WordPressのセキュリティは、時限爆弾のようなもの—いつ「爆発」するか誰にもわかりません。現に、1日に何千ものWordPressサイトがハッキングされています。これは深刻な問題です。問題の芽は早い段階で摘んでおきましょう!
WordPressサイトを保護するには、主に2つの方法があります。第一に、業界のベストプラクティスに従っている実績のある安全なホスティングサービスを選択すること。第二に、専用のサードパーティのセキュリティサービスを利用してサイトのセキュリティを強化すること。
WordPressのセキュリティとなると、WordfenceとSucuriが最も一般的な選択肢です。どちらにも、ウェブサイトを安全に保つための堅牢なセキュリティ機能が備わっています。多くの面で2つは似通っていますが、もちろん違いはあります。
WordfenceそれともSucuri?これら2つのうちどちらがあなたのウェブサイトに適しているのか、決めかねているでしょうか?それなら、この記事をご活用ください。機能、パフォーマンス、価格などなど、それぞれの面から比較するために、両方を徹底的に使い倒しました。
ここにある豊富な情報を参考にして、是非ともあなたにとって最適な方をお選びください。
宜しいですか?それでは参りましょう!
WordPressセキュリティの基本
WordPressは、世界で最も人気のあるコンテンツ管理システム(CMS)です。 あまりにも人気が高く、実際、世界の35%を超えるウェブサイトで使用されています。そんな多大な人気にはトラブルも伴います!
世界のWordPressサイトはハッカーによる絶え間ない脅威にさらされています。GoDaddy Securityのレポートによると、2018年にハッキングされたすべてのCMSプラットフォームのうち90%がWordPressサイトでした。Googleだけで毎日10,000のウェブサイトをブラックリストに登録(マルウェアのホスティングと拡散を行うもの)しており、ブラックリストに登録されたサイトはオーガニックトラフィックの最大95%を失う可能性があります。
ハッキングされたWordPressサイトの41%で、 ホスティングプラットフォームの脆弱性が原因となっています。したがって、最初から安全なWordPressホスティングプラットフォームを選んでおくことで多くのトラブルが回避できるということです。
さらに驚くべきことに、サイバー攻撃を受けてから6か月以内にその内の中小企業の60%が閉鎖を余儀なくされています。ハッキングのターゲットの大部分は中小企業なので、サイトのセキュリティを確保することは非常に重要です。
ハッカーはどのようにしてWordPressサイトに攻撃を仕掛けるのか
古いバージョンの WordPressの脆弱性によりハッキングされたWordPressサイトはたったの36.7%です。WordPressサイトの主な攻撃の対象となったのは、その拡張可能なコンポーネント、つまりプラグインとテーマです。
プラグインは特に最大のリスクです!KinstaのWordPressセキュリティについての記事でご紹介しているように、既知および未知の脆弱性を持つプラグインがWordPressハッキング対象の大部分を占めています。Wordfenceの調査では、これが既知のすべてのバックドアの55.9%を占めることがわかっています。
弱いパスワードを利用したブルートフォース攻撃は、それに次ぐ大きな脅威です。ハッキング試行全体の16.1%を占めています。同じ調査で、別の衝撃的な統計も明らかになっています。ハッキングされたウェブサイトの所有者の61.5%が、自分のサイトが被害に遭っていることすら知らなかったとのこと。
WordPressサイトを保護する方法
WordPressサイトをサイバー攻撃から安全に守る3つの主要な手順をご紹介します。
予防
生物学的疾患であれデジタルマルウェアであれ、予防は常に治療を上回ります。
WordPressは無料ですが、WordPressサイトを構築し、それを保護、維持するには費用がかかります。そして悲しいことに、多くの場合、セキュリティの優先順位はウェブサイトを構築する際に最下位に位置します。
WordPressコアチームは、WordPressの安全性確保を高いレベルで実施しています。しかし、前述のように、ほとんどのWordPressのハッキングは、そのコアソフトウェアに起因していません。
予防とは、WordPressサイトに悪意のあるコードが入り込まないようにすることを意味します。これは通常、ファイアウォール、ウイルス対策プログラム、メールフィルタリングソリューション、DDoS攻撃や不正なボットに対する防御を介して行われます。
検出
