セキュリティ対策についてプロが解説! 【2023年】WordPressセキュリティ対策プラグイン5選
-
公開日
2022.01.28
- 更新日
この記事は16分ほどで読めます
CMSとは「Contents Management System(コンテンツマネジメントシステム)」の略で、コードを書くといった専門知識を必要とせず、サイトの管理・更新することを可能にするシステムのこと。
そのなかでもっとも有名なのがWordPressというオープンソースのCMSです。2022年1月6日時点で、日本国内のCMSに占めるナンバー1シェアであり、シェア率は83.8%という高い数値を誇っています(W3Techs.com『日本語を使用するウェブサイト間でのコンテンツ管理システムの配布』より引用)。
オープンソースであるWordPressは無料で使用できるため、日本のみならず世界でシェア率ナンバー1のCMSです。
ただ一方で、利用しているサイトの母数が多いため攻撃対象となることも多く、WordPressは多くの脆弱性(=セキュリティホール)が公表されています。このセキュリティリスクを補うには、自力で対策を講じるしかありません。
MovableTypeなど有料で提供されているCMSを利用することでセキュリティの強化を図ることも可能ですが、ライセンス料と初期費用がかかるため、コスト面を考えると費用のかからないWordPressを利用することが望ましいです。その場合、WordPressにはセキュリティプラグインを入れてセキュリティ強化を図りましょう。
本記事では、WordPressのセキュリティ対策が手軽にできる「セキュリティプラグイン」について詳しく解説していきます。
目次
プラグインとはCMSに使用する拡張機能のこと
プラグインとは、WordPressをカスタマイズすることができる拡張機能のこと。「必要な機能を、必要なぶんだけ」WordPressにカスタマイズできるのが、プラグインの特長です。
WordPressはインストール時、とてもシンプルな造りとなっています。そのため、必要となってくるのがWordPressを守るためのセキュリティプラグインです。前述の通り、WordPressのシェア率は高く、それに伴い脆弱性も指摘されやすい状態です。指摘された脆弱性を攻撃してくるbotやクラッカーからの攻撃を防ぐためにも、WordPressにはセキュリティプラグインの搭載が必須といっても過言ではありません。
またプラグインもさまざまな人がオープンソースとして公開しています。開発元が企業である場合や個人である場合や、無料や有料で金額によって機能が変わる場合など、多種多様なプラグインがリリースされているため、そのなかから信頼できるものを選ぶことが重要となります。
しかしながら、正直専門家でない人にとってプラグインの開発元や機能が十分かどうかを判断するのは難しく、ゼロから調べていくとかなりの時間を費やすることとなるでしょう。
そんな方のために、今回はWordPressに必須なセキュリティプラグインを専門家である弊社のコーダーに聞いてまとめました。弊社で使用中のものやプラグインごとの強みやポイント、開発元が個人かどうか有料無料などをまとめていますので、ぜひご参考ください!
(記載の情報は2022年1月末のものですが、2023年現在も同等機能が利用可能です)
コーダーに聞いた、おすすめプラグイン5選!
ここからは、ソフトウェアやWebサイトなどの開発に携わる弊社の現役コーダーのみなさんに「実際に使用しているプラグイン」や「おすすめのプラグイン」についてアンケートをとりました。開発元が個人や会社、また国内外を問わず数多く存在するため、どのプラグインを使えばいいのかお悩みの方は必見です!
