ウェブサイトへの初期投資を行う段階で、サイトの保護には力を入れるのが賢明です。ハッキング、マルウェア、バックドア攻撃、SEOスパムなどは、サーバーや訪問者データ、ウェブサイトのインフラを悪用する脅威のほんの一部に過ぎません。
セキュリティの脅威は、将来の収益、顧客の信頼、そしてサイト全体の安全性を危険にさらします。そこで、潜在的な脅威をすべて阻止する優秀なWordPressのセキュリティプラグインを厳選しました。
サイトにセキュリティプラグインを導入するのは、住宅で言えば、保険に加入し、警報システムを設置するようなものです。その投資には、高額な頭金、検査費用、融資などが必要になります。それに準じる投資をウェブサイトに行ったら、最大限に保護したいと思うのは当然のこと。この記事で、サイトの保護についてみていきましょう。
WordPressセキュリティプラグインの基本
WordPressコアには、デフォルトでいくつかのセキュリティ強化策が実施されていますが、評価の高いプラグインを使用することで、さらに向上することができます。トップクラスのWordPressセキュリティプラグインには、以下のような機能が備わっています。
- フルタイムのセキュリティ監視
- ファイルスキャン
- マルウェアのスキャン
- ブロックリストの監視
- セキュリティの要塞化
- ハッキング後の対策
- ファイアウォール
- ブルートフォース攻撃対策
- セキュリティの脅威検出時の通知
中にはさらに機能が搭載されたプラグインもありますが、基本的には上記の機能が標準です。
最優先事項は安全なサーバー
サイトのセキュリティは、土台となるサーバーあってこそのものです。優れたWordPressセキュリティプラグインを探す前に、すべてのユーザーにエンタープライズレベルのセキュリティを提供しているKinstaのような、予めセキュリティ強化策が施されているWordPress特化型のサーバーを選択することが重要です。
セキュリティ強化策の多くがサーバーレベルで行われるため、サイトのパフォーマンスに影響を与えることなく、はるかに効果的な措置を取ることが可能です。よくわからないプラグインのセキュリティ設定に費やす時間を省くことができます。
KinstaがすべてのマネージドWordPress専用サーバープランで提供しているセキュリティ機能の一部には、以下のようなものがあります。
- DDoS攻撃の検出、稼働率の監視、1分間に6回以上ログインに失敗したIPを自動的にブロック。
- WordPressサイトへの直接アクセスは、暗号化されたSFTPおよびSSH(FTPは不可)接続のみをサポート。(FTPとSFTPの違いはこちらをご覧ください)
- 訪問者データへのアクセスを防止する、ハードウェアのファイアウォール、追加のアクティブ・パッシブセキュリティ強化策を実施。
open_basedir
の制限で、悪質なスクリプトが埋め込まれやすい標準的なディレクトリでのPHP 実行を阻止。- KinstaはGoogle Cloud Platform(GCP)上でLinuxコンテナ(LXC)を使用し、各アカウントとWordPressサイトごとに完全分離された環境を提供。これは、競合他社のサービスと比較してはるかに安全です。さらに、GCPは保存状態のデータも暗号化します。
- Kinstaは、サポートされているPHPバージョンのみ実行しています。サポートされていないバージョンは、セキュリティアップデートやパッチ適用がなく、脆弱性が高くなります。この最善策として、定期的なアップデートを推奨。
- 必要に応じて復元が行えるよう、すべてのサイトの2週間分のバックアップを自動作成。
- 二要素認証で、ログイン時のセキュリティを強化。
- サイト構築のたびに、強固なパスワードの生成を要求。
- 100%のハッキング防止は不可能なことから、万が一ハッキングされた場合には無料で修復。
多くのセキュリティプラグインは、常に作動していることが原因でパフォーマンスの問題を引き起こします。そのため、Kinstaでは一部のセキュリティプラグインの使用を禁止しています。また、Google Cloud Platformでロードバランサを利用しているため、特定のセキュリティプラグインのIPアドレスに基づいたアクセスのブロック機能がうまく機能しない場合もあります。
Kinstaをご利用であれば、特にボットやプロキシのトラフィックを減らすために特別な保護やサポートが必要な場合、Kinstaと併せてCloudflareやSucuriなどのソリューションを使用することを強くおすすめします。Sucuriは、DDoS攻撃を即座に軽減し、Cloudflareは、推奨ファイアウォールの設定を行うことができます。
すべてのサーバーが、Kinstaのような堅牢なセキュリティを提供しているとは限りません。その場合は、優れたWordPressセキュリティプラグインを使って対処できます。
【2025年版】優秀なWordPressセキュリティプラグイン
お急ぎの場合には、以下から気になるものをクリックして、実際に試しながら検討してみてください。このまま読み進めると、各プラグインの詳しい解説をご覧いただけます。
万全のサイト保護・フルタイムの監視
- Sucuri Security – Auditing, Malware Scanner and Security Hardening
- iThemes Security
- Wordfence Security
- All In One WP Security & Firewall
- BulletProof Security
- Patchstack
マルウェア、ウイルス、不審なIPのスキャン・阻止
- SecuPress
- WPScan – WordPress Security Scanner
- Security Ninja
- MalCare Security
- Security & Malware Scan by CleanTalk
スパム・ボット対策
攻撃者からファイルを隠す
認証とログインのセキュリティ
サイトファイルのバックアップ
ハッキングへの対処
セキュリティログの実行
SSLの有効化
便利なセキュリティプラグインのほとんどは有料ですが、一部機能を無料で利用できるものもあります。
価格についても触れていきますが、何よりもプラグインの機能を理解することが肝心です。最終的には、攻撃者を寄せ付けない最善策を取るのが重要であり、その実現には、多少の投資も必要になります。
万全のサイト保護・フルタイムの監視
1. Sucuri Security ─ 監査、マルウェアスキャン、セキュリティ強化
Sucuriのセキュリティプラグインには、有料版と無料版があり、ほとんどのウェブサイトには、無料版で十分です。例えば、ファイアウォールには有料プランの契約が必要になりますが、そこまでの機能は必要ないと感じる方もいるでしょう。
無料の機能として、このプラグインがどれだけ厳しくサイトを保護できているかの監査機能が付帯します。
ファイル整合性監視、ブロックリストの監視、セキュリティ通知、セキュリティ強化などの機能が備わっています。有料プランでは、カスタマーサポート、より定期的なスキャン(12時間毎など)が利用可能になります。
価格
Sucurinには無料プランがあり、有料プランには、気に入らなかった場合にも安心の30日間返金保証が付いています。
有料プランの価格は以下の通りです。
- Basic Firewall:99ドル/月
- Pro Firewall:98ドル/月
- Basic Platform(クリーンアップ、スキャン、ファイアウォール、CDN):99ドル/月
- Pro Platform:99ドル/月
- Business Platform:99ドル/月
Sucuri Securityの優れた点
- さまざまな種類のSSL証明書を提供。有料だが、全種類がセットで含まれる。
- カスタマーサポートは、24時間365日体制のチャット、メール、チケットシステムで対応。
- サイトでの問題発生時には通知を受け取ることが可能。
- 一部のプランには、高度なDDoS対策も。
- 無料プランでもブロックリスト監視、マルウェアスキャン、ファイル整合性監視、セキュリティの要塞化などの機能の利用が可能。
- 有料のPlatform版では、クリーンアップ後のレポート、ハードウェア削除のSLA、ブロックリストの監視、セキュリティパッチなどの機能が備わっている。