検出とは、セキュリティインシデントが発生した際にそれを素早く認識することに他なりません。これにより、重大な損害が発生する前に、すぐにアクションを実行してウェブサイトを保護できます。
具体的には侵害検知システム、ネットワークスキャン、 整合性監視などのツールが挙げられます。
ハッキングされたWordPressサイト所有者の多くが、サイトのセキュリティが侵害されていることすら把握できていません。そのため、堅牢な検出システム(特にホスティングレベルで)を導入することが重要です。そしてSucuriやWordfenceなどのセキュリティプラグインは素晴らしい追加の策となります。
対応と復旧
攻撃後にクリーンアップするだけでは適切な回復プロセスとは言えません。バックアップと問題の根拠を探る機能も必要です。これにより、同様のインシデントが発生する前にそれを未然に防ぐことができます。
このような理由により、ホスティング会社を選ぶ前にそれがセキュリティ面でどのような取り組みをしているのか、徹底的に調査する必要があります。たとえば、KinstaでホストしているWordPressサイトがハッキングされた場合には、Kinstaのセキュリティスペシャリストが協力しマルウェアの特定と削除を行います。
SucuriやWordfenceなどのセキュリティサービスは、プロフェッショナルパッケージの一部としてインシデント対応サービスを提供しています。
SucuriとWordfenceの比較
SucuriとWordfenceはどちらもWordPressサイトのセキュリティ強化に効果的ですが、両者のアプローチは異なります。まずは、簡単な比較の表を以下にご紹介します。
| Sucuri | Wordfence | |
| ファイアウォールの価格(WAF) | 月額9.99ドルから | 年間99ドルから |
| マルウェア削除の価格 | 年間199.99ドルから—無制限のクリーンアップ | クリーンアップ1回あたり179ドル |
| 無料で利用可能なプラグイン | あり | あり |
| ウェブアプリケーションファイアウォール(WAF) | あり(しかし、プレミアムカスタマー限定) | あり(無料) |
| ウェブサイト完全性スキャン | あり | あり |
| SSL証明書のサポート(WAF) | あり | なし |
| DDoS攻撃に対する保護策 | あり | なし |
| ゼロデイ攻撃の予防 | あり | なし |
| パフォーマンス向上のためのCDN | あり | なし |
| クラウドベースのプラットフォーム | あり—リモートスキャン | なし |
| 自己ホスト型プラットフォーム | なし | あり—ローカルスキャン |
| システムセキュリティの調整 | なし | あり |
上の表は、SucuriとWordfenceの主な違いを表しています。さあ、それぞれを深く掘り下げていきましょう!
Sucuriのレビュー
Sucuriの基本情報
Sucuriは、サイト保護を担うクラウドベースのウェブサイトセキュリティツールです。ウェブサイトへのトラフィックをすべて(レンタルサーバーに到達する前に)フィルタリングします。
コアの機能には、マルウェア検出、整合性監視、セキュリティ強化があります。Sucuriはすべてをリモートでスキャンするため、サーバーレベルでのディープスキャンは実行されません。
Sucuriは、ウェブサイトを保護し、パフォーマンスを向上させ、ハッキングの指標を監視し、セキュリティインシデントに対する無制限のサポートを提供することを約束しています(プレミアムユーザーのみ)。
Sucuriは、すべてのサイトのセキュリティニーズに対する特効薬ではありませんので、その点にはご注意ください。あくまでも既存のウェブセキュリティを補完するように設計されています。ただし、Sucuriは、リスク軽減のための多くのツールを提供してくれるので、大きな安心感と優れたセキュリティ意識の確保につながるでしょう。
Sucuriの仕組み
Sucuriがどのように機能するのか理解するためには、3つの層を区別することが重要です。
- Sucuri Securityは、標準のWordPressセキュリティ強化機能を備えた無料のプラグインです。この無料版プラグインにはファイアウォールは含まれていません。
- Sucuri Firewall (WAF)は、無料のSucuri Securityプラグインに統合できる有料サービスです。プラグインなしでファイアウォールを使用することもできます。これには、ウェブサイトアプリケーションファイアウォール(WAF)、パフォーマンス最適化のためのCDN、高可用性のための負荷分散、侵入検知システム(IDS)、DDoS緩和、その他のツールなどのウェブサイト保護機能が含まれます。