各プラグインのおもな機能をわかりやすく抜粋して掲載していますので、詳細機能は各プラグインの公式サイトでご確認ください。
(1)ログイン・管理画面を強化・保護するならSiteGuard WP Plugin
■用途
総当たりでパスワードを探るブルートフォース攻撃や、IDとパスワードがセットになった違法なリストを入手して不正ログインをするパスワードリスト攻撃などから不正アクセスや、悪意の大量投稿など(コメントスパム)を保護・防止。ログインセキュリティに不安がある方にはおすすめです。また、日本企業がリリースしているプラグインなので日本語にも対応。シリーズ累計では国内利用サイト数ナンバー1なので信頼度も抜群です。このシンプルなプラグインはすべての機能を無料で利用することができます。
■料金
無料
■開発元
日本(EGセキュアソリューションズ株式会社 / セキュリティソフトウェア会社)
■日本語対応
あり
主な機能
・管理ページIPアクセス制限
管理ページへのアクセスにIP制限がかけられます。また許可されたIPアドレス以外からのアクセスがあった場合、404エラーの表示をすることで不正アクセスを回避します。
・ログインページのURL変更
このプラグインを有効化すると、自動的にデフォルトの(wp-login.php)の名前が変更されます(任意変更可能)。ログイン画面にアクセスされにくくなることで、不正ログインの試行などを回避します。
・画像認証
ログイン時のID・パスワード入力に加えて、ひらがなや英数字によるランダムな文字列画像を入力する認証を追加します。不正ログイン対策がより強固になります。
・ログインロック
ログイン失敗を繰り返してくる接続元を一定時間ロックし、アクセスを禁止させます。ログイン期間・回数・ロック時間などを管理画面から設定でき、ブルートフォース攻撃 (総当たりログイン攻撃) などを防ぎます。 機械的な攻撃に対して特に有効です。
・フェールワンス
正しいID・パスワードでログインした際に1度だけ失敗させる機能です。
60秒以内に再び正しいIDとパスワードを入力すればログイン成功します。
他サービスなどで情報流出したIDとパスワードがセットになったリストをもとにした攻撃を受けにくくします。
・ピンバック機能(またはXML-RPC機能全体)の無効化
アプリやブログからのリンク通知(ピンバックやトラックバック)など、他のシステム間の通信を可能にする仕様としてWordPressの過去バージョン(3.5以前)で使用されていたシステムコードがxmlrpc.phpに保存されていましたが、セキュリティの脆弱性が発生したため現在では使われなくなりました。必要ない場合は完全に無効化することでDDoS攻撃などから保護されます。
その他機能
・ユーザー名の漏洩を防ぐ
・WordPress・プラグイン・テーマを更新を24時間毎に確認・メールで通知
・WAF (SiteGuard Lite)の誤検出による除外リストの作成(WAF導入の場合)
(2)これ1つでトータルカバー!All In One WP Security & Firewall
■用途
WordPressにインストールするだけで、トータルでさまざまなセキュリティ機能を実装できるプラグイン。ユーザーレベルに合わせたファイアウォール(外部からのネットワーク回線を通じた攻撃から内部を保護するためのソフトウェア、防火壁)などが設定できます。このプラグインをインストールすると、セキュリティ強度としてサイトがどのくらい保護されているかをわかりやすく測定し、安全性の可視化が可能になります。
サイトの表示速度にも負担をかけず、無料で使用することができるので重宝するプラグインですが、アメリカの個人開発者が提供するプラグインで現在のところ日本語対応がないのが難点。英語が苦手な方は翻訳なしに使いこなすのは大変かもしれません。
【公式サイト】All In One WP Security&Firewall
■料金
無料
■開発元
アメリカ(Tips and Tricks HQ, Peter Petreski, Ruhul, Ivy)
■日本語対応
なし
主な機能
・ユーザーアカウント名の変更と保護
ユーザー名が初期設定のままである場合やログイン時のユーザー名とパスワードが同一の場合など、セキュリティ面においてリスクが高い場合はそれを検知し、ユーザーに報告します。パスワード強度ツールで非常に強力なパスワードの作成も容易にできます。また投稿者パーマリンクを非表示にします。これにより、悪意あるユーザーやボットが投稿者パーマリンクからユーザーを発見するリスクを回避します。
・ログインロック
管理画面から IP アドレスの範囲やロックする時間を設定できます。管理画面がロックされたユーザーをメールで通知する設定や操作しやすい表で表示可能。ブルートフォース攻撃 (総当たりログイン攻撃) を防ぎます。ログインページのURL変更も可能です。
・ログイン時画像認証
WordPressのログインフォームにGoogle reCaptchaまたはplain maths captchaを追加し,
スパムやbotなどの悪質な攻撃から攻撃からWebサイトを保護します。
・データベースの接頭辞変更
