「WordPressならセキュリティ対策は万全なはず…!」
そんな期待を抱いてはいませんか?
実は、WordPressはCMSの中でも最もハッキングやウィルスに感染するリスクが高いのです。
セキュリティ企業「Sucuri」の調査によると、2018年内にウィルス感染した25,466件のWEBサイトの内、90%がWordPressを使用していたとのことです。
参考:Website Hack Trend Report 2018
利用者数が圧倒的に多いからこそ、サイバー攻撃の標的になりやすいのかもしれません。
では万が一、サイバー攻撃を受けた場合には、どのような損害があるのでしょうか?
・サイト乗っ取り
・個人情報漏洩
・データ改ざん
・ウィルス感染
このような被害を避けるためにも、しっかりとセキュリティ対策しておく必要があります。
しかし、初心者にとって、WEBサイトのセキュリティ対策と聞けば、特別なスキルや知識が必要なイメージを持たれるかもしれません。
確かに1からセキュリティ体制を敷くためには高度な技術が必要ですが、WordPressならプラグインを導入するだけで誰でも簡単に不測の事態を防ぐことができます。
そこで今回は、WordPress初心者でも簡単に設定できるプラグインを、5つに絞ってご紹介します。
各プラグインの特徴や機能性、使いやすさを詳しく解説したいと思います。
主なサイバー攻撃と対策
プラグインの導入後は、それぞれのサイトに適した設定をしなければなりません。
そのため、WordPressのセキュリティ対策について基礎知識を押さえておいた方が良いでしょう。
この章では、WordPressでサイトを運営する上で、一般的にどのようなサイバー攻撃があるのか解説します。
また、各サイバー攻撃に対するプラグインのセキュリテイ機能を確認しておきましょう。
1.不正アクセス
不正アクセスとは、サイト運営者や権限ユーザーとは無関係な人物が、管理画面へのアクセスを試みる行為です。
中でも「ブルートフォース攻撃」「パスワードリスト攻撃」が有名で、これらの主な目的は個人情報の漏洩やデータの改ざん等です。
不正アクセスを防ぐには以下の機能が有効です。
・ログイン画面のURL変更
・ログイン画面へのアクセス制限
・複数回のログイン失敗で一時的にロック
2.脆弱性を利用した攻撃
サイバー攻撃のターゲットはログイン画面だけではありません。
悪意のある第三者は、サイト内のあらゆるページに「脆弱性」がないか探っています。
検索フォームやコメント・掲示板などの入力欄も、サイバー攻撃の恰好の的です。
例えば、検索フォーム等の入力欄からデータベースを操作する言語を送信して、データベースを操作する方法(SQLインジェクション)があります。
最悪の場合、ウィルス感染や個人情報漏洩が発生します。
【SQLインジェクション】
また、掲示板やコメント欄等に不正スクリプトを送信し、読者のブラウザにスクリプトを実行させる方法(クロスサイトスクリプティング)もあります。
これにより、一般のサイト利用者がフィッシング詐欺の被害に合ったり、読者の個人情報が盗まれてしまう恐れがあります。
【クロスサイトスクリプティング】
サイトだけでなく読者も危険に晒されてしまうため、必ず安全性を確保しておかねばなりません。
・WAF(ウェブアプリケーションファイアウォール)
※WAFに対応しているレンタルサーバーもあり、プラグインによる対策が不要になる場合もあります。
3.コメントスパム
コメントスパムとは、記事内容とは関係の無いコメントのことです。
読者への「フィッシング詐欺」や「宣伝・売名」「架空請求」などが主な目的です。
基本的にサイト内部のデータが損害を受けることはありませんが、読者に安全に利用してもらうためにも、コメントスパムの対策を怠らないようにしましょう。
・自動フィルタリング機能
インストールする前の注意点
プラグインをインストールする前に以下の2点に注意してください。
① プラグインをインストールし過ぎない
プラグインをたくさんインストールしてしまうと、その分サーバー容量に負担がかかります。
また、他のプラグインとプログラムが重複すると、不具合が発生する可能性があります。
そのため、プラグインの数量は自分で管理できる範囲に留めておきましょう。
② バックアップを必ず取る
新規プラグインをインストールした時、他のプラグインやテーマ、WordPressバージョンとの親和性が低いと、正常に機能しない場合があります。
最悪の場合、サイト全体が表示されなくなるといった不具合に繋がります。
そのため、プラグインの導入前に必ずバックアップを取っておくことをオススメします。
WordPressをバックアップする方法については、以下の講座を参考にしてみてください。
セキュリティを高めるプラグイン おすすめ5選
セキュリティ対策に役立つプラグインは、「WordPress.org」で数多く提供されています。
例えば、以下のようなプラグインが有名です。
・SiteGuard WP Plugin
・iThemes Security
・All In One WP Security & Firewall
・Wordfence Security
・BulletProof Security
・Google Authenticator
・Akismet
