突破困難なので、セキュリティ対策として役に立ちます。

このプラグインは、日本の企業が開発・運用しています。
プラグインの管理画面やオンラインマニュアルが全て日本語表記です。
難しい初期設定などはありません。初心者でも安心して利用できます。

このプラグインが優れていること

  • WordPressの管理画面とログイン画面に対して不正ログインを試みる攻撃から防御できる。
  • WordPressの管理画面に不正にログインを試みる攻撃から防御できる。
    (ブルートフォース攻撃、パスワードリスト攻撃など)
  • ブログのコメントフォームをコメントスパムから防御できる。
  • 画像認証の文字は「ひらがな」と「英数字」が選択できる。
    ひらがなの画像認証は、日本語がわからない外国人にとっては突破困難です。
オススメ理由
ねたわん

日本の大手レンタルサーバーでも採用されているプラグインです。
日本で開発・保守されているので安心です。

補足情報

日本語化 日本製のプラグインです。
日本語環境での運用に完全対応。
導入の難易度 導入は簡単です。
説明をよく読んで機能を有効化して下さい。
インストール数 500,000以上
アップデート頻度 定期的にアップデートされています。
プラグインの評判 レビュー・サポートフォーラムでは、好意的評価が多いようです。

インストール方法

  1. WordPress管理画面 > プラグイン > 新規追加 >「SiteGuard WP Plugin」で検索
  2. 「wordpress.org」からダウンロード

2段階認証

WordPress管理画面のログイン認証に「2段階認証」の機能を拡張できるプラグインです。

Two-Factor

Two-Factor

Two-Factorは、WordPressのログイン認証に「2段階認証」の機能を拡張できるプラグインです。

WordPress管理画面に対して、もう1回(1段階)の認証を追加できます。
2段階認証の方式は「メール」「ワンタイムパスワード」「セキュリティキー」を利用して認証する方式が利用できます。

このプラグインはWordPress管理画面に対しての不正なログインを防ぎたい場合に活用でき、ログイン認証のセキュリティを強化できます。

このプラグインが優れていること

  • WordPress管理画面のログイン認証に「2段階認証」の機能を追加できる。
  • WordPress管理画面のセキュリティ対策を強化したい場合に役立つ。
  • 複数の認証方式に対応(メール、ワンタイムパスワード、セキュリティキー)
オススメ理由
ねたわん

管理画面のログイン認証に「2段階認証」を拡張できる。

補足情報

日本語化 プラグインは日本語化されています。
導入の難易度 導入は簡単です。
インストール数 70,000以上
アップデート頻度 定期的にアップデートされています。
プラグインの評判 レビュー・サポートフォーラムでは、好意的評価が多いようです。

インストール方法

  1. WordPress管理画面 > プラグイン > 新規追加 >「Two-Factor」で検索
  2. 「wordpress.org」からダウンロード

ボット対策

Googleのボット対策ツール「reCAPTCHA」と連携できるプラグインです。
自動化された悪意のあるプログラムからのリクエストを自動検出して遮断できます。

Advanced Google reCAPTCHA

Advanced Google reCAPTCHA

Advanced Google reCAPTCHAは、悪意のあるリクエストからWordPressを防御するプラグインです。
自動化されたボットからの悪意のあるリクエストを検出するとリクエストを遮断します。

Googleのボット対策ツール「reCAPTCHA」のバージョン「V3」および「V2」をWordPressと連携させることができます。一般的なブログであれば、無料で利用できます。(月間100万リクエストまで)

WordPressの入力フォームに対しての悪意のあるリクエストから防御したり、コメントフォームに投稿されるコメントスパムから防御する効果が期待できます。

「reCAPTCHA」は無料で利用できる定番のボット対策ツールです。
セキュリティ対策のプラグインと併用して運用すると更に効果を高めることができます。
便利なプラグインなので活用しましょう。

