SPIRALマネージドクラウドの記事
ARTICLEWordPressのセキュリティを安全に!おすすめプラグイン5選
WordPressのセキュリティ対策にはプラグインがおすすめです。なぜなら、プラグインを導入することで簡単にセキュリティ対策ができるからです。本記事では、セキュリティ対策の必要性や自社サイト・読者を守るための方法について解説していきます。
目次
WordPressのセキュリティ対策はなぜ必要?
WordPressのセキュリティ対策は重要です。
なぜなら、WordPressは全世界のウェブサイトのうち43%で使用されており、最もサイバー攻撃を受けやすいCMSだと言えるからです。
仮にセキュリティ対策を無視すると、自社サイトはもちろん読者へも被害を与える可能性があります。
サイトの信頼性を損なわず、安全にサイト運営するためにもセキュリティ対策は必要なのです。
WordPressはどのようなサイバー攻撃を受けるのか
では、WordPressはどのようなサイバー攻撃を受けるのでしょうか?
代表的な下記のサイバー攻撃3つを順番に解説していきます。
・ハッキング
・悪質リンクの埋め込み・ウイルスの拡散
・スパムコメント
ハッキング
ハッキングとは簡単にいうと、個人情報窃盗などを目的に行われる不正アクセスのことです。
ウェブサイトセキュリティサービスを展開するSukuri社が発表したハッキング調査では、全CMS中WordPressが90%を占めていました。
ハッキングを受けたサイトはソースコードが大量に書き換えられるなど、簡単に復旧できないことが多いです。
被害を防ぐためにも、セキュリティ対策はしっかり行いましょう。
悪質リンクの埋め込み・ウイルスの拡散
WordPressの脆弱性を狙った、悪質リンクの埋め込み・ウイルスの拡散も目立ちます。
悪質リンクの埋め込みは、検索フォームなどの入力欄から悪質なスクリプトを送る(クロスサイトスクリプティング)で行われることが多いです。
またウイルスの拡散は、入力欄から悪質な言語を送りデータベースを不正利用する(SQLインジェクション)方法があります。
悪質リンクの埋め込み・ウイルスの拡散への対策は読者を守る上でも非常に重要です。
スパムコメント
スパムコメントとは、記事内容に全く無関係なコメントのことです。
自動で大量に送られるケースが多く、広告や悪質なサイトへ誘導するためのURLが記載されていることが多いです。
URLをクリックしてしまうと、フィッシング詐欺などの被害にあう可能性があります。
安全にサイト運営するためにも、スパムコメント対策も行いましょう。
WordPressのセキュリティ対策におすすめ!プラグイン5選
WordPressのセキュリティ対策におすすめのプラグインは下記5つです。
- SiteGuard WP Plugin(初心者向け)
- Google Authenticator(初心者向け)
- All In One WP Security & Firewall
- iThemes Security
- Wordfence Security
一口にセキュリティ対策のプラグインと言っても大量に存在するため、初心者でも使いやすく、有名なプラグインを紹介します。
基本的なセキュリティ対策を実施したい方は、1・2を導入するのがおすすめですよ。
1.SiteGuard WP Plugin(初心者向け)
SiteGuard WP Pluginは、プラグインを導入して有効化するだけで基本的なセキュリティ対策を行える優れもの。
また、国産で日本語対応なのも初心者に扱いやすい魅力の一つです。
【主な機能】
- 管理ページアクセス制限
- ログインページ変更
- 画像認証
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- フェールワンス
- XMLRPC防御
- ユーザー名漏えい防御
- 更新通知
- WAFチューニングサポート
(各機能の詳細説明は上画像参照)
ご覧の通り、数多くの機能を分かりやすく操作できます。
中でも画像認証は、次に紹介するGoogle Authenticatorと併用すれば強力なアクセス制限ができるのでおすすめです。
【導入手順】