- Sucuri Platformは、クラウドベースのプレミアムセキュリティサービススイートです。これには、Sucuri Firewallに含まれるすべてに加え、監視、検出、インシデント対応などの他の重要な機能も含まれています。Sucuri Platformにサインアップすると、Sucuriスタッフにウェブサイトの「すべてのマルウェアとブラックリストの警告を削除する」ことを依頼できます。
Sucuri Web Application Firewall(WAF)の仕組みSucuriの機能に関する以下の簡単なビデオからも、理解を深めることができるはずです。
Sucuriはウェブサイトのすべての変更を追跡し、ログを独自のクラウドサーバーに保存します。これらのログを監査して、どこで何がうまくいかなかったかを正確に知ることができます。これにより、セキュリティの問題を迅速かつ効率的に修正できます。
利用可能なセキュリティ設定と機能
SucuriのWordPress製品は、無料のプラグインSucuri Securityと、有料かつクラウドベースのSucuri Firewall(WAF)という2つの主要製品に分類できます。
最初に無料のプラグインを見てみましょう。
Sucuri Securityダッシュボードには、セキュリティ状況を概観できるシンプルなインターフェースがあります。
その主なタスクは、コアWordPressファイルの整合性についての通知の送信です。コアファイルが侵害された場合には、警告が表示されます。その後、適切なアクションを実行できます。感染したファイルを元の綺麗なファイルに置き換えるか、誤検出としてマークできます。
ここの「Audit Logs」タブからは、ウェブサイトで発生したすべての変更を確認できます。同様に「iFrames, Links」と「Scripts」タブでは、ウェブサイト上のスクリプトとリンクのすべてのインスタンスを見つけることができます。
私が利用した時には、警告は誤検知でした。そこで、手動で修正済みとしてマークしました。Sucuriは、この修正を記憶し次回のスキャン実行に活かします。
「Settings」パネルには、Sucuriがウェブサイトを保護する方法をカスタマイズできる多くのタブがあります。「General Settings」タブからはAPIキー、データストレージディレクトリ、そしてログのエクスポート、逆プロキシ、IPアドレス発見、タイムゾーンのオーバーライドなどのその他の設定を見つけることができます。
ここからSucuriの全体的な設定をインポートまたはエクスポートすることもできます。
次に「Scanner」タブに移動します。 ここでは、Sucuriの「Scheduled Tasks」、「 WordPress Integrity Diff Utility」設定(サーバー上のファイルを元のファイルと比較するためのもの)、そして「False Positives(誤検出)」のリストを確認できます。
Sucuriのスキャンでサーバー上の特定のファイルとフォルダーを無視したい場合には、ここから設定できます。このツールは、多数のメディアファイル、 バックアップなどを含むフォルダーなど、スキャンするには重すぎる傾向にある非コード関連ファイルやフォルダーをスキップするのに効果を発揮します。
「Hardening」タブからは、標準のWordPress、PHPセキュリティ強化が実行できます。そして「Whitelist Blocked PHP Files」設定から、特定のPHPファイルをこの保護強化の対象から除外することもできます。
攻撃や侵害が発生した際には「Post-Hack」タブが非常に便利です。ここでは、秘密鍵の更新、ユーザーパスワードのリセット、インストール済みプラグインのリセット、利用可能なプラグインとテーマの更新の適用ができます。
「Alerts」タブでは、アラート受信者、信頼できるIPアドレス、アラートの件名、1時間ごとのアラートを設定できます。アラートメカニズムをトリガーするセキュリティアラートの種類と、無視されるべき種類(通常はサードパーティのプラグインによるもの)を設定できます。これは、優れた検出機能です。
「API Service Communication」タブはシンプルで操作が簡単です。これは主に開発者がSucuriのリモートAPIサービスにアクセスするために利用します。
そして最後に「Website Info」タブには、ウェブサイトと利用中のウェブサーバーについてのあらゆる情報が一覧表示されます。ここにある「Access File Integrity」セクションからは、.htaccessファイルの整合性を確認できます。
