WordPressのセキュリティ対策に役立つプラグインを紹介します。WordPressをセキュリティ対策を何もせずに運用していると、様々な危険に晒されたままの状態になり、非常に危険です。

例えば、「WordPressの管理者権限を乗っ取られる」「Webページが改ざんされる」「迷惑なスパムコメントが毎日大量に投稿される」など、様々な危険な要素があります。

セキュリティ対策のプラグインを活用することで、それらの危機から自分のブログを防衛しましょう。

追記 2020.03.27

紹介しているプラグインを整理しました。

はじめに

プラグインの選定基準

  • セキュリティ対策を強化できるプラグインであること。
  • 日本語化されているプラグインを優先して掲載しています。
  • 利用者が多く、評価が高いプラグインを優先して掲載しています。

WordPressのセキュリテイ対策の重要性

WordPressは、日本でも海外でも非常に人気のあるコンテンツ管理システム(CMS)です。利用者が非常に多いので、それを悪用しようとする悪者も非常に多いです。

それらの殆どが海外からの不正な接続です。脆弱性をスキャンし、何かセキュリティ的な弱点を発見したら、それを利用してWebページを改ざんしたり、WordPressの管理者権限を乗っ取ったりすることがあります。

WordPressをセキュリティ対策を何もとらずに利用していると、様々な危険に晒されたままの状態になり、非常に危険です。この記事で紹介するプラグインを活用し、WordPressのセキュリテイを向上させましょう。

最近よくある被害や迷惑行為
  1. WordPressの管理者権限の乗っ取り。
  2. Webページの改ざん。
  3. 迷惑なスパムコメントが大量に投稿される。

プラグインの数は最小限に抑える

注意

プラグインのインストールし過ぎには注意してください。

あまりにもプラグインの数が多いと、プラグイン同士が影響し合い、エラーが発生したり、ページ表示が遅くなる原因になることがあります。本当に必要なプラグインだけを利用してください。

目安としては、プラグインの数は20個以内に抑えましょう。
それでも多いくらいです。

バックアップを必ず取る

プラグインをインストールする前に、WordPressのデータベースを必ずバックアップして下さい。サーバー環境によってはプラグインにエラーが発生する場合があります。十分にご注意下さい。

プラグインはいきなり本番環境に導入せず、別に用意したテスト環境で試した上で本番環境に導入することをお勧めします。

簡単に導入できるセキュリティ対策

初心者でも簡単にWordPressにセキュリテイ対策ができるプラグインを紹介します。

WordPressを初期状態のまま運用していると、様々な危険に晒された状態のままです。まず最初に、下記プラグインを利用して全体的なセキュリティ対策を行いましょう。

SiteGuard WP Plugin

SiteGuard WP Plugin

SiteGuard WP Pluginは、WordPressの管理画面とログイン画面に対して不正ログインを試みる攻撃から防御することに特化したセキュリティ対策のプラグインです。

ブルートフォース攻撃、パスワードリスト攻撃など、WordPressの管理画面に不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能が搭載されています。画像認証の文字は「ひらがな」と「英数字」から選択できます。ひらがなによる画像認証は、日本語が分からない外国人には突破困難なので、セキュリティ対策として役に立ちます。

このプラグインは、日本の企業が開発・運用しています。プラグインの管理画面やオンラインマニュアルが全て日本語表記です。難しい初期設定などはありません。初心者でも安心して利用できます。

ちなみに、このプラグインはレンタルサーバーの「CPI」「ヘテムル」でもWordPressのセキュリティ対策プラグインとして採用されています。運用実績もあり、信頼性が確かなプラグインです。

このプラグインでできるセキュリテイ対策

  1. 管理画面のアクセス制限。
  2. ログイン画面のURL変更。
  3. ログイン画面、コメント投稿画面に画像認証を追加する。
  4. ログイン画面のエラーメッセージを無効化する。
  5. ログイン失敗を繰り返す接続元を一定期間ロックする。
  6. ログイン時にメール通知する。
  7. 正しい入力を行っても、意図的にログインを一回失敗する。
  8. ピンバックを無効化。
  9. WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメール通知する。