デフォルトのWPプレフィックス(接頭辞)「wp_」を任意の値に簡単に設定できます。これによりSQLインジェクションなどデータベースを不正操作されるリスクを低減します。
・ファイル操作禁止
WordPressの動作に関わる重要ファイルを外部か不正に編集・アクセスができないように設定できます。
・ファイアウォール設定
不正なネットワーク通信を遮断しWebサイトを保護する設定が可能です。基本的なファイアウォール設定やxmlrpc.phpの保護などが可能です
・データベースの自動バックアップ
Webサーバを制御する.htaccessファイルや、データベースの接続情報などが含まれるwp-config.phpが壊れてしまった場合に備えてバックアップを簡単に作成できます。
その他機能
・WordPressのバージョン情報を消す
・一定時間自動ログアウト
・スパム(悪意のコメント)防止
(3)ファイアウォール設定とマルウェア対策、複数サイトの管理ならWordfence Security
■用途
ファイアウォールとマルウェア(悪意あるソフトウェアやコードなど)スキャナーが搭載され、2ファクタ認証や一連の追加機能を備えたセキュリティプラグインです。インストールすると自動的にサイトやユーザー情報を記憶し、ファイアウォールを有効化します。有料版ではリアルタイムでファイアウォールルールとマルウェアシグネチャの更新、さらに悪意あるIPからの全てのリクエストをブロックすることが可能。Webサイトを安全に保つことができます。(無料版は30日後にアップデート)
ただしこちらも開発元はアメリカのセキュリティソフトウェア会社である『Wordfence』。日本語対応はないため、使用するためには英訳が必要です。また有料版は公式サイトにログインするかたちで複数サイトの管理を1つのページでできるので、セキュリティ強化したいサイトが複数ある場合は導入検討をおすすめします。
■料金
無料版・有料版
■開発元
アメリカ(Wordfence / セキュリティソフトウェア会社)
■日本語対応
なし
主な機能
・ファイアウォール
エンドポイントでWebサイトを保護し悪意あるトラフィックを識別して遮断します。通信データは暗号化されるためデータ漏洩を防ぎます。Webサイトを安全に保つために必要なファイアウォールルール、危険なデジタル署名付きマルウェア、および悪意のあるIPアドレスなど情報を自動的にチェックし保護します。
・統合マルウェアスキャナ
コアファイルやテーマ、プラグインの整合性をWordPress.org リポジトリのものと比較し変更があった場合報告します。またプラグインのマルウェア、不正URL、SEOスパム、バックドアや悪意のあるリダイレクト、コードインジェクションをチェックして悪質なコードやコンテンツを含むリクエストをブロック。コンテンツファイルや投稿などをスキャンし、危険なURLやコメントなどからの安全性を守ります。
・ログインセキュリティ
2要素認証 (2FA) (本人しか知らない知識や所持物の情報などの情報要素を組み合わせる認証方法)を追加し、セキュリティを強化します。
・セキュリティツール
Wordfence Central(Wordfence Securityの管理用サービスサイト)に登録すると、複数のWebサイトに設定したWordfence Securityを1箇所で設定することが可能です。Webサイトセキュリティの調査結果や重要なセキュリティ通知の設定も可能です。
その他機能
・ログインロック
・Captcha 追加
・XML-RPC保護
(4)シンプルで基本的な機能が備わるBulletProof Security
■用途
マルウェアスキャナー、ファイアウォールやログインセキュリティ対策、データベースバックアップなど基本的なセキュリティ対策を網羅できる信頼性が高いプラグイン。内容はシンプルなプラグインなので、そこまで複雑でない対策を行ないたい場合におすすめ。無料版と有料版があり、有料版(Pro)は完全に自動化されたセキュリティプラグインとなっている。開発元はアメリカのセキュリティソフトウェア会社である『AITpro Website Security』。日本語対応はないため、使用するためには英訳が必要となります。
■料金
無料版・有料版
■開発元
アメリカ(AITpro Website Security / セキュリティソフトウェア会社)
■日本語対応
なし
主な機能
・ファイアウォール導入
外部からのネットワーク回線を通じた攻撃から.htaccessファイルを保護し、バックアップします。セキュリティを向上させるための内容の追加変更が可能です。
・マルウェアスキャンと監視
MScanマルウェアスキャナーによる検知によりWebサイトを外部の脅威から防ぎます。
・ログインセキュリティ
ロックアウト(違反者によるサイトへのアクセスを永久にブロック)機能によりブルートフォース攻撃対策ができます。また、画像認証(CAPTCHA認証)機能を追加して
JTC-Liteを利用してログインフォームから不正なボットなどをロックアウトさせ保護します。
・セキュリティチェック
設定・監視できている機能をログで確認できます。