さらに詳しい情報はこちら:How to Set up Sucuri Firewall (WAF) on Your WordPress Site
2. iThemes Security
iThemes Securityプラグイン(旧名 Better WP Security)は、サイト保護の観点では最も優れたプラグインの一つであり、ハッキングや不要な侵入者などを防ぐ30以上の機能を備えています。
プラグインの脆弱性、旧式のソフトウェア、脆弱なパスワードの認識に重点が置かれており、あらゆるタイプのWordPressサイトに対応する総合的なセキュリティプラグインです。
無料版にも基本的なセキュリティ機能がありますが、有料版のiThemes Security Proがおすすめです。チケットシステムのカスタマーサービスの利用、最長1年間のプラグイン更新ができるようになり、対象ウェブサイト数が2つになります。3つ以上のサイトを保護したい場合には、プランをアップグレードすることも可能です。
プロ版の主な機能としては、強力なパスワードの強制、悪質なユーザーの排除、データベースのバックアップ、二要素認証が挙げられます。
上記機能は、ほんの一例に過ぎません。iThemes Security Proでは、30のセキュリティ強化策をすべて有効化でき、大変お得なプラグインです。
価格
iThemes Security Proのセキュリティスイートは年間80ドルから。複数のサイトで使用するには価格が上がります。また、30日間の返金保証も用意されています。
iThemes Security Proの価格は以下の通りです。
- Blogger:80ドル/年
- Freelancer:127ドル/年
- Gold:199ドル/年
- Plugin Suite:499ドル/年
Google Cloud Firewallとハッキング対処保証で安心してサイト運用を。Kinstaを無料で試す
iThemes Securityの優れた点
- サイト管理者のほとんどが見落とす重要なファイルの変更を検出。
- Google reCAPTCHAの統合と二要素認証でログイン時の保護を強化。
- WordPressのコアファイルと現在のバージョンを比較し、悪質なものが含まれているかどうかを調査。
- 認証キーの複雑化のため、WordPressのソルトとキーを更新。
- 定期的なサイトの更新を行っておらず、すべてのユーザーからWordPress管理画面を完全に遮断したい時に「Away Mode」の利用が可能。
- その他、404エラーの検出、ブルートフォース攻撃対策、強力なパスワードの強制など、必要不可欠な機能を搭載。
- ユーザーの追放とブルートフォース攻撃の防止。
- サイトの部分的なバックアップとSSLの施行。
3. Wordfence Security
Wordfence Securityは、最も人気のあるWordPressセキュリティプラグインの一つです。その理由は、堅牢なログインセキュリティ機能、セキュリティ事故発生時のデータ復旧機能など、強力な機能とシンプルさを兼ね備えているところにあります。また、大きな特長の一つとして、全体的なトラフィックの傾向やハッキングの試みについての洞察を確認することが可能です。
Wordfenceは、ファイアウォールのブロックからブルートフォース攻撃からの保護まで、あらゆる機能を備えた優秀な無料セキュリティプラグインです。
価格
無料版と、1サイトにつき年間99ドルからの有料版があります。
また、開発者向けの割引として、複数のサイトライセンスを登録すると、大幅な割引が適用されます。例えば、15ライセンス以上購入すると、25%オフとなり、1ライセンスにつき74.25ドルになります。
複数のウェブサイトを開発し、保護したい場合には、Wordfenceを検討してみてください。
割引の内容は以下の通りです。
- 1サイト:99ドル/年
- 2〜4サイト:10ドル/年(10%割引)
- 5〜9サイト:15ドル/年(15%割引)
- 10〜14サイト:20ドル/年(20%割引)
- 15サイト以上:25ドル/年(25%割引)
WordFence Securityの優れた点
- 無料版でも、小規模なサイトには十分な機能が備わっている。
- 開発者は、複数のサイトライセンス登録することで費用の削減が可能。
- 国別ブロック、手動ブロック、ブルートフォース攻撃対策、リアルタイの脅威防御、ウェブアプリケーションファイアウォールなどの機能を備えた完全なファイアウォールスイート。
- スキャン機能で、マルウェア、リアルタイムの脅威、スパムを排除。WordPressファイルだけでなく、すべてのファイルをスキャンしてマルウェアを検出。
- Googleのクロール、ログインとログアウト、人間の訪問者、ボットなどを表示してトラフィックを監視。
- スマホからサインインしてサイトを監査できるなど、ユニークな機能も利用可能。
- コメントスパムフィルターにより、別途プラグインのインストールが不要。
- 使用しているプラグインを監視し、(通常、安全でない、またはハッキングされたことが原因で)WordPressのプラグインリポジトリから削除された、更新されなくなった、あるいは放棄されたものがあれば通知を送信。
4. All In One WP Security & Firewall
All In One WP Security & Firewallは、最も充実した機能を持つ無料セキュリティプラグインの一つであり、操作性の良いインターフェースと質の高いカスタマーサポートが無料で利用できます。
セキュリティ強度のような初心者向けの指標や、セキュリティ強化に必要なことをグラフを用いて説明してくれるビジュアル性の高いセキュリティプラグインです。
機能は、基本、中級、上級の3つのカテゴリーに分類されており、知識豊富な開発者にも使えるプラグインです。
ユーザーアカウントの保護、手当たり次第のログイン試行のブロック、ユーザー登録のセキュリティの強化などが主な機能で、データベースとファイルのセキュリティ強化もプラグインに含まれています。
価格
無料
All In One WP Security & Firewallの優れた点
- ブロックリスト機能でユーザーをブロックする特定の条件を設定することが可能。
- .htaccessと.wp-configのファイルのバックアップが可能。また、問題が発生した際の復元機能も。
- サイトの強度と特定の問題箇所を示すグラフを作成。一般ユーザーがサイトのセキュリティ状況を可視化するのに便利。
- 緊急時に備えた一時的なロックダウンボタン。
- 特定のセキュリティ機能のエクスポートおよびインポートが可能。
- iframeを使用し他のサイトで自分のサイトのコンテンツが表示されるのを阻止。
- ボットなどの侵入者からサイトの情報を隠してくれる。
- 途中の料金支払いなどはなく、無料で使用し続けることが可能。
5. BulletProof Security
BulletProof Securityプラグインは、継続的に開発、更新されているプラグインで、他のほとんどのセキュリティプラグインよりも豊富な機能を搭載しています。サイトの隔離、メールでの警告、アンチスパム、自動復元などの機能があります。
そのデータベースのバックアップやログインのセキュリティ機能から、WordPressの万能セキュリティプラグインと言えるでしょう。
以下の機能は無料で使えるため、まずは無料版を試してみてください。
- ログインのセキュリティと監視
- データベースのバックアップと復元
- MScanマルウェアスキャナー
- アンチスパム、アンチハッキング機能
- セキュリティログ
- 隠しプラグインフォルダ
- メンテナンスモード
- セットアップウィザードの完備
BulletProof Securityは、初心者にはやや複雑ですが、アンチエクスプロイト保護、FTPファイルロックなどのユニークな設定や機能を使用したい上級開発者にはおすすめのプラグインです。また、セットアップウィザードの自動修正機能で作業が楽になります。
価格
BulletProof Securityには、無料版と有料版があります。有料版は買い切り価格69.95ドルで、30日間の返金保証が付いています。
