WordPressのセキュリティ対策におすすめプラグイン5選
あなたはWordPressで作った自身のサイトにセキュリティ対策を施していますか?
WordPressでサイト運営するなら、セキュリティ対策は避けては通れない道です。
本記事では、WordPressに仕掛けられるサイバー攻撃の内容や、おすすめのセキュリティ対策用プラグインを5つ紹介していきます。
セキュリティ対策を万全にしておくことは、自分のサイトだけではなくあなたの読者を守ることにも繋がるのです。
ぜひ最後までお読みください。
参考:WordPressが改ざんされた時の対策と検知するためのプラグインを紹介
無料で簡単インストール。
オープンソースのメールフォームCMS
「EasyMail(イージーメール)」を使ってみませんか?
改変でも、再配布でも、商用利用でも、有料販売でも、
自由に無料でつかうことができるメールフォーム!
目次
WordPressにはセキュリティ対策用のプラグインが必要不可欠!
WordPressでホームページを始めとするサイトを作る際、セキュリティ対策が必要不可欠です。
もしセキュリティ対策を怠ったまま運営をしてしまうと、外からのサイバー攻撃により自分のサイトだけではなく、サイトに訪れた読者にも被害が及ぶ可能性があります。
サイバー攻撃は、サイト内の情報にいたずらしたり、読者の個人情報を抜き取ることが目的です。
ですから、WordPressにはセキュリティ対策用のプラグインを導入する必要があります。
WordPressはセキュリティに弱い!?
2020年現在、世界中のホームページサイトでWordPressが利用されています。
気になるシェア率は驚きの37%です。(参考:kinsta『WordPressの市場シェア』より)
言い換えれば、インターネット上にあるWebサイトの約3分の1がWordPressを利用していることになります。
そんなWordPressは、攻撃者としては非常に狙いやすいCMS(コンテンツ・マネジメント・システム)の1つです。
なぜなら、WordPressに関する弱点を1つでも知れば、多くのホームページを攻撃対象にすることができるからです。
WordPressのセキュリティを脅かすサイバー攻撃とは?
次に、WordPressに仕掛けられるサイバー攻撃にはどんなものがあるのかを解説していきます。
セキュリティ対策のプラグインを導入する前に、そもそもどんなサイバー攻撃があるのか知っておくことは非常に大切です。
WordPressに仕掛けられるサイバー攻撃は主に3種類に分けられます。
以上の3種類を詳しく解説していきます。
1.不正アクセス
1つ目は「不正アクセス」です。
不正アクセスとは、サイト運営者や権限を持っているユーザーとは関係のない人物が、管理画面へのアクセスをしようとする行為のことです。
不正アクセスの目的には、個人情報の漏洩やデータの改ざんなどが挙げられます。
不正アクセスを防ぐためには、以下の対策が有効です。
・ログイン画面のURLを変更する
・ログイン画面へのアクセスを制限する
・複数回ログインを失敗すると一時的にロックがかかるようにする
2.脆弱性を利用した攻撃
2つ目は「脆弱性を利用した攻撃」です。
悪意のある人間は、サイト内のあらゆるページに「脆弱性」がないか探し回っています。
特に、検索フォーム・コメント・掲示板などの入力欄は、サイバー攻撃に遭いやすいです。
例えば、検索フォームの入力欄から悪意のある言語を送信して、データベースを操作する方法があります。(SQLインジェクション)
SQLインジェクションをされると、ウイルス感染や個人情報が漏洩してしまう危険性が高いです。
また、掲示板・コメント欄に不正なスクリプト付きのリンクを送信し、クリックしてしまった読者のブラウザを攻撃する方法もあります。(クロスサイトスクリプティング)
クロスサイトスクリプティングをされると、読者がフィッシング詐欺の被害に遭ったり、個人情報が盗まれてしまうでしょう。
3.スパムコメント
3つ目は「スパムコメント」です。
スパムコメントとは、記事内容とは関係のないコメントのことをいいます。
目的としては、フィッシング詐欺・売名・架空請求などです。
基本的にはサイト内部のデータの被害はありませんが、読者に安全に利用してもらうためにも、スパムコメントの対策を怠らないようにしましょう。
WordPressのセキュリティ対策におすすめのプラグイン5選
では、いよいよWordPressのセキュリティ対策におすすめのプラグインを紹介していきます。
プラグインは全部で5つです。
厳選する上で、
・できるだけ日本語に対応したプラグインを選ぶ
・初心者でも扱いやすいプラグインを選ぶ
ことを意識しました。
では、1つずつ見ていきましょう。
おすすめプラグイン1:SiteGuard WP Plugin
おすすめのプラグイン1つ目は「SiteGuard WP Plugin」です。
基本的なセキュリティ対策はこれ1つで行うことができます。
国産なのでもちろん日本語対応ですし、初心者でも簡単に使うことができますよ。
プラグインをインストールして有効にするだけで、セキュリティ対策が機能するところも嬉しいポイントです。
/wp-admin/以降のフォルダにアクセス制限をかける機能
サイバー攻撃(不正アクセス)を防ぐためにデフォルトのwp-login.phpの名前を変更する機能
「ログインページ」や「パスワード確認ページ」などに画像認証を設置できる機能
ログイン失敗を繰り返す接続元を一時的にロックする機能