・WordPressの管理画面から「プラグイン」をクリック
・プラグイン画面から「新規追加」をクリック
・プラグイン名を入力後、「今すぐインストール」をクリック
・「有効化」をクリック
(ダウンロードはコチラ)
2.Google Authenticator(初心者向け)
Google Authenticatorは、WordPress管理画面へのアクセスを2段階認証にするプラグインです。
もう少し具体的にいうと、通常のIDとパスワードの入力にワンタイムパスワードを追加してハッキングを防ぎます。
【導入手順】
・「有効化」まで完了する(詳細は1、SiteGuard WP Plugin参照)
・スマホアプリを取得する(iPhone用、android用)
・アプリを起動後「QRコードをスキャン」をクリックし、ワンタイムパスワードを入力
(ダウンロードはコチラ)
3.All In One WP Security & Firewall
All In One WP Security & Firewallは基本的なセキュリティ対策はもちろん、企業の内部ネットワークを守る”ファイアウォール“を導入できるプラグインです。
また、管理画面では以下のようにサイトのセキュリティ強度が確認できて便利です。
【主な機能】
- ファイアウォールの導入
- ログインページURLの変更
- サイトに対するコピーや右クリックの禁止
- スパムコメント防止
- PHPファイル(プラグインやテーマファイルなど)の操作禁止
- ログイン失敗を繰り返す接続元をロックアウト
- 特定のIPアドレスやユーザーエージェントのアクセス制限
- バックアップ
- WordPressのバージョン情報を非表示化
【導入手順】
・「有効化」まで完了する(詳細は1、SiteGuard WP Plugin参照)
・WordPress管理画面より各種機能設定を行う
(ダウンロードはコチラ)
4.iThemes Security
iThemes Securityは、細かいセキュリティ対策ができるプラグインで上級者にもおすすめできます。
一部英語表記になっていますが、特に不便さは感じないレベルです。
【主な機能】
- セキュリティレベルのチェック
- 404の検出(悪質ユーザーの通信を監視し、自動ブロック)
- ハッキング不可な強固なパスワード設定
- 常時SSL化
- 第三者によるファイルの変更を自動検出
- ログイン失敗を繰り返す接続元をロックアウト
- 特定のIPアドレスをアクセス制限
- バックアップ
- WordPressのデフォルトになっているセキュリティの向上
代表的な機能は上記が挙げられますが、他にも多くの機能があります。
【導入手順】
・「有効化」まで完了する(詳細は1、SiteGuard WP Plugin参照)
・画像の順番通りに設定を進め、「SECURE SITE」で最終確認
(ダウンロードはコチラ)
5.Wordfence Security
Wordfence Securityは、デフォルトの状態でもセキュリティを強化できる便利なプラグイン。
セキュリティレベルをリアルタイムで監視できるのが特徴です。
【主な機能】
- セキュリティレベルのチェック
- ファイアウォールの導入
- ログイン失敗を繰り返す接続元をロックアウト
- 特定のIPアドレスをアクセス制限
【導入手順】
・「有効化」まで完了する(詳細は1、SiteGuard WP Plugin参照)
・メールアドレスを登録して、本登録を完了する
(ダウンロードはコチラ)
プラグイン以外でできるWordPressのセキュリティ対策
プラグイン以外でできるセキュリティ対策は下記3つです。
・常に最新バージョンに更新する
・サイトを常時SSL化する
・パスワードを周期的に変更する・または強化する
順番に解説していきます。
常に最新バージョンに更新する
WordPress本体・プラグイン・実装テーマは全て最新バージョンに更新すべきです。
理由は、アップデートが行われる理由の1つに『最新のセキュリティ対策』が挙げられるからです。
つまり、アップデートをせずに放置することは最新の手法によるサイバー攻撃を受ける可能性があるということ。
簡単に行えるセキュリティ対策ですので、忘れないように更新しましょう。