BulletProof Securityの優れた点
- BPS ProのARQ侵入検知・防御システム(ARQ IDPS)の暗号化サービスや定期的なcronのcURLスキャン、フォルダのロックなど、ユニークで優れた機能を搭載。
- 無料版でも一般的なウェブサイトには十分な機能が利用可能。
- 無料版でもデータベースのバックアップが可能。
- プラグインフォルダの個別非表示設定が可能。
- 他のプラグインにないメンテナンスモード機能を搭載。
- セキュリティログとHTTPエラーログがサイトの脆弱性を監視。
- 強力なパスワードの生成を強制。
- テーマやプラグインの最新版がリリースされた時にリマインダーを送信。
マルウェア、ウイルス、不審なIPのスキャンの阻止
6. SecuPress
SecuPressは万能のセキュリティツールですが、マルウェアやウィルスなどの脅威をブロックすることに特化しているのが特長です。WP Mediaの共同設立者の一人であり、WP RocketやImagifyを開発しているJulio Potier氏によって開発されました。
優れたUIデザインで、使いやすいセキュリティプラグインをお探しなら、SecuPressがおすすめです。無料版には、ブルートフォース対策ログイン、IPアドレスに基づいたアクセスのブロック、ファイアウォールなどの機能があります。
また、他のセキュリティプラグインでは有料であることが多い、セキュリティキーの保護やボットのブロックも含まれています。マルウェアスキャン機能を使えば、疑わしい活動を検知し、侵入者をブロックすることも可能です。
さらに多くの機能を利用したければ、有料版には、アラートと通知、二要素認証、IPジオロケーションのブロック、PHPマルウェアスキャン、PDFレポートなどの機能が備わっています。
価格
無料版は、マルウェアスキャンとボットブロックに特化し、一般的なサイトには十分なセキュリティ機能が備わっています。有料版は、1サイトにつき年間69.99ドルから。5サイト、10サイト、25サイト、200サイトと契約すれば、1サイトあたりの価格は大幅に下がります。
追加機能の価格は以下の通りです。
- プロ版コンフィギュレーション:120ドル
- マルウェア除去:360ドル
- WordPressセキュリティトレーニング:449ドル
- セキュリティメンテナンス:39ドル
SecuPressの優れた点
- トップクラスのUIデザインで、初心者でも使いやすい。
- 35項目のセキュリティチェックがある。
- 有料版では、セキュリティ警告、徹底的なマルウェアスキャン、ジオロケーションによる国のブロックなどの豊富な機能を搭載。
- ボット対策として、WordPressのログインURLの変更が可能。
- 脆弱性があるテーマやプラグイン、不正なコードを埋め込むように改ざんされたテーマやプラグインの検出。
- 不審なIPを検出してブロック。
- ブルートフォース攻撃によるログインを防止。
- セキュリティレポートをPDFとして保存したり、印刷したりすることが可能。
7. WPScan – WordPress Security Scanner
WordPressセキュリティプラグインのWPScaは、他とは異なるアプローチを取っています。セキュリティのプロやコミュニティによって毎日更新され、人力で作られた脆弱性データベースを使用しています。Automattic社が提供するこのデータベースには、21,000件以上の既知のセキュリティ脆弱性に関する情報が記録されています。
このデータベースをもとに、WordPressコアのバージョン、プラグイン、テーマの既知のセキュリティ脆弱性がスキャンされます。
さらに、公開されたデバッグログファイル、バックアップされたwp-config.phpファイル、弱いパスワードのユーザーのスキャンなど、他のセキュリティチェックも搭載しています。WPScanには、ほとんどのWordPressサイトに便利な無料APIプランがあり、より多くのAPIの使用が必要なユーザー向けに有料版も用意されています。
マルウェア、IP、ファイルスキャナーを探している場合には、このプラグイン一択でしょう。
価格
毎日25回までAPIリクエストを実行できる永久無料プランがあり(最大22のプラグインインストール)、平均的なWordPressサイトであればこれで十分です。有料プランでは、APIリクエストの数に応じて価格が上がっていきます。
以下が有料プランの価格です。
- Start:5ドル/月
- Professional:25ドル/月
- Enterprise:要相談
WPScanの優れた点
- 随時更新される独自の脆弱性データベースを使用。
- 定期的にスキャンを実行し、コアファイル、logファイル、データベースファイルなどを検査。
- 脆弱性の発見時にメールで通知を受けられる。
- 特定の時間にスキャンを実行する設定が可能。
- 弱いパスワードを検知し、変更を促す。
- レポートの確認とダウンロードが可能。
- リスクスコアを取得し、サイトの脆弱性を的確に把握。
- セキュリティスキャナーで、ハッカーの目の付け所を確認することが可能。
- 発見された脆弱性に対して解決策を紹介するリンクや参考資料が用意されている。
- 脆弱性データベースに登録すると特典が得られるプログラムがある。
8. Security Ninja
Security Ninjaは、WordPressのセキュリティ分野で長く知られているプラグインです。CodeCanyonでも最も歴史あるセキュリティプラグインの一つ(4つのアドオンが使用可能)であり、2016年にフリーミアムモデルに移行しました。
現在はアドオンが廃止され、無料版と有料版の2種類があります。メインモジュール(無料で利用できる唯一のモジュール)では、マルウェアのファイルチェックやMySQLの権限設定、PHPの各種設定など、50以上のセキュリティテストが実行できます。
また、Security Ninjaは、すべてのユーザーのパスワードを総当たりで確認し、「12345」や「password」などの弱いパスワードのアカウントを炙り出します。
この機能は、ユーザーのセキュリティ意識向上にもつながります。自動のハッキング対処機能もありますが、実際に何が起こっているのかを把握したい人向けに、手動での修正用のコードを含め、すべての検査項目について詳しい解説が用意されています。
そして、プラグインにサイトを操作されることに抵抗がある人向けに、いわゆるクリックして修正のような機能ではなく、脆弱性スキャナーの警告を見て、その問題にどう対処するかを自分で決められる優秀な機能が備わっています。
価格
Security Ninjaのプランは、以下の通りです。
- 無料版
- Starter:99ドル/年
- Plus:97ドル/年
- Pro:99ドル/年
- Agency:99ドル/年
また、月額プラン(8.99ドルから)や一括プラン(Starterプランで139.99ドルから)も用意されています。
Security Ninjaの優れた点
- セキュリティテスターのモジュール(無料版で利用可能)では、サイト全体で50以上のセキュリティテストを実行することが可能。
- 自動修正機能が検出された問題を解決してくれるため、専門知識がない人でも安心。
- WordPressコアをスキャンし、orgの最新の配布ファイルと比較することで、ファイルの整合性を検証。
- プラグインやテーマをスキャンし、不審なコードやマルウェアを検出。
- 膨大な量の要注意IP一覧を活用し、自動でブロック。
- ユーザーのログインから設定変更まで、WordPressサイト上のすべてのイベントをログに記録。
- 定期的なスキャンの設定が可能。
- データベースを最適化し、サイトの速度を向上。
- デバッグ、データベース設定、WPオプションのテストなど、さまざまなテストを実行。
- 有料版では、X-XSS保護、ルートフォルダ内の不要ファイル、strict-transport-securityの検査など、より詳細な検査とスキャンの実行が可能。
9. MalCare Security
MalCare Securityプラグインには、プラグインの問題から危険なIPまで、すべての脅威を特定するための、サイト全体を分析するクラウドベースのマルウェアスキャン機能があります。ボット対策も便利ですが、マルウェアを素早く検出する機能が非常に優れています。
