WordPressのセキュリティを強化するプラグイン3選

WordPressは初期設定では、セキュリティが高くはありません。過去には、大規模なWebサイトの書き換えの事件もありましたし、ログインされてしまうと取り返しがつかないことになります。そのため、セキュリティ対策が万全なサーバーを選択するほかに、WordPressのプラグインでもセキュリティを強化します。

WordPressのセキュリティを強化するプラグイン3選

WordPressのセキュリティ対策を行うときは、代表的なセキュリティ対策のプラグインから選択して設定しておけば良いです。WordPressテーマやほかのプラグインとの相性がありますので、どれを選択するかは、有効化しているテーマのフォーラムを参考にしてください。

Wordfence Security

Wordfence Securityは、WordPressサイトを保護するためのツールとして使用されます。サイトのセキュリティを強化し、不正アクセスやマルウェアから保護します。

特徴

Wordfence Securityは、エンドポイントのファイアウォールとマルウェアスキャナを提供します。これにより、クラウドベースのファイアウォールよりも深いレベルでの保護が可能となります。また、リアルタイムの脅威防御フィードも提供しており、最新のセキュリティ脅威からサイトを保護します。

主な機能

Wordfence Securityは、WordPressのセキュリティを強化するための多機能プラグインです。以下にその主な機能をまとめます。

• プラグインのインストール: WordPressのダッシュボードから「プラグイン」→「新規追加」を選択し、”Wordfence Security”を検索してインストールします。
• ファイアウォールの最適化設定: ダッシュボードの「Wordfence」→「Dashboard」からファイアウォールの設定を行います。最適化のために学習モード（ラーニングモード）が設定され、自動で最適化が行われます。
• ファイアウォールのオプション設定: ダッシュボードの「Wordfence」→「Firewall」から詳細なファイアウォールの設定を行います。ここでは、自分のIPアドレスをホワイトリストに登録することで、攻撃判定から除外することができます。
• 一般的なWordfenceオプション: ダッシュボードの「Wordfence」→「All Options」から、Wordfenceの一般的なオプションを設定します。ここでは、WordPressのバージョン情報を非表示にする設定や、通知メールの設定などを行います。
• ブルートフォース攻撃防止設定: ログインやパスワードの入力失敗回数や、ロックがかかる時間、リセットする時間などを設定できます。
• 二段階認証ログイン機能: 「Wordfence」→「Login Security」から設定できます。ただし、この機能を使用するにはスマホの「Google 認証システム(Google Authenticator)」アプリが必要です。

SiteGuard WP Plugin

SiteGuard WP Pluginは、WordPressサイトのセキュリティを強化するためのプラグインです。サイトの保護と安全性を高めるために使用されます。

特徴

• ログイン試行の制限：連続したログイン失敗を検出すると、一定時間アクセスを制限します。
• ログインページの名前変更：標準のログインページをカスタムURLに変更することで、不正なアクセスを防ぎます。
• パスワードポリシーの強化：強力なパスワードの使用を強制することで、アカウントのセキュリティを向上させます。
• ブロックリスト機能：特定のIPアドレスからのアクセスを制限します。
• プラグインとテーマの更新通知：最新のセキュリティパッチを適用するために、更新が必要なプラグインとテーマを通知します。

主な機能

• ログイン試行の制限
• ログインページの名前変更
• パスワードポリシーの強化
• ブロックリスト機能
• プラグインとテーマの更新通知

All In One WP Security & Firewall

WordPressのセキュリティを強化するためのプラグインです。WordPressは利用者が多い分、悪意のある第三者にハッキングされる危険性があります。このプラグインを使うことで、サイトの安全性を高めることができます。

特徴

このプラグインは、WordPressのセキュリティ設定の状態をチェックでき、危険な状態を示す指標を提供します。

ユーザーアカウント、ログイン、ユーザー登録、データベースセキュリティ、ファイルシステムセキュリティ、ブラックリスト管理、ファイアウォール、ブルートフォース防止など、様々なセキュリティ対策を提供します。

主な機能

• ユーザーアカウントのセキュリティ: ユーザー名が「admin」になっていないかのチェック、パスワードの強度を確認する機能などがあります。
• ログインに関する設定: パスワードを数回間違えた時に、ログイン試行をロックする設定を行います。
• ユーザー登録に関する設定: ユーザー作成を承認制にする設定、ユーザー登録する際に、計算の答えを入力する欄を設ける設定などがあります。
• データベースのセキュリティ: データベースのテーブル接頭辞（プレフィックス）がデフォルトの「wp_」になっていたら危険とし、変更を推奨します。
• ファイルシステムセキュリティ: ファイルの読み書きや実行の権限に関する設定、管理画面からPHPファイルを編集できないようにする設定などがあります。
• ブラックリスト管理: 特定のIPアドレスやユーザーエージェントのアクセスを拒否するための機能があります。
• ファイアウォール: 悪意のある第三者による通信をブロックするための設定があります。
• ブルートフォース防止: ログインページを指定のURLに変更し、ブルートフォース（総当たり攻撃）を防ぐ機能があります。

プラグインのほかに使うセキュリティ設定

WordPressは最新版に更新する

WordPressは世界でトップシェアのCMSです。そのため、攻撃の対象になりやすいため、コアファイルのアップデートが頻繁に行われます。バージョンのアップデートは、6.2.0のようなアップデートでは脆弱性がある可能性がありますので、6.2.1のようなバージョンが出たときにアップデートします。

WordPressテーマをアップデートする

WordPressテーマをコアファイルの方にあったWordPressテーマのバージョンにしないと、表示エラーや脆弱性が発生しやすくなります。そのため、WordPressを運用するときは、テーマを定期更新しているものをおすすめします。

WordPressプラグインをアップデートする

WordPressテーマと同様にコアファイルも環境が一致していないと、表示エラーや脆弱性が発生しやすくなります。ただし、プラグインのバージョンアップでは、大きく機能が変更されている場合もありますので、事前にバックアップをとっておきましょう。

まとめ

WordPressを安全に運用するためには、初期設定ではなく、プラグインを使いセキュリティレベルを上げます。ただし、リスクがゼロになるわけではありませんので、定期的にデータベースやコアファイルをバックアップしましょう。