WordPress・SEOの情報発信サイト

最終更新日:

ワードプレスのセキュリティ対策プラグイン10選と自己対策

ワードプレスセキュリティ対策イメージ

世界中の誰でも利用することができるオープンソース型のCMSであるワードプレス。

便利なプラグインやデザイン性の高いテーマが続々とリリースされる魅力的なサービスですが、オープンソースが故にワードプレス自体の脆弱性が見つかりやすくセキュリティ面はサイト運営者がしっかりと管理しておく必要があります。

会員制サイトやネットショップなど個人情報を扱うような場合はセキュリティ対策はしっかりとやっておかないといけないですね。

そんな自由で便利なワードプレスだからこそやっておいた方が良い、セキュリティ対策の方法を紹介します。

ワードプレスのセキュリティ自己対策

ワードプレスのバージョンを最新版にしておく

ワードプレスは世界中にいる悪質ハッカーからのハッキングの危険に常にさらされています。

そのためワードプレスではバージョンごとに脆弱性が発見される度に次バージョンをリリースしています。

常に最新のバージョンを保つことはセキュリティ面で見ても大切なことと言えますね。

外観を変更するテーマや便利な機能を追加することのできるプラグインも最新のバージョンを保つことによってウィルスなどの被害のリスクを抑えることができます。

尚、バージョンをアップデートする際はバックアップを取ることをおすすめします。

ファイルのアクセス権限設定

ワードプレスのファイルやディレクトリに対してのアクセス権を制限することでセキュリティを強化できます。「.htaccess」や「wp-config.php」をサイトにとって最適な設定にするようにしましょう。

パーミッションの設定はレンタルサーバーの管理画面やFTPツールなどで確認、変更することができます。

「.htaccess」で推奨されている数値は「604」か「606」です。

「wp-config.php」では「400」が推奨されています。ただし共有サーバーの場合「400」に設定できない場合も多いので、そんな時は「600」に設定するようにしてください。

これらの数値はレンタルサーバーやPHPのバージョンなどでも変わってくるのでサーバーやFTPツールで確認してみてください。

basic認証をつける

レンタルサーバーによってはBASIC認証をかけることができます。

BASIC認証とは最も一般的なサイトにアクセスした時にIDとパスワードを求められる認証方法のことです。

BASIC認証を各フォルダに設定することでフォルダがロックされますので、セキュリティを強化することができます。BASIC認証を利用するには.htaccessのファイルに追記などをする必要がありますが、メジャーなレンタルサーバーには、より簡単に設定できるようなメニューが用意されています。

ロリポップ!やxserverなどのメジャーなレンタルサーバーを利用している方はサーバーHPでマニュアルを確認してみてください。

ユーザーID=ブログ投稿者名は避ける

ブログ画面 ユーザーID

ワードプレスのデフォルト状態では記事の「投稿者」の名前がワードプレスにログインする際に使われる「ユーザーID」になっています。

なので初期の状態だと記事の下にログイン情報を晒してしまっていることになります。

このままだとセキュリティ面でもサイト自体の見栄えの面から見ても良くないので管理画面より変更することをおすすめします。

ユーザーをクリック

まずワードプレス管理画面より「ユーザー」をクリックします。

ユーザーが表示される

すると現在、サイトに登録されているユーザーが一覧で表示されます。

ここで変更したいユーザー名をクリックします。

ニックネームを設定

設定画面中央付近にユーザー名に関する項目が表示されています。

ユーザー名を変更することはできませんが、その代わりとなる「ニックネーム」を設定できます。ニックネームは何度でも変更できますので、ここで好きな名前を入力します。

次に「ブログ上の表示名」という項目がありますので、こちらからニックネームを選択することでサイト上であなたのユーザーIDが表示されることはなくなります。

ニックネームはサイトにちなんだものなどを設定しておくと読者からも分かりやすいのでおすすめです。

wp-adminフォルダはIPアドレスで制限する

ワードプレスの管理画面へのアクセスをIPアドレスを制限することによってセキュリティを強化することができます。

この方法を用いることによって特的のIPアドレス以外からアクセスがあった場合にログインができないようにしたり、IPアドレスの再設定をしないとログインできないように設定できます。

IPアドレスによるアクセス制限の設定方法はレンタルサーバーによって異なります。

ロリポップ!を例に説明すると以下のようになります。

特定のIPのみを許可

サーバーの管理画面より.htaccessを開くとデフォルトでは「Allow from IPADDRESS」の「IPADDRESS」の部分に自分のIPアドレスが入っていますが、これを特定のIPアドレスに設定することで、そのIPアドレス以外からのアクセスを制限することができるようになります。

特定の複数IPを許可

もしも複数のIPアドレスを許可したいという場合は上画像のように複数のアドレスを入力しておくことで設定することができます。

この他にも「国外のIPアドレス」を制限することなどもレンタルサーバーによってできるようになっています。

このような設定は非常にデリケートな設定ですので、知識の少ない方は直接ファイルをいじらずに設定できるような方法を試しましょう。

SSL通信を利用する

サイトで個人情報が抜き取られるリスクを減らすためには情報を暗号化できるSSLを導入することをおすすめします。この設定はレンタルサーバーのプランなどに依存するものが多く、無料のSSLから有料のもまで様々です。