・データベースバックアップ
データベーステーブルのプレフィックス(接頭辞)を変換して保護し、バックアップをすることで、Webサイトのセキュリティ効果を高めます。
・メンテナンスモード
一般ユーザーがWebサイトを閲覧できない状態にするモードにできます。モード実行時はメンテナンス中であることを知らせる画面表示がされ、その間にサイト改修などの作業が行えます。
またIPアドレスを指定したメンテナンスモードの画面表示を設定可能です。
その他機能
・ワンクリックセットアップウィザード
・ページ単位のSSL化
・一定時間自動ログアウト
・隠しプラグインフォルダ|ファイルCron(HPF)
(5)目的に合わせたセキュリティ対策が選べるiThemes Security
■用途
WordPressにインストールするだけで、セキュリティを向上させることができるプラグイン。WordPressの脆弱性をチェックしたり、脆弱性を突いた攻撃から守るためのセキュリティ機能が備わっている。無料版と有料版があり、有料版(Pro)は無料版と比べてより高機能な仕様となっている。開発元はアメリカのセキュリティソフトウェア会社である『iThemes』。日本語対応があるので、使用しやすい。
■料金
無料・有料
■開発元
アメリカ(iThemes / セキュリティソフトウェア会社)
■日本語対応
あり
主な機能
・二要素認証(2FA)
ユーザーがログインするためのパスワードとともに一時的に有効なセキュリティコードを入力することを要求し、WordPressログイン攻撃に対してほとんど侵入できないようにします。また、クライアント・顧客等、Webサイトの各ユーザーグループに最適なレベルのログインセキュリティを選んで適用できます。
・ロックアウト機能
大量の404エラー(存在しないURLページ)検出など、不正なボットをブロックし、ユーザーエージェント(UA)文字列を禁止します。ブルートフォース攻撃などの繰り返しログインしてくる違反者によるサイトへのアクセスをブロックします。
・ローカル/ネットワークブルートフォース攻撃からの保護
WordPressサイトへの攻撃を自動的に特定して防止します。
またiThemesSecurityコミュニティのWebサイトに侵入しようとすると、iThemesSecurityのネットワーク全体でそれらをブロックします。
・サイトのセキュリティ状態を監視
Webサイトで行われた変更をログに記録し、Webサイトでの予期しないファイル変更など、悪意のあるアクティビティを検出します。注意すべき情報があった場合はメール通知されます。
・SSL適用
Webサイトへのすべての接続をSSL / TLS経由で強制します。訪問ユーザーのブラウザとサーバーのデータ通信を暗号化し個人情報の竜種流や改ざんなどを防ぎます。
・データベースのバックアップと保護
WordPressデータベースのプレフィックス(接頭辞)を保護し、バックアップを自動・手動設定で作成します。
その他機能
・ログインURLを変更
・マルウェアスキャン
・XML-RPC保護
シスコムのコーダーおすすめプラグインはiThemes Security
シスコムのWeb制作に携わっているコーダーチームメンバーに、よく利用するプラグインを質問したところ「iThemes Security」を推す声が多く聞かれました。その理由としては
・世間でよく使われている人気のプラグインだから
・使い続けていて大きな問題がない。しっかり危ないものをはじいてくれる
・大概の事は全部やってくれる
・不正アクセス等受けたらすぐ教えてくれる(SiteGuard WP Pluginではそうはいかない)
比較的手間がかからない割に効果が高く、現状までの利用実績からも特に問題がなく使いやすいプラグインだから、とのことでした。
また不満点をあえてあげるなら、
・管理画面がバージョンアップでガラッと変わった
・サイトと相性がよくないときがある(その場合SiteGuard WP Pluginを使う)
・IPがはじかれすぎてしまうことがある
常時アップデートや改良が加えられているプラグインなので、実践的に利用しながら、他のプラグインの様子も見て良い機能を常に比較検討しているという様子でした。
アップデートでの不具合など常に最新情報でセキュリティ強化を
WordPressは利用者も多いぶんたくさんのプラグインが出ています。プラットフォームとなるWordPress自体のアップデート、もしくはアップデートをしていないことにより脆弱性が指摘される場合もあります。またWordPressのアップデートにより、いままで普通に使用できていたプラグインが使用できなくなり、それにより問題が発見される場合もあります。Webの世界は可能性が際限なく、まだまだいたちごっこの状態です。
そのためWordPressを導入した際には、定期的にセキュリティ対策を見直すことが重要です。一度プラグインをインストールしたらそれで万事安全なのではなく、アップデートされた最新版のプラグインを常に使用することが、セキュリティ対策の大前提。より重点的に強化したいポイントを精査しつつ、最適なプラグインを選ぶようにしましょう。
おすすめ記事
