文中の説明画像をクリックすると拡大します。
WordPressのセキュリティプラグイン
世界中で普及しているWordPressには、セキュリティ対策のためのプラグインがいくつかあります。
プラグインとしてセキュリティ対策を導入することで、運営しているWebサイトのセキュリティを向上させることができます。
クラッカー(悪意を持ったハッキングを行う者)にとって、セキュリティ対策がされていないWordPressのWebサイトは、かっこうの標的です。
WordPressに対するサイバー攻撃として「不正なログイン」「Webサイトの改ざん」「他のWebサイトへの攻撃の踏み台」などがあり、考えるだけでもぞっとしますね。
個人が運営しているブログなら、何かあってもまだ被害は少ないかもしれません。
しかし、会社で運営しているコーポレートサイトやショッピングカートを内蔵したWordPressサイトでは、ビジネスが停止したり、クライアントの個人情報が漏洩したりするなどの被害が考えられます。
そうなると企業は金銭的なものだけでなく、社会的なダメージを受けることになります。
そのような事態にならないためにも、WordPressで運営しているWebサイトは、プラグインを導入するなどの方法によりセキュリティ対策を強化する必要があるのです。
ここでは、WordPressにセキュリティ対策を導入するためのプラグインを、3つ紹介します。
国産プラグイン「SiteGuard WP Plugin」
SiteGuard WP Pluginは、JP-Secure社が提供している国産のWordPressセキュリティプラグインです。
管理画面「プラグイン」→「新規追加」で検索して、インストールできます。
使い方はとても簡単で、プラグインをインストールして有効化するだけで、いくつかのセキュリティ対策が自動的にオンになります。
下図は、SiteGuard WP Pluginの管理画面の全体イメージです。
このように、SiteGuard WP Pluginは日本語で書かれているので、導入や設定は比較的容易です。
筆者は、基本的なセキュリティ対策機能をそろえているこのSiteGuard WP Pluginを、最もよく導入してます。
導入時の注意点として、SiteGuard WP Pluginの数ある機能の一つに、プラグインをインストールして有効化すると、自動的にログインページのURLが変更されるという動作があることです。
WordPressにおけるデフォルトのログインURLは「wp-login.php」という名前ですが、この名前を変更することで、管理者以外からのログインページへのアクセスを防ぐのです。
ログインページの変更は、機械的に行われる攻撃の対象になる機会を減らすことにつながるため、不正アクセス防止にとても有効です。
例えるならば、家に入るための扉を隠すイメージです。
そのため、変更後のログインURLをメモを取ったり、ブックマークに追加するなどで保存しておく必要があります(管理者がログインできなくなることを避けましょう)。
ログインページが変更されたときには、プラグイン画面上部に「ログインページURLが変更されました。」というメッセージが出て、その右側の「新しいログインページURL」をクリックすると、変更後のログインページに移動します。
同時に、管理者あてにメールが送信されるのと、ダッシュボードの「SiteGuard」→「ログインページ変更」にて、自分で変更後のURLを確認することができます。
なお、自動的に表示されたURLは、任意のURLに変更することも可能です。
使用方法の詳細は、こちらをご覧ください。
SiteGuard WP Pluginの使い方
WordPressのセキュリティをトータルでサポート「All In One WP Security & Firewall」
WordPressに、トータルなセキュリティ機能を提供するプラグインが「All In One WP Security & Firewall」です。
管理画面「プラグイン」→「新規追加」で検索して、インストールできます。
「Security Strength Meter」という数値で、プラグインを利用したセキュリティ対策がどの程度、有効になっているのか一目でわかるようになっています。
また、プラグインの機能として、WordPressのサイトにアクセスするための「.htaccess」や「wp-config.php」といった設定ファイルをローカルにダウンロードしてバックアップする機能があります。
さらに、データベースのテーブルのプレフィックス(テーブル名の先頭の文字列)を変更する機能や、ファイルの権限を変更する機能など、かゆいところに手が届くセキュリティプラグインです。
多彩な機能を持つセキュリティプラグインですが、管理画面がすべて英語での操作になるというのがデメリットです。
パネル状でわかりやすい「iThemes Security」
セキュリティ機能をパネル状でわかりやすくレイアウトされているのが「iThemes Security」です。
管理画面「プラグイン」→「新規追加」で検索して、インストールできます。
プラグインのように各セキュリティ機能の「有効化」「無効化」を操作できます。
初級者の方でも簡単に使えるように「セキュリティチェック」機能を利用できます。
さらに、有料プランを購入することで、2段階認証やマルウェアのスキャン機能などが使えるようになります。
管理画面はほとんどが日本語ですが、一部英語のままの箇所もあります。
さらに、設定の項目によっては初級者の方にとって難しい項目があるという点がデメリットといえます。
管理画面の説明を読んでもよくわからない設定は、行わない方がよいでしょう。
セキュリティプラグインの機能、どこに注目したらよい?
ここまでに紹介してきたものだけでなく、WordPressのセキュリティプラグインはいくつもあります。
当サイトとしては、WordPressのセキュリティ機能として以下の点が外せないポイントだと考えます。
- ログインページ名を「wp-login.php」から変更
- ログインロック(ログイン失敗を繰り返すとアクセスブロックされる)
- ログイン履歴を保存する機能
最低でもこの3つのセキュリティ機能は有効にしたほうがよいでしょう。
ログインページ名を変更して不正アクセスの機会を減らす。「ブルートフォースアタック[※1]」対策としてログインロック機能を使う。
さらにログイン履歴を保存することで、不正アクセスを検知する。
ここまでやっておけば、不正アクセス対策として最低限必要な対策は取れると考えられます。
※1:ブルートフォースアタック:
パスワードの解析方法の一つ。総当たり攻撃とも呼ばれ、数字や英文字など組み合わせてパスワードとして使用して不正アクセスを試みる方法。
セキュリティプラグインを導入する時の注意点
WordPressのセキュリティを向上させるために、セキュリティプラグインを導入することはおすすめですが、一つ注意点もあります。
それは複数のセキュリティプラグインを同時に有効化しないことです。
セキュリティに限らないのですが、同じような機能を持つプラグインを同時に有効化してしまうと、機能が競合することがあり、正常に動作しなくなる可能性があります。
そうならないためにも、同じような機能を持つプラグインを同時に有効化させることは避けた方がよいでしょう。
まとめ
- WordPressのセキュリティ対策は、プラグインを使うと簡単にできる。
- セキュリティ対策プラグインは、一つにしぼって有効化しよう。
- セキュリティ対策プラグインの設定でよくわからない項目は、触らないようにしよう。