ちなみにKinstaはcPanelを利用せず、MyKinstaという独自のカスタムユーザーパネルを採用しているため、Kinstaのようなマネージドホスティングプラットフォームを使用するサイトであれば、これを心配する必要はありません。
Sucuriのクラウドベースのファイアウォールは有料サービスです。悪質なトラフィック、DDoS攻撃、不正なボットを除外するのに効果を発揮してくれます。
プラグインがなくてもしっかりと機能します(むしろこれが推奨されています)。ホストのDNSからそのネームサーバーへと設定を行うだけでOKです。
すべての機能の詳細についてはSucuri Firewall徹底解説の記事をご覧ください。
Kinstaを含むほとんどのウェブホストには、スパムのIPアドレスや不正なボットをブロック・除外するための追加のセキュリティ機能があります。Kinstaには、IP制限を有効にするセキュリティ設定も搭載されています。
ただし、ビジネスモデルの中心が悪質なトラフィックの除去であるSucuriなどの専門性の高いWAFサービスでは、よりきめ細かな制御が可能です。
Sucuriのクラウドベースのファイアウォールにサインアップしバックアップとして保有し、攻撃を受けた場合にのみ切り替える、という使い方も珍しくありません。Sucuriを使用すると、こんなことも非常に簡単に実行できます。
すべてを考慮すると、Sucuriは単なるセキュリティプラグインまたはファイアウォール以上の代物です。実質的にあらゆる悪意のある攻撃からサイトを保護するための完全なウェブセキュリティソリューションなのです。
使いやすさ
Sucuriは簡単に使いこなせます。ユーザーインターフェースは操作性を意識したものになっています。Sucuriがセキュリティ強化の設定を適用することを推奨した場合には、ワンクリックで有効にできます。
プラグインをインストールしたら、無料のAPIキーを生成する必要がありますが、これは、WordPressダッシュボードから直接実行できます。
Sucuriはほとんどのセキュリティ機能を自動化してくれるため、一度設定すれば忘れてしまっても大丈夫です。プラグインの更新やメンテナンスを心配する必要もありません。
Sucuriは、違反を検出すると警告を送信してくれます。もちろん、手動で制御したい場合には、その他多くのオプションが利用できます。また、SucuriのWAFはクラウドベースであるため、技術的なメンテナンスは必要ありません。
全体として、Sucuriのセットアップと使用方法は個人的に非常に簡単だと感じています。
Sucuriの実力
予防
無料のSucuri Securityプラグインでも、WordPressサイトを監視し、標準的なセキュリティ策を実行するのに十分でしょう。ただし、これはウェブサイトに対する大きな攻撃を防ぐという機能は果たしません。
無料のWordPressセキュリティソリューションをお探しの方にSucuri Securityをお勧めすることはできません。サイト保護をこれ1つに頼るのは危険です。
一方、 Sucuri Firewallは、DDoS攻撃、不正なボット、そして顧客データの侵害に対していい仕事をしてくれます。Sucuri Security Platformはさらに一歩先を行き、より多くの予防策を講じます。
Kinstaのケーススタディの例を挙げると、DDoS攻撃にさらされた小規模のeコマースサイトにSucuri Firewallを追加したところ、1時間以内にすべてのセキュリティ上の問題が姿を消しました。
検知
Sucuriの無料のプラグインは、ウェブサイトのわずかな変更でも検知するのに非常に便利です。異常が見つかった場合には、すぐに警告が表示されるため、すぐさま適切な措置を取ることができます。
仮にハッカーによりあなたがサイトから締め出されたとしても、Sucuriのクラウドサーバーに保存されたログを監査し、何が起こったのか、どのように制御を取り戻すことができるのかを調べることができます。
ただし、監視と検出で真の強さを見せているのが有料のSucuri Security Platformです。標準サーバー側セキュリティスキャン、 ブラックリスト監視、SSL監視、インスタント通知、Log Correlation Integration(SIEM)などのさまざまな追加機能が付属しています。
対応と復旧
ハッキングされたウェブサイトをクリーンアップする方法なしに、ウェブセキュリティプラットフォームを語ることはできません。
幸いなことに、私自身、Sucuriでウェブサイトを保護している間に、セキュリティインシデントに遭遇したことはありません。しかし、深刻な問題に直面した人はたくさんいます。G2.comなどのクラウドレビューサイトを見れば、その出来事を垣間見ることができます。