ただし、そのほとんどが日本語に対応していません。
そのため、日本人ユーザーの中にはセキュリティ対策に抵抗感を持っている方も多いと思います。
そこで、プラグインを厳選する上で、以下の優先基準を設けました。
①WordPress最新版との互換性を確認できるプラグイン(19年12月時点)
②日本語対応
③初心者でも扱いやすい
④有効インストール数が多く、ユーザー評価が高いプラグイン
日本語対応を必須条件にしてしまうと、ほとんとのプラグインがご紹介できなくなってしまうため、あくまで「優先ポイント」としました。
日本語表記でなくても、③初心者でも扱いやすく④有名なプラグインであれば、ネット上の日本語情報を頼りに、適切な設定ができるかと思います。
上記のポイントからプラグインを選考した結果、セキュリティ対策プラグインは以下の5つがオススメです。
1.SiteGuard WP Plugin:日本語完全対応。不正アクセス対策に特化したプラグイン。
2. iThemes Security:日本語一部対応。あらゆるセキュリティ対策が詰め込まれたオールインワンプラグイン。マルウェアスキャンを利用できる。
3.All In One WP Security & Firewall:日本語非対応。iThemes Securityと並ぶ有名オールインワンプラグインの1つ。簡易的なファイアウォールを利用できる。
4.Wordfence Security:日本語非対応。SQLインジェクションやクロスサイトスクリプティング等の攻撃から守るWAFに対応。
5.Akismet:コメントスパムを撃退するプラグイン
一つ一つ特徴を詳しくご紹介します。
1.SiteGuard WP Plugin ―日本産プラグインが不正アクセスから守る
WordPressユーザー評価(5点満点):4.5 (8件の評価に基づく)
有効インストール数::200,000+
SiteGuard WP Pluginは、セキュリティ対策では珍しい国産プラグインです。
そのため、項目名だけでなく説明文や操作方法もすべて日本語に対応しています。
見やすいシンプルな管理画面は、初心者にとっても扱いやすいでしょう。
SiteGuard WP Pluginは、主に不正アクセスに対するセキュリティを強化します。
ログイン試行回数の制限や、ログイン画面URLの変更、画像認証の追加等、不正アクセスを徹底的にシャットアウトできます。
セキュリティ対策の「入門」にオススメします。
・ログイン画面のURL変更
・ログイン画面へのアクセス制限
:指定したIPアドレス以外のアクセスには404ページを表示させる。
・ログイン時の画像認証(ひらがな対応)
:ログイン時にユーザー名、パスワードのほかに画像認証を追加する。画像に書かれている文字を正しくフォームに入力しないとログインできない。そのため、一度に大量の攻撃を試みる自動ツール等による攻撃を防ぐことができる。画像に書かれている文字には「ひらがな」を選択でき、海外のハッカーにも効果てきめんだ。また、ログインだけでなくコメント送信時にも適用できる。
・ログイン試行回数制限
:ログイン失敗が指定回数に達するとアクセス制限を実行。
・ログイン詳細エラーメッセージを無効化
・ログイン時のメール通知
・不正ログインの履歴確認
・2度目のログインで成功
:ユーザー名、パスワードが正しくても意図的に一回目のログインを失敗させる。
・日本語完全対応
・不正アクセスを万全な体制で対策できる
・不正ログイン以外のセキュリティ対策には適さない
・オールインワン系のセキュリティ対策プラグインと重複する機能が多い
2.iThemes Security -初心者でも直感的に設定できるプラグイン
・WordPressユーザー評価(5点満点):4.5(3,822件の評価に基づく)
・有効インストール数:900,000+
iThemes Securityは様々な攻撃を想定したセキュリティ対策が1つに詰め込まれたオールインワンプラグインです。
設定画面の項目名や説明書きは一部英語表記ですが、ほぼ日本語に対応しています。
パネル式の設定画面は直感的に操作でき、ストレスを感じさせません。
主に不正アクセスや怪しい利用者(bot)のロックアウトに、高い効果を発揮します。
また、セキュリティチェックやマルウェアスキャンなどサイト内のセキュリティ状況をチェックできる機能が付いています。
対策~管理までサイト内のセキュリティを総合的に強化したい方にオススメします。
・大量の404エラーを取得しているユーザーをロック
:このようなユーザー(bot)はサイト内の脆弱性を調べている可能性が高いため、ブロックする必要がある。
・特定時間外の管理画面へのアクセスを禁止
:ただしサイト管理者も締め出されるのが難点。
・サーバー上のファイルの変更を検知
:ファイルの変更がサイト運営者によるものか確認を通知
・ネットワークブルートフォース保護
:他サイトで侵入を試みたIPアドレスをロックアウト
・コメントスパム対策
:botからのコメントを拒否
・セキュリティチェック
:プラグインが推奨するセキュリティ対策がサイト内できちんと行われているか確認
・マルウェアスキャン
:サイト内の「マルウェア感染状態」や「サイト内エラー」「古いソフトウェアが使われていないか」を確認
・データベースのバックアップ
・特定ユーザーのサイト閲覧を禁止