また、ワンクリックの削除機能があり、検索エンジンで問題が見つかる前に、サイトをクリーンアップすることができます。加えて、インテリジェントスキャンは、何千ものウェブサイトのデータを利用し、サイトに影響を与える可能性のある要素を抽出します。
MalCare Securityは、サイトがダウンするたびに通知を送信してくれるため、攻撃に対処する十分な時間を確保することができます。そして、マルウェアスキャンに対応するプラグインは、大体が大型のプラグインである中、MalCare Securityは、サイト速度を下げることなく常に軽量なため、非常に優秀なプラグインと言えます。
価格
マルウェアスキャン、プラグインファイアウォール、ログイン保護、ボット検出のできる無料プランがあります。
有料プランでは、さらにマルウェアの即時除去、ファイアウォールのリアルタイム更新、ハッキングされたファイルの閲覧などの機能が利用できます。有料プランの価格は以下の通りです。
- Basic:99ドル/年
- Plus:149ドル/年
- Pro:299ドル/年
上記は、いずれも1サイト分の価格で、サイトを追加するごとに価格が上がっていきます。また、リアルタイムのバックアップ(年間100ドル/1サイト)、毎時バックアップとスキャン(年間500ドル/1サイト)、ビジュアルリグレッションテスト(年間100ドル/1サイト)、プレミアムステージング環境(1環境につき月額20ドルの時間割計算)もご利用可能です。
MalCareの優れた点
- サイト全体を解析するクラウド型のマルウェアスキャンシステム。
- ボットを識別するだけでなく、ブロックしてくれる、ボット対策機能。
- インテリジェントなプラグイン監視システムと、ファイアウォールで侵入者を阻止。
- ログインページでのハッカー対策、異常なトラフィックソースの排除、特定の国からのIPのブロックが可能。
- ボタンのワンクリックでマルウェアスキャンを実行。
- CAPTCHAでログインページの強化。
- 業界内のベストプラクティスを活用し、数秒でサイトに実装するワンクリックのサイト強化機能。
- 死活監視。
- ファビコンウイルスを用いたハッキング、Cookie盗難、Googleによるブロックを悪用したハッキングなど、特殊な脅威を阻止。
- ハッキングに関する情報を閲覧し、問題を即座に除去。
10. Security & Malware Scan by CleanTalk
Security & Malware Scan by CleanTalkも、徹底したマルウェアチェックを実行し、疑わしいIPやボットを特定する優れたプラグインです。CleanTalkは、クラウドセキュリティを利用して、サイトの脅威を自動的にブロックし、サイト管理者に今後のセキュリティ強化策の改善に必要な情報を提供してくれます。
このプラグイン自体は無料ですが、ほとんどの機能は有料のクラウドセキュリティサービスに登録しないと利用できません。CleanTalkのプラグインは、悪質なIPアドレスやマルウェアを常に監視してくれるのがおすすめの理由です。
また、クラウド接続により、ほとんどのセキュリティ強化策をサーバーから切り離して行うことができるため、サイト速度が低下することはありません。
Clean Talkでは、問題を起こす可能性があるファイルが一覧で表示されます。非常に使いやすいプラグインです。ファイルを開いて、問題の原因を確認するには、プログラミングの経験が求められますが、有料プランを利用すれば、ファイルをカスタマーサポートに送り、分析とクリーンアップを依頼することが可能です。
他のプラグインに比べ、自動化の観点からは傑出しているとは言い難いですが、スキャナーの効率と正確さはトップクラスです。
その他にも、ブルートフォース攻撃のブロック、送信リンクの確認、二要素認証の有効化など、複数の機能が備わっています。
価格
プラグイン自体は無料ですが、実際に機能を使うためには、CleanTalkクラウドセキュリティサービスへの登録が必要です。
以下が価格一覧です。
- 1サイト:49ドル/年
- 3サイト:24ドル/年
- 5サイト:36ドル/年
- 10サイト:63ドル/年
- 20サイト:117ドル/年
40サイトを契約すると、年間180ドルになりますが、月額18ドルでウェブサイト無制限プランを選択することもできます。
Security & Malware Scan by CleanTalkの優れた点
- クラウドベースのマルウェアスキャナーを使用して動作するため、無駄なサーバー容量の消費がない。
- マルウェア対策機能と併せて、アンチウィルススキャン機能も搭載。
- すべてのユーザーに自動セキュリティファイアウォールを提供。
- 毎日更新されるレポート、監査ログ、リアルタイムのトラフィックモニタリングの受け取りが可能。
- すべてのアウトバウンドリンクを検査。
- スキャンは自動的に(毎日)実行され、数ヶ月間クラウド上に保存される。
- コードが記述できない場合でも、CleanTalkに脆弱性のあるファイルを送信し、問題への対処を依頼することが可能。
- ブルートフォース攻撃対策、ログイン試行ログ、特定の国やIPアドレスからのログイン試行のブロックなど、複数のログインセキュリティ機能がある。
- 脅威の出現時には、管理者へメールで通知。
スパム・ボット対策
11. Jetpack
WordPressユーザーであれば、おそらくJetpackには馴染みがあるはず。Jetpackは多機能であることが人気の理由ですが、WordPress.comが作ったプラグインであることもその理由の一つです。Jetpackには非常に多くの機能があり、試してみるだけの価値があります。SNSやサイト速度を上げるモジュールが満載ですが、本当に優れた機能は、そのスパムとボット対策です。
その他にもセキュリティ機能が、お金を節約しながら評価の高いプラグインに頼りたい人には適したプラグインです。例えば、プロテクトモジュールは無料で、不審な活動を未然に防いでくれます。
Jetpackの基本的なセキュリティ機能は、ブルートフォース攻撃対策やアプリケーション許可リストにも対応しています。
また、スパムコメントは自動的に検出して削除されるため、スパム対策にはもってこいのプラグインです。このスパム対策は、WooCommerceをはじめとした全ECショップに対応しています。
価格
Akismetによる有名なスパム対策を無料で提供していますが、その他のセキュリティ機能は、定期契約が必要になります。
サイトのバックアップは月額9ドル程度で使用可能ですが、リアルタイムのマルウェアスキャンやフォームのスパム対策などの機能は、24.92ドルのプランが必要です。Jetpackは、頻繁に50%オフの割引を提供しているため、ぜひ活用してみてください。
ブルートフォース攻撃対策が無料のプラグインに搭載されているのも特筆すべき点です。
Jetpackの優れた点
- 小規模なサイトであれば、無料プランでもある程度のセキュリティを確保することが可能。リーズナブルな価格の有料プランにアップグレードすると、完全サポートを受けることができる。
- スパム対策も万全で、Akismetが何百もの厄介なスパムコメントを自動的にアーカイブしてくれる。
- 有料プランでは、バックアップやセキュリティスキャンなどの特典があり、プラグインを実質、包括的スイートに変更することが可能。
- プラグインのアップデートをすべて管理。
- メールマーケティング、SNS、サイトのカスタマイズと最適化などあらゆる機能を搭載しているため、他のプラグインが不要。
- ブルートフォース攻撃対策は無料プランで使用可能。
- WordPressの管理画面上でサイトの統計情報を確認。
- 無料のコンテンツデリバリネットワーク(CDN)が、ウェブサイトの高速化をサポート。
- 死活監視。
12. Astra Security
Astra Security Suiteは、WordPressサイトに特化した信頼性の高いセキュリティプラグインです。Astraを使えば、マルウェア、SQLi、XSS、コメントスパム、ブルートフォース、その他100 以上の脅威を阻止してくれます。他のセキュリティプラグインを削除して、Astraにすべてを任せることが可能です。また、管理画面は非常に操作性が高く、ボタンの数も多くありません。
