WordPressを利用してホームページやブログを運営する方が日に日に増えてきています。実際に世界中のホームページの1/4以上はWordPressを利用して作られています。このようにシェアが広がっていくと、それに比例して高まってくるのが不正アクセスの危険性です。
実際に過去には大手レンタルサーバーに設置されているWordPressが集中的に狙われたりして情報が改ざんされる被害が起きたこともあります。しかし、サーバー側だけの問題ではないのです。運用しているWordPressにセキュリティを高めるためのプラグインなどを効果的に活用していくことにより、自分でセキュリティを高めることができるのです。
今回は、WordPressの公式サイトにも掲載されている信頼できるであろうセキィリティ関連プラグインをまとめてみました。「自分でWordPressのセキュリティを高めたい!」という方の参考にしていただければと思います。
ちなみに、どれだけ魅力的な機能が搭載されているプラグインであっても、アップデートが1年以上空いてしまっているプラグインに関しては掲載を見送っています。セキュリティというのは日々変化しているものです。それらに対応していくためのアップデートが最低限行われていないのであれば、継続的に利用していくことは考えにくいでしょう。ですので、今回はそのような点もチェックして掲載するかどうかを判断しています。安心してください!空いてませんよ!
その前に
よくある被害について
よく発生している被害については以下のようなものがあげられます。
- WordPress管理画面への不正アクセス
- WordPressで管理しているページの情報改ざん
- スパムコメントが大量に投稿される
特に3つ目のスパムコメントの大量投稿に関しては、何も対策をしていないWordPressにおいてはよく発生するトラブルではないでしょうか。
これらの迷惑被害に対してセキュリティを高め、未然に防ぐために利用できる数々のプラグインをご紹介しようと思います。
バックアップの必要性
今後紹介するプラグインを利用する前に必ずバックアップを行ってください。
というのも、WordPressに公式で認められているプラグインだからといってもエラーが絶対に発生しないとは限らないからです。WordPress自体に問題はなくても、サーバーとの相性もありますし、それらが理由で動作に支障をきたす可能性も否定できません。
ですので、何かが起こっても最悪の場合、プラグインを利用する前の状態に戻せるように必ずバックアップを行っておきましょう。(でなくとも、日常的にバックアップを行うことをお勧めします)
SiteGuard WP Plugin
SiteGuard WP Pluginは、WordPressの管理画面やログイン画面に不正ログインをしようとする攻撃からWordPressを守るためのセキュリティ対策プラグインです。
ブルートフォース攻撃、パスワードリスト攻撃などのWordPress管理画面に不正ログインを試みる攻撃からの防御や、スパムコメントを受けにくくする機能が搭載されています。代表的な機能としては、以下のような点があります。
- 管理ページアクセス制限
- ログインしていない接続元から管理ディレクトリ(wp-adminフォルダ)を守ります
- ログインページ変更
- ログインページ名を変更できます
- 画像認証
- ログインページ、コメント投稿に画像認証を追加できます
- ログイン詳細エラーメッセージの無効化
- ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返すことができます
- ログインロック
- ログイン失敗を繰り返す接続元を一定期間ロックします
- ログインアラート
- ログインがあったことをメールで通知できます
- フェールワンス
- 正しい入力を行ってもログインを一回失敗させることができます
- ピンバック無効化
- ピンバックの悪用を防ぐことができます
- 更新通知
- WordPress、プラグイン、テーマの更新をメールで通知することができます
- WAFチューニングサポート
- WAF(SiteGuard Lite)の除外リストを作成します
このプラグインはレンタルサーバーhetemlでも簡単インストール等でインストールした場合にはデフォルトでインストールされているプラグインとなっていますので、ある程度信頼できると考えても良いかもしれませんね。
| インストール数 | 評価 |
|---|---|
| 80,000以上 |
iThemes Security
iThemes Securityは、セキュリティ対策とデータベースのバックアップができるプラグインの一つです。このプラグイン1つで様々なセキィリティ対策を施すことができます。また、SiteGuard WP Pluginは日本の会社が開発しているため日本国内では多く利用されていますが、iThemes Securityは世界中で活用されています。インストール数の桁が違いますね。
とても豊富な機能を持っていて、初心者さんにはガイドラインなしではちょっと使いにくいかと思います。しかも、英語メインの管理画面なので余計に…。そういう場合には以下のサイトで日本語で説明してくださっているので参考にしてみてください。アップデートによってはリンク先の記事が最新の情報ではなくなってしまう場合もありますが、ある程度の内容はわかるかと思います。
参照:WordPressのセキュリティプラグイン「iThemes Security」の設定を日本語で解説
| インストール数 | 評価 |
|---|---|
| 700,000以上 |
All In One WP Security & Firewall
All In One WP Security & FirewallはWordPressでのセキュリティ対策を一元管理できるプラグインです。高度なセキュリティ対策機能が1つのプラグインにまとめられていて使いやすいプラグインです。
ちょっと古いですが、公式にYoutube動画がありますので見てみるとざっくり内容を把握できるかと思います。
代表的な機能としては、
- ログイン試行回数を制限できる
- データベースの自動バックアップ
- コメントスパム対策として投稿認証(Captcha)
- ファイル変更の自動検出機能
といった機能が搭載されています。
| インストール数 | 評価 |
|---|---|
| 400,000以上 |
Wordfence Security
Wordfence Securityは、脆弱性スキャンやファイヤーウォール、リアルタイム・トラフィック解析、IPブロック機能などのセキュリティ対策に必要な機能が一通り揃っている点が特徴です。一部機能は有料版での提供となっていますが、無料版でも十分な機能を有しています。
海外ではかなり評価の高いプラグインとなっています。英語表記ですのでとっかかりにくいかもしれませんが、間違いないプラグインとも言えます。
- 脆弱性のスキャン
- ファイヤーウォール機能
- リアルタイムトラッキング
- IPブロック機能
| インストール数 | 評価 |
|---|---|
| 1,000,000以上 |
Crazy Bone
Crazy Boneは管理画面へのログイン履歴を記録しておくことができ、尚且つ閲覧することができるプラグインです。
複数人で管理しているWordPressに設置することによって、誰がいつアクセスしているかを記録しておくこともできます。また、自分のWordPressに自分以外の人(不正アクセスを試みる人たち)がそれだけアクセスしているのかを可視化することもできます。
日本人の方が開発されているプラグインですので、ちょっと安心できるところもなくもないですよね。
| インストール数 | 評価 |
|---|---|
| 30,000以上 |
Akismet
Akismetは、WordPressでは定番中の定番となるスパムコメントをフィルターリングしてくれるプラグインです。WordPressをインストールすると最初からインストールされているプラグインとしても有名ではないでしょうか。
APIキーを取得しないと使えないのでそこだけはちょっとネックではありますが、非商用の個人利用の場合は費用も必要ありません。商用サイトで利用する場合には有料となります。
| インストール数 | 評価 |
|---|---|
| 1,000,000以上 |
まとめ
WordPressにこれらのプラグインを活用してセキィリティを高める必要性は確実にあります。しかし、それらで完璧かというとそれは言い切れません。言い切れる日は今後もこないでしょう。
しかし、これら最低限のセキュリティを施しておくことによって、WordPressの乗っ取りやWebページの改ざんなどを可能な限り防ぐことはできます。
また、WordPress本体も日々改良されています。ですので、WordPress本体のアップデート(更新)やプラグイン・テーマのアップデートも忘れずにこまめに行うことを強くおすすめします。
できるだけ嫌な思いをせずにWordPressを利用してホームページやブログの運営をしたいですもんね!そのためにも参考にしていただければ幸いです。