このプラグインが優れていること

  • Googleのボット対策ツール「reCAPTCHA」の「V3」および「V2」と連携できる。
  • 自動化されたボット(BOT)からの悪意のあるリクエストを検出するとWebサイトを防御する。
  • 入力フォームに対しての悪意のあるリクエストを検証して防御できる。(パスワード総当たり攻撃対策)
  • コメントフォームに対しての迷惑コメントのリクエストを検証して防御できる。(コメントスパム対策)
オススメ理由
ねたわん

シンプルで使いやすいボット対策のプラグインです。
セキュリティ強化とスパム対策で効果があります。

補足情報

日本語化 プラグインは日本語化されています。
公式サイト・マニュアルは英語です。
導入の難易度 登録と初期設定は簡単です。
ただし、「Google reCAPTCHA」への登録が必要です。
ブログのドメインを登録して、キーを取得して下さい。
インストール数 90,000以上
アップデート頻度 定期的にアップデートされています。
プラグインの評判 レビュー・サポートフォーラムでは、好意的評価が多いようです。
ただし、テーマ・プラグインによっては相性問題が発生する場合があります。
テスト環境で試した上で本番環境に導入して下さい。

インストール方法

WordPressの管理画面から検索してインストールして下さい。
もしくは「wordpress.org」からダウンロードし、アップロードしてインストールして下さい。

  1. WordPress管理画面 > プラグイン > 新規追加 >「Advanced Google reCAPTCHA」で検索
  2. 「wordpress.org」からダウンロードする

スパム対策

ブログを運営していると、コメントフォームに海外から迷惑なコメントが毎日のように投稿されるようになります。それらの多くが自動化されたBOT(ボット)から投稿されます。

コメントスパムはフィッシングサイトや悪意のあるプログラムが実行されるページに誘導するURLが投稿される場合があります。

スパムは放置するとセキュリティの面でも良くありません。
スパム対策は必ず行う必要があります。

Akismet

Akismet

Akismetは、ブログのコメントフォーム(コメント欄)に投稿される迷惑なコメントスパムをフィルタリングして除去できるWordPressプラグインです。

このプラグインは、WordPressに初期状態からインストールされています。
APIキーを取得する作業が少し面倒ですが、非常に役に立つプラグインなので活用しましょう。

個人利用の場合は、支払い金額を自由に変更できます。無料でも利用可能です。
初期状態では有料のように表示されますが、個人・非商用での利用に限り、無料で利用できます。

ちなみに、法人利用の場合は有料となります。

このプラグインが優れていること

  • ブログのコメントフォームに投稿されるコメントスパム・トラックバックをフィルタリングできる。
  • ブログのお問い合わせフォームに投稿されるコメントスパムをフィルタリングできる。
    (Contact Form 7 など)
  • 投稿されたコメント・トラックバックのスパム判別ができる。
  • 悪質なスパムを自動的に削除できる。
  • 個人・非商用での利用の場合、無料で利用できる。
オススメ理由
ねたわん

定番のコメントスパム対策ツールです。
個人・非商用での利用は、無料で利用できます。

補足情報

日本語化 プラグインは日本語化されています。
導入の難易度 Akismetの「API キー」を取得する必要があります。
「API キー」の取得に少し時間がかかります。
インストール数 5,000,000以上
アップデート頻度 定期的にアップデートされています。
プラグインの評判 レビュー・サポートフォーラムでは、好意的評価が多いようです。
有料版 個人の非商用に限り、無料で利用できます。
商用利用の場合、有料ライセンスの購入が必要です。

インストール方法

  1. WordPress管理画面 > プラグイン > 新規追加 >「Akismet」で検索
  2. 「wordpress.org」からダウンロード

Throws SPAM Away

Throws SPAM Away

Throws SPAM Awayは、海外からのコメントスパムを無視してスルーできるプラグインです。

投稿されたコメントに「日本語の文字が含まれていない場合」「ブラックリストに登録されている場合」「無視するIPアドレスからの投稿の場合」のコメントを無視してスルーできます。