スパムとボット対策がAstraWeb Securityの魅力です。偽の検索エンジンのボットなど、悪質なボットのブロックを優先的に行ってくれます。
すべてのスパムを自動的にブロックしながら、スパムコメントの抑制、SEOスパムへの対処など、複数の形態のスパムにも対応します。
スパムやボット対策と併せて、定期的なスキャンの実行、ハッキング発生後のサイト修復も行います。ブルートフォース攻撃、ハッキングによるSEOスパム、SQLインジェクション、WPバックドアを利用した攻撃、収益化をもくろむハッキングなど、潜在的なあらゆる攻撃を網羅しています。
価格
Astraは有料プラグインです。サイトにインストールすることはできますが、以下のいずれかの料金プランを契約するまでは機能しません。
- Pro:19ドル/月から
- Advanced:39ドル/月
- Business:119ドル/月
Astra Security Suiteの優れた点
- WordPressのプラグインとしてインストールするので、DNS設定の変更が不要。
- マルウェアの即時駆除、SQLi、XSS、インジェクション攻撃、悪質なボット、ブルートフォース、SEOスパム、その他100以上のサイバー攻撃を阻止する堅牢なファイアウォールあり。
- SEOスパムからコメントスパムまで網羅したスパム対策。
- 継続的なボット追跡。
- 攻撃を阻止した回数、1時間ごとのログイン数などの情報を記載したレポートを毎日メールで送信。
- 悪質なファイルのアップロードを自動的にブロック。
- WordPressサイトのビジネスエラーロジックを含むセキュリティ監査。
- 操作性の高い管理画面で、すべての攻撃を記録し、国、IP範囲、URLなどをブロック、または許可リストへの追加を選択可能。
- ハッカーが発見したサイトの脆弱性を安全に共有できる場であるバグ報告プラットフォームが利用可能。報告された問題は、Astraのエンジニアが検証。
13. Stop Spammers Security
Stop Spammers Securityはスパムを最小限に抑えるトップクラスのWordPressセキュリティプラグインです。その機能はコメントスパム対策だけではありません。プラグインやフォーム、コメントなどを通じてスパムを識別してブロックします。
例えば、特定の国やユーザー、または一般的に不審とされる行動など、ブロックする対象を予め設定することができます。
このプラグインの発想は、サイトの状況に応じて、スパムのブロック方法を独自に構築するというものです。さまざまな設定の中から、必要なものだけを選び、不要なものはオフにすることができます。
スパム対策強化のため、基本的な機能の他にも、CAPTCHAの表示、会員専用モードの有効化、ユーザーのログイン時に都度アクセスを要求する設定など、ログイン周りのセキュリティ強化策もあります。
価格
基本的な機能(不審な行動、スパムワード、スパムコメント、特定の国をブロックする機能など)は、無料版で利用することができます。有料版にアップグレードすると、さらに多くの機能が利用可能になります。年間29ドルからで、ライセンスを追加するごとに価格が上がります。
有料版だけの機能として、サーバーレベルのファイアウォール保護、ブルートフォース対策のログイン画面強化、ログのエクスポート、Contact Form 7の保護などが挙げられます。
Stop Spammer Securityの優れた点
- 疑わしい活動やボットを検知して、脅威を隔離し、サイト管理者に通知。
- 不審な行動が頻発している国をブロック。
- フォームから侵入するタイプからコメントスパムまで、あらゆるウェブサイトのスパムを抑制。
- URL短縮ツールや使い捨てメールなど、(危険性の疑われる)ユーザーの身元を隠し得る要素をブロック。
- サイト上で特定のユーザー名、メール、IPアドレスのブロック、または許可の選択が可能。
- 一部ユーザーにアクセス申請を強制。
- ログインページにCAPTCHAフォームの設置が可能。
- コンテンツへのアクセスを承認したユーザーのみに制限する会員限定モードの設定が可能。
- 有料版では、高度なファイアウォールの有効化が可能。
- 有料版では、通知制御、インポート設定、エクスポート、テーマ別ページが使用可能。
- 有料プランでは、組み込み型のお問い合わせフォームとContact Form 7の保護機能が使用可能。
14. Titan Anti-spam and Security
Titan Anti-spam and Securityには、マルウェアなどのセキュリティ面での脅威をスキャンしながら、スパムの削減を行うための機能が一式揃っています。定期的に監査を行い、不審なアクセスがあるたびに報告してくれます。
ファイアウォールのルールを使って、ブロックする対象を指定することもできます。管理画面では、各機能がタブで分かれており、初心者でも使いやすいインターフェースになっています。
サイト管理者は、ボタンをクリックするだけでファイアウォール、サイトチェッカー、エラーログなどの機能を使用できます。
過去1週間のすべてのスパム攻撃をグラフ化してくれるアンチスパム統計は、特に際立っています。プラグインが機能しているかどうかを把握するのに役立ち、全般的にサイトがスパムの標的になっているかどうかの判断に使えます。
Titan Anti-spam and Securityは、総合的なセキュリティプラグインですが、自己学習型のスパム対策機能が特に魅力です。ユーザーに脅威を与える可能性のある悪質なコンテンツがコメントスレッドに表示されなくなります。
価格
コメントに対する標準的なスパムブロック機能が使用できる無料版があります。すべてのスパム防止機能を搭載した有料版には、いくつかの料金プランがあります。
- 1サイト:55ドル/年
- 3サイト:159ドル/年
- 6サイト:319ドル/年
Titan Anti-spam and Securityの優れた点
- CAPTCHAを必要とせず、すっきりとしたインターフェースを実現。
- バックグラウンドで動作する自己学習型(特定のサイト上のスパム検出アルゴリズムが継続的に改善されていく)スパム抑制機能。
- サイトからすべてのスパムコメントを即時削除し、スパムとしてフラグを立てる。
- ファイアウォールルールをオンにして、マルウェアスキャンの実行が可能。
- IPアドレスをリアルタイムでブロック。
- 攻撃ログに疑わしい活動の全インスタンスが保存される。ログはダウンロードして共有したり、自分のファイルに保存したりできる。
- ホスト名、IP、ユーザー名、リファラなどに基づいた高度なブロックルールを作成。
- セキュリティスキャナーは1000以上、有料バージョンでは最大6000の署名を使用。
- スキャン速度の調整が可能。
- 必要に応じてスケジュールを設定し、毎月、毎週スキャンの実行が可能。
- 管理画面から直接不要なファイルを削除できる。
- 強力なパスワードを要求し、ログインモジュール保護のため、投稿者ログインエリアを非表示にする設定が可能。WordPressのバージョンも隠すことができる。
攻撃者からファイルを隠す
15. Hide My WP
Hide My WPは、CMSとしてWordPressを使用していることを攻撃者、スパマー、WappalyzerやBuiltWithなどのテーマ検出ツールから隠す、人気のWordPress用セキュリティプラグインです。
SQLインジェクション、XSS、その他、リアルタイムのセキュリティを脅かす攻撃をブロックする侵入検知システム(IDS)がパッケージとして提供されています。警戒すべき対象を網羅したネットワークに基づき、プラグインをインストールした瞬間から、未知の攻撃者の排除が始まります。
このプラグインは、プラグインフォルダ、WordPressファイル、ログインURLを変更して隠すのに有用なツールであり、サイトを攻撃者から遠ざけることができます。
価格
Hide My WP は、CodeCanyonで販売されている有料(24 ドル)のWordPressセキュリティプラグインです。これは買い切り価格ですが、継続的なサポート(12ヶ月以上のサポートとアップデートの追加)には、プラスで最大17ドルの費用がかかります。プラグインを直接販売するウェブサイトはなく、WPWaveの開発者が情報サイトを公開しています。