サイトを常時SSL化する
SSL化(http⇒http”s”)とはサイトの通信を暗号化させることです。
httpのままだと通信内容を盗まれる可能性があり、セキュリティ対策の一環としてSSL化したサイトが増えています。
また、SSL化はSEO対策にも有効です。
事実、Googleの検索順位を決めるアルゴリズムの中には「安全な接続の使用有無(SSL化)」が明記されています。(詳細は、Google検索セントラルブログを参照)
SSL化するには『SSLサーバー証明書』が必要で、契約中のサーバー管理画面で手続きが必要です。(手続き例:エックスサーバー)
パスワードを周期的に変更する・または強化する
例えば、パスワードによる下記のようなセキュリティ対策は最も簡単に行えます。
- 1ヵ月に1回変更する
- 大文字・小文字・記号入りの8文字以上にする
パスワードに会社の設立年月日を用いたり、誰でも推測できる簡単なローマ字や数字の羅列は危険なので避けましょう。
WordPressのセキュリティ対策を行う際の注意点
セキュリティ対策を行う際の注意点は下記2つです。
・プラグインの導入は必要最低限に抑える
・テーマやプラグインは信頼性の高いサイトから入手する
プラグインの導入は必要最低限に抑える
プラグインの導入は必要最低限に抑える必要があります。
なぜなら、多くのプラグインを導入すると画面の表示速度が低下したり、管理の手間が増えるからです。
また、同じ機能をもったプラグインを導入するとトップ画面が崩れるなどの動作不良を起こす可能性もあります。
プラグインの導入は必要最低限に抑えて、読者の利便性を追究しましょう。
テーマやプラグインは信頼性の高いサイトから入手する
テーマやプラグインをインターネット上から入手する際は、サイトの信頼性を十分確認しましょう。
理由は簡単で、入手したテーマやプラグインがサーバー攻撃の入り口となる可能性があるからです。
信頼性の高いサイトとは、例えばWordPress公式サイトや、プラグインを開発した企業の公式サイトを指します。
サイバー攻撃のリスクを避けたい方は、WordPressの管理画面から入手して下さい。
WordPressの管理画面から入手できるテーマやプラグインは、WordPress社が公式に認めている証なので安全に使用できる可能性が高いです。
手放しで安心安全にサイト運用・管理するなら、SPIRALマネージドクラウド
当社のご提供する 「SPIRALマネージドクラウド」は、最高水準のセキュリティを誇るCMSホスティングサービスと、セキュリティのプロフェッショナルによる脆弱性診断・アップデート対応などの保守運用サービスの両方を提供し、手放し運用を実現するフルマネージドサービスです。
Webサイトの運用に必要な対策をオールインワンでご提供。サーバーの各種設定や、パッチインストール作業、不正アクセス調査など、脆弱性対応から万が一のトラブル解決まで、豊富な経験を持つ専任のエンジニアが運用業務を全て代行します。
ローコード開発プラットフォーム スパイラル®と連携するプラグインを用意。官公庁、金融機関も採用する信頼のデータベースで、機密性の高い情報も安心して管理いただけます。個人情報などデータの登録、変更フォームはスパイラル®でセキュアに簡単導入可能。ログイン認証関連の機能も標準装備しており、サイト構築の工期を大幅に短縮できます。
セキュリティ設定チェックシートの用意や安全なWordPressプラグインの管理表など、豊富な運用実績によるノウハウでハイレベルなセキュリティ要求にも対応します。
また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。
サービスの詳細については「SPIRALマネージドクラウド」のページをご覧いただくか、サービス導入をご検討中の方はこちらからぜひお問い合わせください。
まとめ
繰り返しですが、自社サイトや読者を守るためにもWordPressのセキュリティ対策は重要です。
本記事で紹介したプラグインを導入することで、確実なセキュリティ対策が行えます。
ただし、プラグインを導入しすぎるデメリットも存在しますので、必要な機能や使いやすさを見極めながら導入していきましょう。