ログインがあったことをメールで通知する機能
おすすめプラグイン2:iThemes Security
おすすめのプラグイン2つ目は「iThemes Security」です。
WordPressに対して様々なセキュリティ対策を施せるプラグインとして多くのユーザーに知られています。
管理画面は見やすく、直感的に操作しやすいです。
管理画面が一部日本語対応となっているのも、人気の理由の1つといえるでしょう。
推奨されている機能や設定を使用しているかどうか確認できる機能
悪意を持つユーザーが情報を傍受するのを自動的にブロックできる機能
WordPressのダッシュボードにアクセスできる時間を指定する機能
特定のIPアドレスでアクセスしてくるユーザーをブロックする機能
サイトのデータベースをバックアップする機能
ファイルの変更などを監視する機能
サイトへ手あたり次第にログイン情報を盗もうとする攻撃からサイトを守る機能
ブラウザとサーバーの間の安全な通信を保証するSSLを使用できる
WordPressのパスワードメーターで評価される協力なパスワードの使用をユーザーに強制する機能
おすすめプラグイン3:Wordfence Security
おすすめのプラグイン3つ目は「Wordfence Security」です。
「Wordfence Security」は、サイトがどの程度セキュリティ対策されているのかをチェックするプラグインです。
プラグインを有効化すると、WordPressからログイン通知のメールが送られてくるようになります。
WordPressを様々な方向からスキャンし、どれくらいセキュリティ対策がされているかを測る機能
IPアドレスなどを基に、特定のユーザーをブロックする機能
ログイン時に、ユーザーがロボットか人間かを確認できる機能
おすすめプラグイン4:Google Authenticator
おすすめのプラグイン4つ目は「Google Authenticator」です。
「Google Authenticator」は、不正アクセス防止を強化したいという方におすすめプラグインで、二段階認証を導入できる点が特徴です。
二段階認証とは、ID・パスワードの他に、セキュリティコードを追加するシステムのことをいいます。
万が一ログイン情報が漏れてしまっても、サイトへの不正アクセスを防ぐことができるので、必ず施しておきたいセキュリティ対策です。
おすすめプラグイン5:Akismet
おすすめのプラグイン5つ目は「Akismet」です。
スパムコメント対策では、一番といっていいほど有名なプラグインといえるでしょう。
コメントの送信内容をグローバルデータベースと照合し、スパムコメントがどうかを判別します。
すべて自動化されているので、サイト運営者はいちいちコメント内容を確認する必要はありません。
WordPressのセキュリティ対策はプラグインだけではない
WordPressのセキュリティ対策は、何もプラグインを導入することだけではありません。
次からは、プラグインを使わないWordPressのセキュリティ対策を紹介します。
以上の2つを詳しく解説していきます。
1.ファイル設定のアクセス権限をデフォルトから変更する
1つ目の対策は「ファイル設定のアクセス権限をデフォルトから変更すること」です。
WordPressには重要な設定ファイルがいくつも存在します。
中でも、「wp-config.php」は特に重要な設定ファイルです。
「wp-config.php」の中には、データベースにログインするためのIDとパスワードが記載されています。
もしその内容を見られると、勝手にデータベースにアクセスされてデータを削除されたり盗まれたりする可能性が高いです。
「wp-config.php」を守るためには、アクセス権限をデフォルトから変更する必要があります。
デフォルトのアクセス権限は「644」なので、ファイルの所有者以外も内容を見ることが可能な状態です。
そのアクセス権限を「644」から「600」に変更し、所有者だけが読み書きできる状態にしましょう。
2.WordPressやテーマを最新版にする
2つ目の対策は「WordPressやテーマを最新版にすること」です。
WordPressやWordPressのテーマは、随時アップデートされています。
機能の追加だけではなく脆弱性の修正も含まれているため、常に最新版に更新するようにしましょう。
ただ、使っているプラグインやテーマによってはアップデートをしたことで上手く動作しなくなる可能性があるので、バックアップを取っておいたり、子テーマを利用したりするなど慎重に対応しましょう。
WordPressのセキュリティ対策を万全にしてあなたのサイト・読者を守ろう
本記事では、WordPressにはセキュリティ対策用のプラグインが必要だということを解説してきました。
WordPressは世界中で利用されているだけありサイバー攻撃の対象にもなりやすいので、自分でしっかりセキュリティ対策をしましょう。
では、今回紹介したおすすめのプラグインを下記にまとめましたのでご覧ください。
以上の5つのプラグインを必要に応じて導入してみてくださいね。
また、プラグイン以外にも
・ファイル設定のアクセス権限をデフォルトから変更する
・WordPressやテーマを最新版にする
ことで、さらにセキュリティを強化することができます。
ぜひ、あなたのWordPressにも試してみてください。
最後までお読みいただきありがとうございました。