インストール方法

WordPress管理画面 > プラグイン > 新規追加 >「SiteGuard WP Plugin」で検索

プラグインの解説

SiteGuard WP Plugin – 管理画面への不正ログインを防ぐWordPressプラグイン

ログイン認証のセキュリティ対策

WordPress管理画面のログイン認証にセキュリティ対策の機能を拡張できるプラグインです。

Two-Factor

Two-Factor

Two-Factorは、WordPressのログイン認証に「二段階認証」の機能を拡張できるプラグインです。

WordPress管理画面に対して、もう一回(一段階)の認証を追加できます。二段階認証の方式は「メール」「ワンタイムパスワード」「セキュリティキー」を利用して認証する方式が利用できます。

このプラグインはWordPress管理画面に対しての不正なログインを防ぎたい場合に活用でき、ログイン認証のセキュリティを強化できます。

インストール方法

WordPress管理画面 > プラグイン > 新規追加 >「Two-Factor」で検索

プラグインの解説

Two-Factor – 二段階認証の機能を拡張できるWordPressプラグイン

国外IPアドレスからのアクセスを遮断する

IP Geo Block

IP Geo Block

IP Geo Blockは、国外IPアドレスからの不正なアクセスをブロックできるWordPressプラグインです。高機能なセキュリティ対策の機能を無料で利用できます。

WordPressのバックエンド(管理画面領域)、フロントエンド(一般公開領域)に対しての国外IPアドレスからの不正なアクセスをブロック(遮断)できます。接続を許可する対象は国コードで指定できます。

このプラグインは、コメントフォーム、ログインフォーム、XML-RPC、管理画面領域など、バックエンド(管理画面領域)に対する外部からの攻撃からWordPressを保護します。その機能に加えて、フロントエンド(一般公開領域)への悪意のあるリクエストをブロックする機能もあります。

もし、あなたがWordPressのセキュリティ対策の設定を手動で行なっている場合は、このプラグインが役に立つかもしれません。または、あなたが利用しているレンタルサーバーに国外IPアドレスからの不正なアクセスをブロックする機能が搭載されていない場合、このプラグインが役に立つかもしれません。

インストール方法

WordPress管理画面 > プラグイン > 新規追加 >「IP Geo Block」で検索

プラグインの解説

IP Geo Block – 国外IPアドレスからのアクセスをブロックできるWordPressプラグイン

スパム対策

ブログを運営していると、ブログのコメント欄にスパムコメントが毎日のように投稿されるようになります。スパムコメントは、フィッシングサイトや悪意のあるコードが書かれたページに誘導するURLが投稿される場合があります。

スパムコメントは、放置すると、セキュリティ的にも良くないので、スパム対策は必ず行いましょう。

ちなみに、ここで紹介するプラグインは、単体で利用するのではなく、併用して利用するとスパムコメントがさらに減らせます。

Akismet Anti-Spam

Akismet

Akismet Anti-Spamは、ブログのコメント欄に投稿される迷惑なスパムコメント(迷惑なコメント)をフィルタリングし、除去できるプラグインです。

このプラグインはWordPressの初期状態からインストールされています。APIキーを取得する作業が少し面倒ですが、非常に役に立つプラグインなので活用しましょう。

個人利用の場合は、支払い金額を自由に変更できます。無料でも利用可能です。初期状態では支払い金額が有料になっていますが、バーを左側にスライドすると、支払い金額を0円に変更できます。ちなみに、法人利用の場合は有料となります。

インストール方法

WordPress管理画面 > プラグイン > 新規追加 >「Akismet Anti-Spam」で検索

プラグインの解説

Akismet Anti-Spam – スパムコメントをフィルタリングするWordPressプラグイン

Throws SPAM Away

Throws SPAM Away

Throws SPAM Awayは、海外からのコメントスパムの投稿を無視してスルーできるプラグインです。

投稿されたコメントに「日本語の文字が含まれていない場合」「ブラックリストに登録されている場合」「無視するIPアドレスからの投稿の場合」のコメントを無視してスルーできます。

このプラグインを利用すると、海外から投稿されるコメントスパムの大部分を無視してスルーすることができます。大量のコメントスパムに悩まされている人は、このプラグインを活用しましょう。