海外から投稿されるコメントスパムの大部分を無視してスルーすることができます。
大量のコメントスパムに悩まされている人は、このプラグインを活用しましょう。

このプラグインが優れていること

  • 海外から投稿されたコメントスパムを無視できる。
  • 日本語の文字列が含まれていないコメントを無視できる。
  • NGキーワードを登録して、投稿コメントにNGキーワードが含まれていたら投稿コメントを無視できる。
  • スパム判定されたコメントとトラックバックURLのIPアドレスと投稿内容が一覧表示でわかる。
  • スパム判定のブラックリストとホワイトリストをIPアドレスで指定できる。
オススメ理由
ねたわん

海外からの迷惑なコメントスパムを無視できる。

補足情報

日本語化 日本製のプラグインです。
全て日本語表記です。
導入の難易度 導入は簡単です。
インストール数 20,000以上
アップデート頻度

このプラグインを利用する場合は、注意が必要です。
プラグインの最終更新日を必ず確認した上で利用して下さい。
2023年の段階でも利用可能ですが、現在は積極的に機能追加・改善は行われていません。
不具合対応などの最低限の保守のみのようです。更新頻度は低めです。

プラグインの評判 投稿数は少ないですが、レビュー・サポートフォーラムでは、好意的評価が多い。

インストール方法

  1. WordPress管理画面 > プラグイン > 新規追加 >「Throws SPAM Away」で検索
  2. 「wordpress.org」からダウンロード

まとめ

セキュリティ対策には完璧はありません。
常にイタチごっこみたいになりますが、やらないよりはやった方が絶対に良いです。

セキュリティ対策を万全にしておくことで、
「海外の何者かによるWordPressの乗っ取り」や「Webページの改ざん」「スパムコメント」などの被害に遭う可能性を軽減できます。

そして、WordPressは常に最新バージョンを利用する必要があります。
最新バージョンで過去のセキュリティホールへの対策が施されている場合が多いです。
WordPressの最新バージョンが公開されたら、その都度、WordPressをアップデートしましょう。

要点
  • WordPressを運用する際は、セキュリティに十分に注意する必要がある
  • WordPressのセキュリティを強化できるプラグインを活用すべし
  • WordPressは常に最新版を利用すべし

巻末おまけ

レンタルサーバーのセキュリティ強化機能

初心者

参考情報になりますが、WordPressを保護する機能は、プラグイン以外にもあります。

近年のレンタルサーバーには、WordPressのセキュリティを強化する機能が標準搭載されている場合が多いです。

下記はその代表例です。プラグインだけでなく、レンタルサーバーに標準搭載されているセキュリティ機能も活用しましょう。

エックスサーバー
  • WAFによる保護
  • ログイン試行回数の制限
  • 国外IPアドレスからの接続制限(管理画面・XML-RPC・REST API)
  • 大量コメント・トラックバックの制限
  • 国外IPアドレスからのコメント・トラックバックの制限
ロリポップ!
  • ウイルスチェック
  • WAFによる脆弱性対策
  • 海外アタックガード
さくらのレンタルサーバ
  • WAFによる保護(SiteGuard)
  • 国外IPアドレスフィルタ
  • Web改ざん検知サービス(有料)

選定基準

プラグインの選定基準
  • セキュリティを強化できるプラグインであること。
  • 日本語化されているプラグインを優先して掲載しています。
  • 利用者が多く、評価が高いプラグインを優先して掲載しています。
オススメから除外する基準

下記条件に該当するプラグインは、定期的に確認して、この記事から除外しています。

  • プラグインが1年以上更新されない。
  • プラグインが保守されず、放置されている。
  • サポートフォーラムに投稿される質問に開発者が返信を行わず放置している。
  • サポートフォーラムでの評判が著しく悪い。