補足)このプラグインの一部の機能は、Kinstaで機能しない場合があります。
Hide My WPの優れた点
- テーマ名、プラグイン名の非表示、パーマリンクの変更、wp-admin、ログインURLの非表示機能。
- PHPファイルへの直接アクセスをブロックして、WPクラス名をクリーンアップし、ディレクト表示を無効化。
- ユーザー名、IPアドレス、日付など、攻撃者の詳しい情報を含むかたちで、疑わしい活動を通知。
- 要注意IPアドレスが網羅されたネットワークに基づき、悪質なアドレスからのトラフィックを自動的に遮断。
- 操作しやすい。あらかじめ用意された設定の中から選び、ワンクリックで利用可能。
- マルチサイト、Apache、Nginx、IIS、有料テーマ、その他セキュリティプラグインに対応。
16. WP Hide and Security Enhancer
WP Hide and Security Enhancerは、WordPressファイルの扱い方に手を加えることで、プラグイン、テーマ、ログインページなどのコアファイルを非表示にし、侵入者がサイトの構成を把握したり、悪質な目的でファイルを使用したりするのを迅速かつ簡単に阻止してくれます。
WP Hideプラグインは、ユーザーの利便性を考え、直接ディレクトリを変更する代わりに、URLリライト方式でファイルを非表示にします。プラグインのインストール時に自動で実行されるため、すぐにサイトの重要な領域の非表示設定に取り掛かることができます。
WP Hide and Security Enhancerがユニークである理由の一つは、単にスラッグを変更するのではなく、デフォルトのWordPressファイルを隠してブロックすることです(ハッカーによるアクセスは可能ではありますが)。
また、他のプラグイン、テーマ、コアファイルがブロックされ、本来の機能が妨げられてしまうということはありません。WordPressのURL、ログイン情報、デフォルト設定を隠すのに非常に優れたWordPressセキュリティプラグインです。
価格
WP Hideには、ファイルブロック、URLリライト、さらにログイン URL変更機能を備えた無料版があります。開発者曰く、無料版には基本的なWordPressサイトには十分な機能が備わっています。
有料版へのアップグレードは、WordPressで複雑なプラグインやテーマを使用している場合、またはIISやApache以外のサーバータイプを使用している場合などにおすすめです。
無料版からのアップグレードの価格は以下の通りです。
- Single Site:39ドル/年
- Developer:130ドル/年
認証とログインのセキュリティ
17. WP fail2ban
WP fail2banの主要な機能としてブルートフォース攻撃からの保護が挙げられ、これは非常に重要な機能です。このプラグインは、一般的なセキュリティスイートプラグインよりも効果的であるとされる、独自のアプローチを採用しています。
WP fail2banは、すべてのログイン試行をその性質や成功に関わらず、LOG_AUTHを使用してSyslogに記録します。さらに、どちらか一方だけしかない従来のプラグインとは異なり、厳しいアクセス制限とソフトなアクセス制限のどちらかを選択して実装することができます。
特に設定や操作は必要なく、このプラグインをインストールするだけでOKです。
マルチサイトのサポート、空のユーザ名でのログイン試行のフィルタリング、Cloudflare用の設定機能など、そのブルートフォース攻撃対策を補完する新たな機能も追加されています。問題なく動作することが利用者から評価されており、傑出したプラグインです。
価格
無料
WP fail2banの優れた点
- 厳しい制限かソフトな制限かの選択が可能。
- CloudFlareやプロキシサーバーと連動。
- スパムや悪意のあるコメントを防ぐため、コメントをログに記録。
- スパム、ピンバック、ユーザー列挙攻撃の情報も記録。
- 簡単な定型コードを使用して、ユーザーを即時ブロックする(ログイン画面すら表示しない)ことも可能。
- API を使って好きなプラグインとの連動、Gravity FormsやContact Form 7用のアドオンの使用が可能。
- ダッシュボードウィジェットで、定期的にブロックされている脅威を確認することが可能。
- マルチサイトでプラグインの活用が可能。
18. miniOrange’s Google Authenticator – WordPress Two Factor Authentication
個別のセキュリティ機能ごとにプラグインをインストールするのは賢い選択とは言えません。iThemes Security Proのようなプラグインを使用すれば、必須のものと併せて何十もの機能も一括で利用できます。
とはいえ、多くのセキュリティプラグインは二要素認証を搭載しておらず、事情が異なります。そのため、このようなプラグインは別途インストールする価値があるでしょう。
miniOrangeのGoogle Authenticatorプラグインは、ログインモジュールにセキュリティの第二層を設定します。ほとんどのハッキングの試みは、ログイン画面を通じて起こるため、これは非常に重要な機能です。
通常のパスワードに加えて、携帯電話へのプッシュ通知、QRコードの使用やセキュリティのための質問など、何らかの形で認証を行う仕組みです。
第二層では、自分しか知らない情報、または所持しているもの(スマホなど)が必要になり、侵入者の不正ログインが圧倒的に難しくなります。
もう一つの優れた機能として、認証の種類選択だけでなく、どの役割を持つユーザーに認証が求められるか指定することが可能です。例えば、管理者は簡単にログインできるが、投稿者や他のユーザーには二要素認証が必要、などという設定が行えます。
価格
基本的な二要素認証機能は、無料で使用可能です。
無制限のサイトやユーザー数、より多くの認証方法、バックアップログイン方法、パスワードレスログインなど、より高度な機能やサービスを利用したい場合には、以下のいずれかのプランへのアップグレードが必要です。
- Premium Lite:99ドル/年
- Premium:199ドル/年
- Enterprise:59ドル/年から(ユーザー数に応じて変動)
Google Authenticatorの優れた点
- ログインの脆弱性を排除する上で非常に優秀なプラグイン。
- 好きな二要素認証方式の選択が可能。
- 認証処理が必要なユーザータイプの選択が可能。
- 独自のログインページにショートコードの適用が可能。
- 有料版では、セキュリティのための質問や認証メールの送信が可能。
- WhatsApp、Telegram、SMS、メールでのワンタイムパスワードを有効にすることができる。
- パスワードポリシーの変更、強力なパスワードの要求、パスワードレスログインの選択が可能。
- ファイル保護、監視、国別ブロック、IPブロック、データベースバックアップ、ブラウザブロックなど、高度なセキュリティ機能。
- デバイスの記憶、セッション管理、ページ制限、属性ベースのリダイレクトなど、複数のアドオンが販売されている。
19. WP Cerber Security
WP Cerber Securityは、アンチスパム、マルウェアスキャン、ログイン保護など、様々なセキュリティ機能が詰め込まれています。万能なセキュリティプラグインですが、特にログイン保護機能が抜き出ています。
Google reCAPTCHA、登録監視、悪質ユーザー追跡、ログイン試行回数制限、ブルートフォース攻撃ブロック設定など、複数の要素を使用してログインページを利用した侵入者を完全にブロックします。
さらに、ログイン前にアプリやメールに認証コードを送信する二要素認証を有効にする設定も用意されています。
ログインのセキュリティに加え、WP CerberにはWordPressとWooCommerce対応サイト向けのアンチスパム機能があり、登録フォーム、パスワード再発行フォーム、コメントエリアを保護する設定を行える点が優秀です。
Cloudflareとの統合、すべてのセキュリティデータのエクスポート、マルウェアやその他の脅威を特定する定期的なスキャンのスケジュール設定が可能です。それだけでなく、影響を受けたファイルを削除し、過去のバージョンを復元してサイトを正常な状態に戻すこともできます。