こちらが、Sucuriについての肯定的なレビューを投稿したあるウェブサイト所有者の方です。
「先生や子供が使用する私のウェブサイトがハッキングされたことに突然気付き、問題をできるだけ早く解決する必要がありました。Sucuriに問題を報告しサービスに登録してから30分以内でサイトは正常に戻りました。サイトをもう二度と無防備なままにしないことを誓いました。そしてSucuriによるセキュリティの対応には満足しています」
また、こちらのデザイナーは、SucuriによるクライアントのWordPressサイトのクリーンアップについてのコメントを共有しています。
「クライアントが、WordPressサイトで問題を抱えていました。しかしこのサービスを利用して以来、ハッキングの問題は一度も発生していません」
ちなみにSucuriによるチケットへの返答に時間がかかっていると不満を口にするユーザーもいます。Sucuriの価格設定を知れば、本当のところが理解できるはずです。
Sucuriの価格
さて、最も重要な話に移ります。価格設定です。
Sucuri Firewall(WAF)は月額9.99ドルから、Sucuriプラットフォームは年額199.99ドルからとなっています。Sucuri Platformにサインアップすると、マルウェアの除去とハッキングのクリーンアップを無制限に利用できます。
Sucuriの有料プランにはすべて、30日間の返金保証が付帯します。
Sucuriは、オリジンサーバーでのSSL証明書サポート(2番目に安価なプラン用で利用可能)を除き、下位レベルのプランであっても特定のセキュリティ機能が不足しているということはありません。
代わりに、より高いプランへのアップグレードを促すインセンティブとして、スキャンと反応にはそれぞれ異なる優先順位があります。
この価格戦略により、すべてのSucuri利用者に同じ予防・検出機能が提供されるものの、スキャンとマルウェアの削除では、より高いプランを利用している人が優先されます。
誰もが期限内にチケットに対する返事を受け取ることができますが、例えば一番安いプランを選ぶと、ほとんどの場合、対応は遅くなります。より早い対応が必要であれば、上層のプランを選ぶのがいいでしょう。比較のために、Cloudflareの同等のセキュリティソリューションでは、月額200ドルかかります。
このアプローチにより一部のユーザーがイライラしてしまうのも納得です。サイトがハッキングされ迅速な対応が求められる場合には、尚更です。しかし、これを利用することで得られる全体的な価値を考慮すれば、長期的に見ると、Sucuriユーザーの大多数が満足できるでしょう。
Sucuriの説明はここまでです。続いてはWordfenceに移動して、それぞれを比較してみましょう。
Wordfenceのレビュー
Wordfenceの基本情報
Wordfenceは、エンドポイントファイアウォール(WAF)とマルウェアスキャナーを搭載した無料のWordPressセキュリティプラグインです。
ログインセキュリティ(2FA、ログインページにおけるCAPTCHA、ログイン試行の制限)、ライブトラフィック、高度なルールに基づいたブロックなどのセキュリティ強化機能を備えています。
Sucuriとは異なり、Wordfenceはローカライズ型のファイアウォールです。利用者のウェブサーバーに位置します。よって、クラウドサービスではありません。より深いレベルでサーバー側のスキャンを実行し、完全なエンドツーエンド暗号化を実装できます。
しかし、この強みにはパフォーマンスの犠牲が伴います。
理由をご説明します。サーバーのリソースがトラフィックを分析、悪意があるかどうか確認し、必要に応じてトラフィックを破棄します。リソースが少ないサーバー(共有ホスティングや安価なマネージドホスティングプランなど)でウェブサイトをホストしている場合には、サイトはすぐに低速化してしまいます。
DDoS攻撃などでは、悪意のあるトラフィックが膨大にサーバーのリソースを圧倒する可能性があります。ローカルセキュリティプラグインはそのような脅威に耐えることができません。これは、Sucuriと比較したときのWordfenceの最大の弱点です。
対照的に、SucuriのWAFが有効になっていれば、ウェブサイトへの悪意のあるトラフィックは、サーバーに到達する前にクラウドレベルで除外されます。
ただし、Wordfenceのローカライズ型のWAFは無料の機能であり、SucuriのクラウドWAFは有料です。
Wordfenceの仕組み
Wordfenceのファイアウォールは、Threat Defense Feedにより強化されています。これは、ファイアウォールルール、悪意のあるIPアドレス、マルウェアシグネチャの集合を表す、Wordfence独自の用語です。