主要のレンタルサーバーでは無料で利用できるSSLも用意されていることが多いので、まずはそちらを利用すると良いでしょう。

コーポレートサイトなどで個人情報を沢山扱うような場合は有料のものにすることでユーザーからの信頼感も上がりセキュリティ面から見ても非常に強固になりますので、おすすめです。

ワードプレスセキュリティ対策プラグイン10選

ここではワードプレスのセキュリティを強くするプラグインを紹介します。

サイトの目的に合わせて設定してみてください。

 

Akismet
https://ja.wordpress.org/plugins/akismet/

Akismet

沢山のスパムからサイトを守ってくれる「Akismet」

セキュリティ系では一番有名なプラグインです。無料から利用できますが、必要に応じてよりセキュリティを強化できる有料バージョンもあるのが嬉しいポイントです。

 

SiteGuard WP Plugin

https://ja.wordpress.org/plugins/siteguard/

SiteGuard WP Plugin

不正ログイン、管理画面への不正アクセス、スパムを防いでくれる「SiteGuard WP Plugin」
ログインしていないIPアドレスからのアクセスを防いだり、ログインページの名前を変更できる高機能なセキュリティ強化プラグインです。日本の企業が作っているのも魅力ですね。

 

iThemes Security
https://ja.wordpress.org/plugins/better-wp-security/

iThemes Security

セキュリティの強化に加えてデータベースのバックアップができる「iThemes Security」
1つのプラグインで多機能な設定ができる優秀なプラグインです。

こちらのプラグインはwpXレンタルサーバーなどの独自のセキュリティ対策やキャッシュ処理が設定されているさサーバーでは機能が干渉する恐れがあるので注意しましょう。

 

All In One WP Security & Firewall
https://ja.wordpress.org/plugins/all-in-one-wp-security-and-firewall/

All In One WP Security & Firewall

セキュリティ対策プラグインでも使いやすいと人気なのが「All In One WP Security & Firewall」

ログイン履歴の確認やユーザーネームやパスワードの変更などが簡単に設定できます。各ファイルのバックアップをしてくれるのも、このプラグインを利用するメリットですね。

 

Wordfence Security
https://ja.wordpress.org/plugins/wordfence/

Wordfence Security

WordPressの脆弱性スキャンができる「Wordfence Security」

リアルタイム・トラフィック解析機能が付いているので、現在アクセスしているユーザーやボットを関しすることもできます。

IPアドレスの制限機能もあるので、こちらで特定のアドレスからのアクセスを拒否することも可能という多機能なプラグインです。

 

WP Limit Login Attempts
https://ja.wordpress.org/plugins/wp-limit-login-attempts/

WP Limit Login Attempts

ログイン画面のログイン試行回数を制限できる「WP Limit Login Attempts」
このプラグインをインストールすることによってログイン画面を制限することができます。

試行回数も自分で設定できるのでセキュリティを強化するのに役立ちます。ログインに失敗したIPアドレスを記録しておく機能もあるので安心です。

 

Stealth Login Page
https://ja.wordpress.org/plugins/stealth-login-page/#reviews

Stealth Login Page

ログイン画面に2つ目のパスワードを追加できるWordPressプラグイン「Stealth Login Page」

通常は1つのパスワードのみで認証するログイン画面ですが、このプラグインを利用することによって2つのパスワードで認証することができるようになります。

他のセキュリティ系のプラグインと併用しても不具合がないのも魅力です。

 

Throws SPAM Away
https://ja.wordpress.org/plugins/throws-spam-away/

Throws SPAM Away

日本語のないコメントをスパムとして判断してくれるプラグイン「Throws SPAM Away」
もともと日本語で書いているブログのコメント欄に他言語のみでコメントが入っていたら変ですよね。

そんなコメントを自動的にスパムと判断してゴミ箱に移動してくれる優秀なプラグインです。今までにスパムとしてマークしたIPアドレスからのコメントも制限してくれるのも嬉しいポイントですね。

 

Captcha by BestWebSoft
https://ja.wordpress.org/plugins/captcha/

Captcha by BestWebSoft

ブログ記事のコメント欄に特定の答えを入力しないとコメントができないようにする「Captcha by BestWebSoft」

スパム対策のために簡単な計算の答えなどをコメントを投稿する際に入力させるようにするプラグインです。ロボットには答えの入力ができないためスパムからの被害を一気に減らすことができます。

答えの難易度を設定できるのも面白いですね。

 

ワードプレスのセキュリティ対策まとめ

日々、ウィルスやハッキングなどの被害と隣合わせにあるワードプレス。オープンソース型が故のセキュリティ問題と言えますが、オープンソース型だからこそ優秀なエンジニアがワードプレスの脆弱性を悪質なハッカーよりも先に見つけてくれる側面もあります。

セキュリティ強化の方法はレンタルサーバー側で設定できるものから、プラグインによる強化ができるものなど様々です。

サイトの安全性を保つのもサイト運営者の大きな責任です。しっかりとしたセキュリティ対策をして定期的にアップデートすることを心がけておきましょう。