価格
WP Cerber Securityには3つのプランがあり、自動スパム対策とログインセキュリティを備えた無料プランもあります。
- 無料版
- Single:99ドル/年
- 5 Value Pack:399ドル/年
四半期または年間のプランがあり、上記の年間プランがお得です。有料版では、自動マルウェアスキャン、プロのサポート、クラウド保護、重層的スパム対策などの機能が利用できます。
WP Cerber Securityの優れた点
- 無料版では、ログイン試行回数の制限、IPアドレスに基づく制限の特定が可能。
- IPアドレスでログインを完全に制限。
- 独自のログインURLを生成。
- アンチスパムエンジンで、お問い合わせフォームやコメントを利用したスパムをブロック。
- 二要素認証を実行し、ログインする前にデバイスに認証コードを送信。
- セキュリティスキャナーで、サイトのすべてのコアファイルを検査。
- すべてのユーザーのインスタンスがログに記録され、疑わしい活動やボットを特定。
- ファイルの変更や異常な動作が検出され次第、メールで通知。
- ウェブサイトにログインしていないすべてのユーザーからのWordPress管理画面(wp-admin)へのアクセスを遮断。
- 個々のユーザーのブロックや、「許可されたユーザーのみ」モードの使用が可能。
サイトファイルのバックアップ
20. VaultPress
VaultPressも、iThemes Security ProやSucuri Scannerなどのプラグインと似た特徴があり、注目に値します。
1日1回、そしてリアルタイムのバックアップ機能がこのプラグインの要であり、美しいデザインのカレンダーからバックアップ作成のタイミングを指定できます。また、サイトの復元もワンクリックで完了します。
さらに、バックアップファイルはダッシュボードに複数保存されるため、その中から必要なものを選択することが可能です。バックアップに関してVaultPress最大の特長は、増分バックアップを採用していること。パフォーマンスの面で優れています。
主要なセキュリティ機能として、複数のタブからサイト上の疑わしい活動を監視し、履歴を閲覧したり、どの脅威が処理されたか、または無視されたかを確認できます。また、統計情報の確認、セキュリティの詳細全体をクリーンな管理画面から簡単に管理することも可能です。
価格
すべての保護機能が有料ですが、月額9.95ドルからで、初年度は割引でさらに安価になることが多いです。
追加プランとして、月額24.95ドルのセキュリティパッケージ、月額99.95ドルのコンプリートパッケージがあります。どちらのプランでも、全てのバックアップ機能と、マルウェアスキャンやスパム対策などの機能が利用できます。
補足)VaultPressはAutomattic社の製品で、当初は単体で販売されていましたが、現在はアドオンとしてJetpackとセットになっています。VaultPressはまだ個別のプラグインとして存在しますが、実質、Jetpackによって機能します。つまり、VaultPressはWordPressリポジトリからインストールできますが、支払いはJetpackのウェブサイトで行うことになります。紛らわしいですが、結論として独立したアドオンであるため、VaultPressはJetpackとは別に独立したプラグインとして今回ご紹介しています。
VaultPressの優れた点
- 価格設定は、他の有料WordPressセキュリティプラグインよりも手頃であり、特にバックアップが優れている。
- どんな人でも使用しやすいシンプルでクリーンな管理画面。
- カレンダーを利用したリアルタイムバックアップと手動バックアップ。
- 統計情報タブには、サイトの訪問者数が多い時間帯と、その時間帯に発生した脅威の情報が表示される。
- サイトの復元、バックアップの作業はVaultPressのスタッフに依頼可能。
- コメントから投稿、プラグインからテーマまで、あらゆるものをバックアップ。
- ボタンのクリックだけでファイルを以前の状態に復元可能。
- バックアップファイルをダウンロードし、好きな場所に保存可能。
- 最安価プランでも、10GBのバックアップストレージと30日間のアクティビティログとアーカイブが利用可能。
Enjoy peace of mind with our Google Cloud Firewall and hack fix guarantee. Try Kinsta for Free.
評価の高いバックアッププラグインについては、おすすめのWordPressの増分バックアッププラグイン4選(容量を節約してスピードUP)をご覧ください。
ハッキングへの対処
21. Shield Security
日々負担が大きくなるサイトのセキュリティ強化を肩代わりすることが、Shield Securityの最も重要な役割です。必要に応じたハッキング対処とインテリジェントな保護を行ってくれます。
人間の作業できる時間には限りがあります。だからこそ、スマートにサイトを守り、鬱陶しいまでのメール通知を行うことのないセキュリティプラグインを効率よく使用するのが賢明です。
初心者の方から上級者まで幅広く使用でき、有効化した瞬間からスキャンを開始してサイトを保護してくれます。すべての設定方法がドキュメントで公開されているため、いつでもサイトのセキュリティに関する詳しい情報を調べることが可能です。
価格
Shield Securityの基本機能は永久に無料です。より高度な保護と24時間体制のサポートが必要であれば、アップグレードをすることができます。
- Shield Pro:12ドル/月
- Shield Pro Agency:60ドル/月
- Shield Customer Support:追加で59ドル/年
Shield Securityのモットーは「No website left behind(1サイトも取り残さない)」。つまり、一部の資金の潤沢なサイトだけでなく、すべてのサイトが質の高いセキュリティ強化策を利用できるようにすることです。そのため、多くの機能が無料版で使用できます。
プロ版では、スキャン頻度の増加、ユーザーパスワード対策、より大規模な監査証跡、WooCommerceのサポート、トラフィック監視など、セキュリティを強化する機能が用意されています。
Shield Securityの優れた点
- 設定へのアクセスを特定のユーザーに制限する数少ないセキュリティプラグインの一つ。
- 侵入、ハッキング、ボットなどからサイトを保護。
- 検出後、自動的にハッキングや悪質ボットのブロックなどに対処。
- インテリジェントな保護機能を搭載。煩わしい通知なしでバックグラウンドで自動処理。
- セキュリティプラグインの中で唯一、3種類の二要素認証を無料提供。さらに認証方法の選択も可能。
- プロ版では、6倍以上の強力なスキャンで、サイトのあらゆる分野の問題を検出。
- 登録フォームやパスワードリセットモジュールなど、基本的なフォームのセキュリティを強化することができる。
- ブルートフォース保護、ファイアウォールセキュリティルール、管理者セキュリティアクセス制限を搭載。
22. Anti-Malware Security and Brute-force Firewall
Anti-Malware Security and Brute-force Firewallは、ウェブサイトの徹底スキャンを実行し、あらゆる脅威をブロックします。主な機能として、バックドアスクリプトやデータベースへのインジェクションなどの問題を制限し、サイトファイルの損害を与えた後の問題の修復をサポートします。
なお、この機能は自動で実行されるため、脅威の除去を懸念する必要がなくなります。
有料版では、最強のハックパッチ機能が利用可能で、wp-loginの問題を修復し、WordPressのコアファイルの整合性を復元することができます。
SQLレポートの表示、ボタンクリックで実行できるマルウェアのスキャン、隔離された全脅威の表示などの機能があり、比較的簡単に使用できるプラグインです。
価格
徹底的なサイトのスキャンとデータベーススクリプトやインジェクションなどの自動除去が含まれている無料版があります。また、ファイアウォールブロッキングとマルウェアの検出も無料で利用可能です。