Threat Defense Feedは、WordPressサイトにインストールするWordfenceプラグインに統合されており、サーバーを使用して実行されます。
Wordfence Premiumを使用すると、Threat Defense Feedのリアルタイムでの更新情報を取得できます。これには、具体的には次のような機能が含まれています。
- リアルタイムIPブラックリスト、ファイアウォールルール、マルウェアシグネチャの更新
- 優先サポート
- サイト/IPレピュテーションチェック
- 国レベルでのブロック
無料のユーザーは、30日間の運用後にのみミッションクリティカルな更新情報を取得することができます。リアルタイムのIPブラックリストも取得できません。個人のサイトにとっては問題のない選択肢のように思えますが 、ビジネスのサイトであったりeコマースを運営している場合には、大きな問題につながる可能性が介在します。
エンドポイントファイアウォールがクラウドファイアウォールより優れている点が1つあります。サーバーによって完全に実施されるため、理論的にはデータが漏れてしまうことも、バイパスされることもありません。対照的に、攻撃者がサーバーのIPアドレスを知っている場合、クラウドファイアウォールからデータが漏れたり、これがバイパスされたりする可能性があります。
利用可能なセキュリティ設定と機能
Wordfenceはウェブサーバーに位置します。その性質から、WordPressダッシュボード内ですべての設定が完了します。
ダッシュボードはクリーンで情報に富んでいます。重要な情報と警告が一目でわかります。
Wordfenceのスキャナーは、サーバー上のすべてのファイルの整合性チェックを実行します。コアのWordPressファイルでも公式のテーマやプラグインでもない場合には警告が表示されます。
サーバーのファイル内のテキストを既知のマルウェアのテキストと照合します。類似したものが見つかった場合は、たとえ1行または2行であっても、警告で通知します。また、テーマやプラグインで更新が利用可能になった場合にも通知がなされます。
続いては、Wordfenceの「Firewall」パネルへと移りましょう。ここでは、WordfenceのWAF設定を管理し、その構成を最適化できます。
Wordfenceを初めてインストールすると、WAFはデフォルトで1週間の「学習モード」になります。このようにして、サイトと訪問者を徹底的に調査。正当なトラフィックのみがファイアウォールを通過できるように、適用するルールが策定されます。
「リアルタイムIPブラックリスト」機能は、有料版でのみ利用できます。
「ブルートフォース保護」を有効にすると、Wordfenceは、パスワードの推測に数回失敗した後にアカウントをロックすることにより、攻撃者からサイトを保護します。また、パスワードが弱すぎて簡単に推測されると思われる場合には、パスワードの変更が強制されます。
「Blocking」タブでは、IPアドレス、IPアドレス範囲、ブラウザ、ホスト名、リファラーに基づいてトラフィックをブロックできます。ただし、国レベルのブロックは有料版のみの機能です。様々なブロックルールを組み合わせて「Block Type」として保存できます。
「Firewall Options」セクションから、IPアドレスとサービスをホワイトリストに登録し、WAFアラートを無視するようにIPアドレスを設定し、レート制限を構成し、URLをホワイトリストに登録できます。
Wordfenceでは、特定のURLにアクセスするIPをブロックすることもできます。これは、誰かがサイトにある既知の脆弱性を繰り返し攻撃してきた場合に役立ちます。
次に「Scanner」設定タブに進みましょう。
ここには、Wordfenceのスキャンタスクが表示されます。最初の3つのテストはスパムとブラックリストのチェックで、有料版ユーザー専用の機能です。
スキャンが異常なものを検出すると、警告が表示されます。
「Scan Options and Scheduling」セクションで、スキャン感度、スキャン頻度、ホワイトリストファイルを設定できます。サイトでのパフォーマンスのためにスキャンを最適化することもできます。
Wordfenceには、他にも便利なツールが多数あります。
「Live Traffic」ツールを使用すると、ウェブサイトで何が起こっているかをリアルタイムで確認できます。セキュリティ関連のトラフィックのみでフィルタリングすることも可能。これにより、すべてのユーザーログイン、ハッキング試行、悪意のあるリクエストが表示されます。