インストール方法

WordPress管理画面 > プラグイン > 新規追加 >「Throws SPAM Away」で検索

プラグインの解説

Throws SPAM Away – 海外から投稿されたスパムコメントを無視できるWordPressプラグイン

高度なセキュリテイ対策

高度なセキュリテイ対策を利用できるプラグインを紹介します。様々なセキュリティ対策機能とデータベースのバックアップ機能が利用できます。

iThemes Security

iThemes Security

iThemes Securityは、高度なセキュリティ対策とデータベースのバックアップができるプラグインです。1つのプラグインで様々なセキュリティ対策を施すことができます。

このプラグインは設定項目が多いので慣れるまでに少し難しく感じるかもしれませんが、慣れてしまえば使いやすいプラグインです。

下記にプラグインの機能の説明をまとめました。WordPressのセキュリティ対策を強化したい方は参考にして下さい。

このプラグインで出来るセキュリティ対策

  1. WordPressのセキュリティの状態を確認できる。優先順位別に対策を提示してくれる。
  2. 推測されやすい「admin」のユーザーネームとユーザーIDの番号を変更できる。
  3. データベースの定期バックアップを登録できる。データの保存先は「メール送信」「サーバー上に保存」を選択できる。
  4. 脆弱性スキャンと思われる大量の404エラーを検知して管理画面をロックできる。
  5. WordPressの管理者が管理画面を利用しない時間帯に管理画面をロックできる。
  6. サーバー上にあるファイルの変更を検知し、定期的にメールやログ画面で変更履歴を知らせてくれる。
  7. WordPressのログイン画面のスラッグを変更してログイン画面を他者から隠すことができる。
  8. WordPressのシステムファイル(関連ファイル)を保護できる。
  9. 不審なクエリー文字列をフィルターできる。
  10. ユーザーエージェントを判別してbotが投稿するスパムコメントを拒否できる。
  11. アップロードディレクトリ上でのPHP実行を無効化できる。
  12. BAN機能あり。拒否したいユーザー及びbotのIPアドレスを指定して接続を拒否できる。
  13. HackRepair.com のブラックリストを基に悪意のあるユーザーやbotを自動的に拒否できる。
  14. ログイン試行回数の制限ができる。不正を検知すると管理画面をロックできる。(ブルートフォースアタック対策)
  15. 【上級者向け】 WordPressのコンテンツが格納されている「wp-content」のディレクトリ名を変更できる。
  16. 【上級者向け】 WordPressのデータベースのテーブル接頭辞(Prefix)を変更できる。

インストール方法

WordPress管理画面 > プラグイン > 新規追加 >「iThemes Security」で検索

プラグインの解説

iThemes Security – 高度なセキュリティ対策とDBバックアップができるWordPressプラグイン

All In One WP Security & Firewall

All In One WP Security & Firewall

All In One WP Security & Firewallは、WordPressのセキュリティ対策の設定を一元管理できるプラグインです。

このプラグインは高度なセキュリティ対策の機能が1つのプラグインにまとめられています。プラグインの管理画面は英語表記ですが、非常に多機能でありながら使いやすいプラグインです。

WordPressをセキュリティ対策を何もせずに運用していると、様々な危険に晒されたままの状態になり、非常に危険です。このプラグインを活用して、外部からの攻撃に対し、自分のWebサイトを防衛しましょう。

このプラグインで出来るセキュリティ対策

  1. プラグインのダッシュボードでセキュリティ対策の状態がひと目で確認できる。
  2. WordPressの管理者ユーザーのユーザーネームを簡単に変更できる。(adminユーザーを利用しないための機能)
  3. ログイン画面のログイン試行回数を制限できる。一定回数ログインに失敗すると管理画面をロックできる。
  4. ログイン画面のブルート・フォースアタック(総当り攻撃)の対策機能あり。ログイン画面のURLを変更できる。
  5. データベースの接頭辞(Prefix)の変更ができる。
  6. データベースの自動バックアップ及び手動バックアップができる。
  7. サーバー上のディレクトリやファイルパーミッションに異常がないかを監視できる。
  8. WP管理画面でテーマのテンプレートを編集不可にできる。(メニュー非表示)
  9. WordPressのインストール関連ファイルに対してアクセス不可にできる。(readme.html、license.txt、wp-config-sample.php)
  10. ブラックリスト管理機能あり。(BAN、ユーザーエージェント)
  11. 簡易的なファイアーウォール機能あり。
  12. コメントスパム対策の投稿認証(Captcha)の機能あり。
  13. コメントスパム対策のSpambotブロック機能あり。
  14. ファイル変更の自動検出機能あり。
  15. Webサイトのメンテナンス中にサイト訪問者に対してメッセージを表示する機能あり。
  16. Webサイト上での「右クリック」「テキスト選択」「コピー」を禁止できる。(※ 抜け穴が沢山あるので気休め程度の機能です)