:特定のIPアドレスまたはユーザーエージェントを指定し、サイトの閲覧を禁止する
・ログイン画面のURL変更
・ログイン試行回数制限
・ログイン詳細エラーメッセージを無効化
・日本語対応(一部英語表記)
・パネル式の管理画面が見やすい
・マルウェアスキャンでサイト内のセキュリティ状態をチェックできる
3.All In One WP Security & Firewall ―大事なファイルの不正操作をシャットアウト
WordPressユーザー評価(5点満点):5(918件の評価に基づく)
有効インストール数:800,000+
All In One WP Security & Firewallは、iThemes Securityと同じく総合的なセキュリティ対策ができるプラグインです。
不正アクセス対策に加えて「簡易的なファイアウォール機能」が搭載されており、悪意のある第三者による重要な設定ファイルへのアクセスを遮断します。
管理画面への侵入だけでなく、重要なファイルへのアクセスや変更を防ぎたいユーザーにオススメです。
しかし、日本語には対応していないため、初心者には扱いにくいかもしれません。
・管理画面でファイルの編集を禁止
:WordPressの管理画面ではテーマやプラグイン等のファイル編集が可能である。悪意のある第三者による不正アクセスによって、これらのファイルに変更が加えられないよう、あらかじめ編集を禁止する。
・簡易的なファイアウォール機能
:サーバー内の設定ファイルに悪意のある第三者がアクセスするのを防ぐ。
・テキスト選択の禁止
:テキストの選択や右クリック、コピーを禁止
・コメントスパム対策
:コメント欄に足し算認証を追加し、botによる送信を排除する。
・WordPressのバージョン情報を隠す
:悪意のある第三者はバージョン情報をもとにWordPressの脆弱性を発見。ソース内に記載されているバージョン情報を削除。
・特定ユーザーのサイト閲覧を禁止
・ログイン画面のURL変更
・ログイン試行回数制限
・セキュリティチェック
・データベースのバックアップ
・各種ファイルの編集を制限し、コンテンツの改ざん等を未然に防げる
・ファイアウォールによって大事な設定ファイルを守れる
・日本語に対応していない
4.Wordfence Security ―WAF機能で脆弱性を補強
WordPressユーザー評価(5点満点):5(3,470件の評価に基づく)
有効インストール数: 3万以上
Wordfence Securityはサイト内にWAFを適用できるプラグインです。
WAFは主にサイト内の脆弱性をついたサイバー攻撃に有効です。
データベースの不正操作やウィルスの感染等を未然に防ぎます。
ただし、主要なレンタルサーバーではWAFがサービスとして提供されていることが多いため、機能が重複するようであればインストールする必要はありません。
・WAFを利用できる
:WordPressの脆弱性を衝いた攻撃からサイトを保護
・WordPressのバージョン情報を隠す
・ログイン試行回数制限
・マルウェアスキャン
・WAF機能によって、WordPressの脆弱性を補強できる
・アカウント登録が必須
・日本語に対応していない
5.Akismet ―コメントスパム対策ならコレ!
WordPressユーザー評価(5点満点):4.5(843件の評価に基づく)
有効インストール数:5万以上
Akismetは「wordpress.com」の運営会社が提供しているプラグインです。
コメントスパム対策では、Akismetの右に出るプラグインはありません。
コメントの送信内容をグローバルデータベースと照合し、スパムコメントを判別します。
すべて自動化されているため、サイト運営者はいちいちコメント内容をチェックする手間を省けます。
Akismetの詳しい活用方法を知りたい方は以下の講座をご覧ください。
・【Akismet】コメントスパムを撃退するプラグイン【WordPress】
・コメントスパム対策
:スパムコメントを自動的に振り分け「スパム」フォルダに転送。
・コメントスパムを判定する精度が高い
・アカウント登録が必須
・商用サイトでは、有料版を使う必要がある
「WordPressのセキュリティ対策」のおさらい
・CMSの中でもWordPressはサイバー攻撃の標的になりやすい
・サイバー攻撃によって「データ改ざん」や「個人情報漏洩」「ウィルスの感染」等の損害を受ける可能性がある。
・WordPressはプラグインを使ってセキュリティを強化できる。
・WordPress初心者のセキュリティ対策には「SiteGuard WP Plugin」がオススメ。
・「iThemes Security」は不正アクセス対策からサイト内のセキュリティ管理まで総合的なセキュリティ対策ができる。
・ 総合的なセキュリティ対策に加え簡易的なファイアウォールを備えた「All In One WP Security & Firewall」は、設定ファイルやコンテンツデータの改ざんの防止に優れている。
・ WAFをサイトに反映できる「Wordfence Security」は、データベースの不正操作やウィルス感染等に有効。
・ コメントスパム対策には「Akismet」が最適。
関連記事
・【WordPress】失敗しないプラグインの選び方 必須10種目のおすすめ紹介