便利な機能ですが「Live Traffic」はサーバーのリソースを大量に消費してしまいます。使用しないときにはオフにすることをお勧めします。
その他のツールとしては「Whois調査」、「インポート/エクスポートオプション」、「診断」があります。
Wordfenceの「Login Security」モジュールを使用して、WordPressサイトのすべてのログインに対し「2要素認証(2FA)」を有効にすることもできます。以前は有料版のみの機能でしたが、現在は無料で利用できます。
Google Authenticator、FreeOTP、Authy(ちなみに私の個人的なお勧め)などの無料のモバイルアプリを使用して、2要素認証をセットアップできます。
すべてのユーザーロールに対して2要素認証を有効にできます。パスワード推測やログイン情報の乱れ打ちなどのブルートフォース攻撃から自分やユーザーを保護するのにうってつけです。
2要素認証のIPホワイトリストを設定して、特定のIPアドレスからのログインに追加のセキュリティチェックが適用されないようにすることができます。主に1つの決まった場所から作業している場合、この機能により2要素認証をスキップできます。
ブルートフォース攻撃を阻止するその他のログインセキュリティ機能には、次のものがあります。
- 「パスワードを忘れた」の試行とログイン失敗の回数を制限:制限に達すると、そのユーザーは締め出されます。
- サイト全体に強力なパスワードを適用
- 特定のユーザー名でのユーザー登録を禁止する(例:adminなど)
- 特定のユーザー名(例:admin、[あなたのサイト名]_adminなど)でログインしようとするユーザーを即座にブロック
- マルウェア挿入に使用されがちなXML-RPC認証を無効にする
最後にすべてのWordfenceの設定が確認できる「All Options」パネルがあります。Wordfenceには広範なオプションが用意されているので、これは非常に便利です。
使いやすさ
使いやすさに関しては、WordfenceはSucuri Securityに匹敵し、非常に使いやすいと言えるでしょう。プラグインをインストールして有効化すると、Wordfenceはすぐに1週間の「学習モード」に入ります。
サーバーの設定とトラフィックに基づき、推奨されるファイアウォールとスキャン設定が自動的に適用されます。私の経験では、これによる設定はあらゆる攻撃からサイトを保護するのに十分すぎるほどです。
ログインセキュリティ機能の設定と適用も簡単です。
ウェブサイトがDDoS攻撃を受けると、Wordfenceによりサーバーの動きが遅くなる可能性があります。最も極端な例では、サーバーが圧倒され、WordPress管理ダッシュボードにアクセスできなくなる可能性も否定できません。
Wordfenceはローカライズ型のソリューションであるため、その設定を完全に制御できます。これは、技術面に精通している場合は便利ですが、ほとんどのWordPressユーザーにとっては面倒になりがちです。
全体として、意図する通りに機能させることができる限り、Wordfenceの取り扱いは簡単です。
Wordfenceの実力
予防
ファイアウォールを含まないSucuriの無料版とは異なり、Wordfenceにはほとんどの攻撃を阻止する「壁」があります。標準のセキュリティ強化策を講じるだけでなく、サーバー側のWAFも付属します。
ただし、脅威に関する最新データの即時更新は有料版ユーザーのみが利用できます。無料版利用者には、公開後30日で更新プログラムが共有されます。また、ウェブサーバーが(クラウドではなく)Wordfenceの動作を担っているため、有料版を選択しても、DDoS攻撃対策は他の方法でなんとかする必要があります。
この仕様に対するニーズがあることは理解できますが、セキュリティに関しては、私はSucuriの妥協を許さないアプローチの方が優れていると考えています。少なくとも、無防備な状態であるにも関わらず一般的な脅威から保護されているのだと思い込む危険はありません。
そうは言っても、Wordfenceの有料版は、ほとんどのセキュリティ上の攻撃を防止する上で素晴らしい仕事をしてくれます。さらにWordfenceのブログとYouTubeチャンネルは、WordPressセキュリティの脅威に関する最新情報が勉強できる有益なリソースです。
検知
無料のWordfenceプラグインは、ほとんどのセキュリティの問題を十分に検出してくれます。ただし、最新の脅威まで検知するには、有料版が必要です。
ただし、ハッカーによりあなたがサイトから締め出されてしまったら、Sucuriのようにログを監査する方法はありません。そうなると、ハッキングの調査ははるかに困難になります。