※ 機能が多いので省略しますが、上記以外にも沢山の機能があります。

インストール方法

WordPress管理画面 > プラグイン > 新規追加 >「All In One WP Security & Firewall」で検索

プラグインの解説

All In One WP Security & Firewall – WordPressのセキュリティ対策を一元管理できるプラグイン

ファイアーウォール

Wordfence Security

Wordfence Security

Wordfence Securityは、WordPressのセキュリテイ対策のプラグインです。脆弱性スキャン、ファイアーウォール、リアルタイム・トラフィック解析、IPブロック機能など、セキュリテイ対策関連の機能が満載です。難点としては、管理画面は、全て英語表記です。

一部機能が有料版で提供されていますが、無料版のみでも非常に高機能です。尚、画面に文字しか表示されないページは、有料版で提供される機能です。

このプラグインでできるセキュリテイ対策

  1. 脆弱性スキャン
  2. ファイアーウォール機能を利用できる
  3. リアルタイム・トラフィック解析で、アクセスしてきた人間やBOTを監視できる
  4. IPブロック機能で、指定したIPアドレスと接続元ネットワークを拒否できる

インストール方法

WordPress管理画面 > プラグイン > 新規追加 >「Wordfence Security」で検索

プラグインの解説

Wordfence Security – 高度なセキュリテイ対策のWordPressプラグイン

おすすめレンタルサーバー

もし、難しいセキュリテイ対策なんて面倒くさい。可能な限り簡単にしたいと考えている方は、セキュリテイ対策が施されたレンタルサーバーを利用すると便利です。

例えば、ネタワンでも利用している、WordPressに特化した「wpX Speed」は、標準で「国外IPアドレスからのWordPress管理画面へのアクセスを制限」や「管理画面のログイン試行回数の制限」があります。WordPressの管理画面の乗っ取りは、殆どが海外からのアクセスである場合が多いです。海外からのアクセスを遮断できるので、普通のレンタルサーバーを利用するよりは、セキュリテイが向上します。

wpX Speed

利用できるセキュリテイ対策

「wpX Speed」には、下記のセキュリテイ対策の機能が組み込まれています。普通のレンタルサーバーを利用するよりセキュリティ的に安心です。

  1. 国外IPアドレスからのWP管理画面へのアクセス遮断
  2. ログイン画面のログイン試行回数制限
  3. 自動バックアップ機能と手動バックアップ機能あり
  4. 独自SSLを無料で利用可能
  5. セキュリティを高めるPHP関数制限機能あり

まとめ

セキュリティ対策には完璧はありません。常にイタチごっこみたいになりますが、やらないよりはやった方が絶対に良いです。

セキュリティ対策をしっかりしておくことで、「海外の何者かによるWordPressの乗っ取り」や「Webページの改ざん」「スパムコメント」を可能な限り防ぐことができます。

また、WordPressは、常に最新バージョンを利用するようにしましょう。最新バージョンで過去のセキュリティホールへの対策が施されている場合が多いです。WordPressの最新バージョンが公開されたら、その都度WordPressをアップデートするようにしましょう。

参考

WordPressプラグインのまとめ記事

この記事以外にもWordPressプラグインの解説記事を用意しています。
下記の記事も合わせてご覧下さい。

参考記事

WordPressテーマをパワーアップしよう!

ロケット

この記事で紹介しているWPプラグインを活用すれば、WordPressの機能拡張はバッチリですね。

もし、WordPressテーマ(テンプレート)も合わせて格好良くパワーアップしたい場合は、下記の記事を参考にして下さい。お勧めのWPテーマをまとめています。

様々な種類があるので、自分の目的に合うWPテーマを選びましょう。

参考記事