初級者~中級者向け

【危機管理】WordPressのセキュリティプラグイン教えて!

文中の説明画像をクリックすると拡大します。

LINEで送る
Pocket

この記事は約6分で読めます。

WordPressのセキュリティプラグイン

世界中で普及しているWordPressには、セキュリティ対策のためのプラグインがいくつかあります。プラグインとしてセキュリティ対策を導入することで、運営しているWebサイトのセキュリティを向上させることができます。

クラッカー(悪意を持ったハッキングを行う者)にとって、セキュリティ対策がされていないWordPressのWebサイトは、かっこうの標的です。WordPressに対するサイバー攻撃として「不正なログイン」「Webサイトの改ざん」「他のWebサイトへの攻撃の踏み台」などがあり、考えるだけでもぞっとしますね。

個人が運営しているブログなら、まだ被害は少ないかもしれません。しかし、会社で運営しているコーポレートサイトやショッピングカートを内蔵したWordPressサイトでは、ビジネスが停止したり、クライアントの個人情報が漏洩したりするなどの被害が考えられます。

そうなると企業は金銭的なものだけでなく、社会的なダメージを受けることになります。

そのような事態にならないためにも、WordPressで運営しているWebサイトは、プラグインを導入するなどの方法によりセキュリティ対策を強化する必要があるのです。

ここでは、WordPressにセキュリティ対策を導入するためのプラグインを、3つ紹介します。

国産プラグイン「SiteGuard WP Plugin」

SiteGuard WP Pluginは、JP-Secure社が提供している国産のWordPressセキュリティプラグインです。使い方はとても簡単で、プラグインをインストールして有効化するだけで、いくつかのセキュリティ対策が自動的にオンになります。

注意点として、プラグインをインストールして有効化すると、自動的にログインページのURLが変更されることです。そのため、有効化すると管理画面に変更後のログインURLが表示されたあと、メモを取ったり、ブックマークに追加したりするなどの作業が必要です。

ただ、インストール→有効化したあとに、すぐに左メニューのSiteGuard を開き、設定状況で「ログインページ変更」のチェックをはずせばOKです。ログインURLは変わりません。

WordPressにおけるデフォルトのログインURLは「wp-login.php」という名前ですが、この名前を変更することで、管理者以外からのログインページへのアクセスを防ぐことができます。例えるならば、家に入るための扉を隠すイメージですね。

SiteGuard WP Pluginの管理画面です。このように日本語で書かれているので、導入や設定は比較的容易だと思います。デメリットとして、セキュリティ上級者が求めるような高度なカスタマイズができないという点があげられます。

しかし実運用上でそこまでのセキュリティ機能のカスタマイズが必要になるケースはあまりありません。筆者は日本語でも使えて、基本的なセキュリティ対策機能をそろえているSiteGuard WP Pluginを使う事が多いです。

「SiteGuard WP Plugin」は、管理画面「プラグイン」→「新規追加」で検索して、インストールできます。

WordPressのセキュリティをトータルでサポート「All In One WP Security & Firewall」

WordPressに、トータルなセキュリティ機能を提供するプラグインが「All In One WP Security & Firewall」です。

「Security Strength Meter」という数値で、プラグインを利用したセキュリティ対策がどの程度、有効になっているのか一目でわかるようになっています。

また、プラグインの機能として、WordPressのサイトにアクセスするための「.htaccess」や「wp-config.php」といった設定ファイルをローカルにダウンロードしてバックアップする機能があります。

さらに、データベースのテーブルのプレフィックス(テーブル名の先頭の文字列)を変更する機能や、ファイルの権限を変更する機能など、かゆいところに手が届くセキュリティプラグインです。

多彩な機能を持つセキュリティプラグインですが、管理画面がすべて英語での操作になるというのがデメリットです。

「All In One WP Security & Firewall」は、管理画面「プラグイン」→「新規追加」で検索して、インストールできます。

パネル状でわかりやすい「iThemes Security」

セキュリティ機能をパネル状でわかりやすくレイアウトされているのが「iThemes Security」です。プラグインのように各セキュリティ機能の「有効化」「無効化」を操作できます。

初級者の方でも簡単に使えるように「セキュリティチェック」機能を利用できます。

さらに、有料プランを購入することで、2段階認証やマルウェアのスキャン機能などが使えるようになります。

管理画面はほとんどが日本語ですが、一部英語のままの箇所もあります。さらに設定の項目によっては初級者の方にとって難しい項目があるという点がデメリットといえます。管理画面の説明を読んでもよくわからない設定は、行わない方がよいでしょう。

「iThemes Security」は、管理画面「プラグイン」→「新規追加」で検索して、インストールできます。

セキュリティプラグインの機能、結局どれがいい?

ここまでに紹介してきたものだけでなく、WordPressのセキュリティプラグインはいくつもあります。「結局どれを使えばいいのかわからない!」という人のために、個人的な意見になりますが、WordPressのセキュリティ機能として外せないものを紹介します。

  • ログインページ名を「wp-login.php」から変更
  • ログインロック(ログイン失敗を繰り返すとアクセスブロックされる)
  • ログイン履歴を保存する機能

最低でもこの3つのセキュリティ機能は有効にしたほうがよいでしょう。

ログインページ名を変更して不正アクセスの機会を減らす。「ブルートフォースアタック[※1]」対策としてログインロック機能を使う。さらにログイン履歴を保存することで、不正アクセスを検知する。ここまでやっておけば、不正アクセス対策として最低限必要な対策は取れると考えられます。

※1:ブルートフォースアタック
パスワードの解析方法の一つ。総当たり攻撃とも呼ばれ、数字や英文字など組み合わせてパスワードとして使用して不正アクセスを試みる方法。

セキュリティプラグインを導入する時の注意点

WordPressのセキュリティを向上させるために、セキュリティプラグインを導入することはおすすめですが、一つ注意点もあります。それは複数のセキュリティプラグインを同時に有効化しないことです。

セキュリティに限らないのですが、同じような機能を持つプラグインを同時に有効化してしまうと、機能が競合することがあり、正常に動作しなくなる可能性があります。そうならないためにも、同じような機能を持つプラグインを同時に有効化させることは避けた方がよいでしょう。

 

まとめ

  • WordPressのセキュリティ対策は、プラグインを使うと簡単にできる。
  • セキュリティ対策プラグインは、一つにしぼって有効化しよう。
  • セキュリティ対策プラグインの設定でよくわからない項目は、触らないようにしよう。
LINEで送る
Pocket