ホスティングプロバイダーまたはサードパーティのセキュリティサービス(これには皮肉にもWordfenceが含まれますが)に連絡する以外、手段はありません。
Sucuriと比較して、Wordfenceには基本的なアラートカスタマイズ機能があり優秀です。セキュリティの異常が見つかった場合には、すぐに警告してくれます。
対応と復旧
前述のように、無料版のWordfenceを使用している場合には、最終的には自分で自分の面倒を見る必要があります。ただし、有料版を使用したとしても、Wordfenceは対応・復旧サービスを提供していません。
こちらは、Wordfenceの利用規約からの引用(を独自に日本語訳したもの)です。
「Wordfence Premiumにおけるサポートは、インシデントごとに2時間までに制限されています。当社は、2時間を超えるサポートについては、それの提供を拒否するか、または、追加のサポート費用を請求する権利を留保します」
完全なサポートを得るには、WordPress Site Cleaningという別のサービスを利用する必要があります。価格はインスタンスあたり179ドル(さらに、利用量に応じ追加料金発生)となっています。
WordPressサイトクリーニングサービスには以下が含まれます。
- 悪意のあるコードとリンクをすべて削除して、感染したサイトをクリーンアップ
- サイトがどのように感染したかを調査
- 調査と感染除去に関する詳細なレポートを用意
- マルウェア対策やスパム対策ブラックリストからサイトを削除するように依頼
- 今後の攻撃を回避するためのチェックリストを提供
私自身はサイトクリーニングサービスはまだ使用していませんが、十分に包括的だと言えそうです。Twitterで見つけた肯定的な感想をいくつかご紹介します。
有料のSucuri Platformに含まれているマルウェア削除・ハッキングクリーンアップサービスと比較すると、Wordfenceのサイトクリーニングサービスはコストが高いようです。
また、Sucuriを使用すると、利用期間中にマルウェアを無制限に削除してもらえますが、Wordfenceのマルウェア削除サービスは1回きりの仕事を対象としています。数か月後にサイトがマルウェアに再び感染した場合、削除するために同じ料金を再度支払う必要があります。
Wordfenceの価格
Wordfenceのセキュリティプラグインは無料でダウンロードできます。現在のところ、WordPressプラグインリポジトリの中でも、最も評価が高く最もインストールされているセキュリティプラグインです。
Wordfence Premiumは、1つのサイトで年間99ドルから。複数のサイトで利用すると、1つあたりの値段が安くなります。利用するサイトが多いほど割引が増加!
セキュリティプラグインがサイトのパフォーマンスに与える影響
WordPressプラグインは、最大のセキュリティ上のリスクであるだけでなく、パフォーマンスを減じる犯人にもなり得ます。セキュリティプラグインは、常時稼働しスキャン機能も搭載しているので、とりわけ大きな影響をもたらしがちです。
ただし、Sucuri FirewallやCloudflareなどのクラウドベースのセキュリティソリューションは特別な保護が必要な場合には(特にボットやプロキシトラフィックに対抗するとなると)非常に便利です。
まとめ
SucuriとWordfence…どちらがベターでしょうか?
Sucuriは、特にミッションクリティカルなビジネスまたはeコマースサイトを運営している場合、ウェブセキュリティとパフォーマンスの面から優れたソリューションです。
もし無料のウェブファイアウォールをお探しなら、Wordfenceはより堅牢なソリューションでしょう。これを利用する際には、Cloudflareのような信頼できる無料のCDNと併用することをお勧めします。
結局のところ、根幹となるのはホスティングです。優れたホスティングプロバイダーが、セキュリティの大部分を担います。ホスティング会社は、パフォーマンスがそのサーバーに影響を及ぼすことも、サードパーティのプラグインによりもたらされるサービスには面倒に見合った価値がないことも理解しています。
理想的には、ホストは、限られた場所とインスタンスでのみ実行できるようにコードをロックする必要があります。また、アップロードはそれぞれのフォルダのみに制限するべきでしょう。サーバーレベルで追加のセキュリティ強化策を追加すると、WordPressセキュリティプラグインが冗長になります。
結局のところ、ウェブサイトのセキュリティ強化は終わりなき旅であり、明確な終着点はありません。最善の道を歩み続けることをお勧めします!
コメントを残す