任意で開発者に寄付をすると、有料の機能も利用できます。これには、高度なパッチ適用、コアファイルのチェック、既知の脅威の新しい定義付けなどの機能があります。
Anti-Malware Security and Brute-force Firewallの優れた点
- サイトをすべて脅威から保護。
- 自動または手動でセキュリティスキャンを実行し、データベースインジェクションやバックドアスクリプトを特定。
- ファイアウォールには、サイト上の特定のプラグインを保護する機能が搭載。
- スクリプトに脆弱性が見つかると、スクリプトのアップグレードが可能。
- DDoS攻撃やブルートフォース攻撃の後、サイトの特定部分にパッチを適用することが可能。
- 問題がないかすべてのコアファイルを検査。
- WordPressサイト向けの一般的な脅威の定義ファイルをダウンロード。
セキュリティログの実行
23. WP Activity Log
WP Activity Logは、サイト上のすべてのプロセスのログを生成し、ハッキングの試みがあった際にはユーザーの安全を確認して、問題が発生すればトラブルシューティングを行います。
このプラグインは、サイトとサイト訪問者を管理する優れたソリューションでもあります。すべてのログはリアルタイムで行われるため、常に何が起こっているかを把握することが可能です。
タグ、カテゴリ、ウィジェット、プロファイル、ユーザーが実行した変更など、サイトの一部はこのプラグインがログを取得します。その後、ページ、投稿、およびカスタム投稿タイプのすべての変更がこのログに記録されます。
これには、メタデータから独自のフィールド、URL、タイトルに至るまで、あらゆるものが含まれます。このプラグインは、作業を管理する手段として機能し、内部または外部のユーザーがサイトのファイルを不正に操作しようとしていないかを把握するために必須のプラグインです。
価格
アクティビティログ機能の大部分が使用できる無料版があります。機能が拡張された有料版には、以下のような料金プランが用意されています。
- Starter:99ドル/年
- Professional:139ドル/年
- Business:149ドル/年
- Enterprise:199ドル/年
WP Activity Logの優れた点
- 投稿とページを中心に、サイト上のすべてのアクティビティをフルタイムで追跡してログを記録。
- タグやカテゴリなど、ページや投稿のラベルに生じた変更をログに記録。
- プロファイルの変更やアクティビティ、テーマ、プラグインの調整など、ユーザーの修正内容を確認することが可能。
- ウィジェット、メニュー、WordPressのコアファイル、マルチサイトネットワーク、フォーム、データベース、ログインページなどの変更点を確認。
- データ、時間、送信元IPアドレス、担当ユーザーなどの変更に関する情報を表示。
- 有料版では、サイトにログインしているユーザーを表示することが可能。また、ユーザーの活動をリアルタイムで確認できる。
- トラブルに関するメッセージの受信、ボタンでユーザーを起動することが可能。
- アクティビティログを保存、アーカイブ、送信。
- フィルタやテキストでログの検索が可能。
- 他のソフトウェアでログのミラーリングが可能。
SSLの有効化
24. Really Simple SSL
Really Simple SSLは、WordPressサイトをSSL環境に移行するために必要な基盤を提供し、SSL証明書(オンライン接続を保護し、主にECサイトで取引データや個人データをハッカーから保護するために機能します)に接続します。
このプラグインは、サーバー環境内でSSLを有効にすることで動作します。その後、自動的にサイトのSSL証明書を作成して、Let’s Encryptから取得します。取得後はワンクリックでSSLを有効にすることができます。
SSL証明書の有効には、ある程度の専門知識(または、それを代行してくれるサーバー)が必要になります。そのため、Really Simple SSLは初心者に便利なプラグインです。
価格
コアプラグインは無料で、SSL環境を迅速に検出する機能が備わっており、証明書を持っていなければ、証明書を生成します。
有料版の価格帯は以下の通りです。
- Personal:29ドル/年
- Professional:69ドル/年
- Agency:169ドル/年
有料プランでは、プリロードリスト、混合コンテンツ修正、セキュリティヘッダなどの機能が利用できるようになります。
Really Simple SSLの優れた点
- ワンクリックのSSL証明書インストーラー
- サイトが安全な接続をしているかどうかを素早くスキャンすることが可能。
- このスキャン機能は、すべてのページでSSLが正しく動作しているかを確認するため、SSL有効後も役立つ。
- HTTP Strict Transport Securityの有効化が可能。
- 有料版では、混合コンテンツをスキャンして修正。
- 高度なセキュリティヘッダを数秒で実装。
- WordPress管理画面にフィードバックやセキュリティに関する豆知識が表示される。
どのWordPressセキュリティプラグインを選ぶべきか
さて、優れたWordPressセキュリティプラグインの数々をご紹介しましたが、この中からさらに私たちが厳選したプラグインは以下の通りです。こちらを参考にしていただければ、すべてのプラグインを試す手間が省け、必要なものを簡単に選ぶことができます。また、Kinstaのように、すでにセキュリティ機能やサービスが備わっているWordPressのサーバーを使用している場合は、プラグインが不要な場合があることもお忘れなく。
以下は、各用途ごとに厳選したプラグインです。
- 万全のサイト保護・フルタイムの監視 ─ Sucuri Security、iThemes Security、Wordfence Security、All In One WP Security & Firewall、またはBulletProof Security
- マルウェア、ウイルス、不審なIPのスキャン・阻止 ─ SecuPress,、WPScan、Security Ninja、MalCare Security、またはSecurity & Malware Scan by CleanTalk
- スパム・ボット対策 ─ Jetpack、Astra Web Security、Stop Spammers Security、またはTitan Anti-spam
- 侵入者からファイルを隠す ─ Hide My WP、またはWP Hide & Security Enhancer
- 認証とログインのセキュリティ ─ WP fail2ban、miniOrange’s Google Authenticator、またはWP Cerber Security
- サイトファイルのバックアップ ─ VaultPress
- ハッキングへの対処 ─ Shield Security、またはAnti-Malware Security and Brute-force Firewall
- セキュリティログの実行 ─ WP Activity Log
- SSLの有効化 ─ Really Simple SSL
プラグインをインストールする以外にも、サイトのセキュリティをさらに向上させる対策を講じることができます。例えば、Lockrのオフサイでのキー管理サービス(有料)は、サイトの重大な脆弱性から保護し、データの安全確保に役立ちます。また、WordPressへの簡単な組み込みが可能です。
もちろん、世の中にあるすべてのプラグインを網羅することはできませんが、今回ご紹介したプラグインは、Kinstaがユーザーとの経験に基づいて推奨するものです。これ以外にも優れたプラグインがあれば、ぜひ以下のコメント欄でお聞かせください。
ECサイトを運用されている方はこちらをご覧ください:eコマースサイトの詐欺対策:最悪の7つの不正行為とそれを防ぐ方法(対策ツール10選)
Kinstaは、長期契約不要のプラン、サイト移行サービス、30日間の返金保証をご用意しています。Kinstaのサーバープランをご覧いただくか、営業までお問い合わせいただけましたら、最適なプランをご紹介いたします。
コメントを残す