WordPressセキュリティプラグイン22選（サイトを徹底保護）

サイトを立ち上げる際は、初期投資の段階からセキュリティ対策にも十分力を入れることが大切です。今日はハッキングやマルウェア、バックドア攻撃、SEOスパムなど、サーバーや訪問者データ、サイトのインフラを狙う脅威は数多く存在します。

こうしたセキュリティリスクは、将来的な収益や顧客からの信頼、さらにはサイト全体の安全性にまで深刻な影響を及ぼす可能性があります。今回は、さまざまな脅威からサイトを守る、WordPress向けセキュリティプラグインを厳選してご紹介します。

セキュリティプラグインを導入するのは、家を購入する際に保険へ加入したり、防犯システムを設置したりするのと似ていて、住宅には頭金や検査費用、ローンなど大きな投資が伴うからこそ、しっかり守りたいと思うものです。ウェブサイトも同じで、時間やコストをかけて構築した大切な資産だからこそ、万全の対策で保護する必要があります。

WordPressセキュリティプラグインの基本

WordPressコアには、デフォルトでいくつかのセキュリティ強化策が実施されていますが、優れたプラグインを使用することで、さらに向上することができます。良いWordPressセキュリティプラグインには、以下のような機能が備わっています。

• フルタイムのセキュリティ監視
• ファイルスキャン
• マルウェアのスキャン
• ブロックリストの監視
• セキュリティの要塞化
• ハッキング後の対策
• ファイアウォール
• ブルートフォース攻撃対策
• セキュリティの脅威検出時の通知

さらに機能が搭載されたプラグインもありますが、基本的には上記の機能が標準と言えます。

最優先事項は安全なサーバー

サイトのセキュリティ強化は、土台となるサーバー選びから始まります。WordPressセキュリティプラグインを探す前に、すべてのプランでエンタープライズ級のセキュリティを提供するKinstaのような、堅牢なセキュリティ対策が組み込まれているWordPressに特化したサーバーを利用することが重要です。

セキュリティ対策の多くはサーバーレベルで行われるため、サイトのパフォーマンスに影響を与えることなく、はるかに効果的な措置を取ることが可能です。また、よくわからないプラグインのセキュリティ設定に費やす時間を省くことができます。

KinstaのWordPress専用マネージドクラウドサーバーには、以下のようなセキュリティ機能が搭載されています。

• DDoS攻撃の検出、稼働率の監視、1分間に6回以上ログインに失敗したIPを自動的にブロック。
• WordPressサイトへの直接アクセスは、暗号化されたSFTPおよびSSH（FTPは不可）接続のみをサポート（FTPとSFTPの違いはこちら）。
• 訪問者データへのアクセスを防止する、ハードウェアのファイアウォール、追加のアクティブ・パッシブセキュリティ強化策を実施。
• open_basedirの制限で、悪質なスクリプトが埋め込まれやすい標準的なディレクトリでのPHP 実行を阻止。
• 高性能なクラウドインフラ上で分離コンテナを採用しており、各アカウントおよび各WordPress サイトを完全に分離（一般的なサーバー環境と比べてより安全性の高い方式）。また、保存データの暗号化にも対応。
• サポートされているPHPバージョンのみ実行。サポートされていないバージョンは、セキュリティアップデートやパッチ適用がなく、脆弱性が高くなるため、定期的なバージョンアップを推奨。
• 必要に応じて復元が行えるよう、すべてのサイトの2週間分のバックアップを自動作成。
• 二要素認証でログイン時のセキュリティを強化。
• サイト構築のたびに、強固なパスワードの生成を要求。
• 100％のハッキング防止は不可能であることを考慮し、万が一ハッキングされた場合には無料で修復。

多くのセキュリティプラグインは、常に作動していることが原因でパフォーマンスの問題を引き起こします。そのため、Kinstaでは一部のセキュリティプラグインの使用を禁止しています。

Kinstaをご利用であれば、特にボットやプロキシのトラフィックを減らすために特別な保護やサポートが必要な場合、Kinstaと併せてCloudflareやSucuriなどのソリューションを使用することを強くおすすめします。Sucuriは、DDoS攻撃を即座に軽減し、Cloudflareは、推奨ファイアウォールの設定を行うことができます。

現在ご利用のサーバーでKinstaのような徹底したセキュリティが提供されていない場合は、これからご紹介するセキュリティプラグインを取り入れてみてください。

おすすめWordPressセキュリティプラグイン22選

お急ぎの場合には、以下から気になるものをクリックして、実際に試しながら検討してみてください。このまま読み進めると、各プラグインの詳しい解説をご覧いただけます。

1. Sucuri Security – Auditing, Malware Scanner and Security Hardening
2. Wordfence Security
3. MalCare Security
4. All In One WP Security & Firewall
5. BulletProof Security
6. SecuPress
7. WPScan – WordPress Security Scanner
8. Security Ninja
9. Security & Malware Scan by CleanTalk
10. Jetpack
11. Astra Web Security
12. Stop Spammers Security
13. Titan Anti-spam and Security
14. Hide My WP
15. WP Hide & Security Enhancer
16. WP fail2ban
17. miniOrange’s Google Authenticator
18. VaultPress
19. Shield Security
20. Anti-Malware Security and Brute-force Firewall
21. WP Activity Log
22. Really Simple SSL

便利なセキュリティプラグインのほとんどは有料ですが、一部機能を無料で利用できるものもあります。

価格についても触れていきますが、何よりもプラグインの機能を理解することが肝心です。最終的には、攻撃者を寄せ付けない最善策を取るのが重要であり、その実現には、多少の投資も必要になります。

包括的なサイト保護・常時監視

1. Sucuri Security ─ 監査、マルウェアスキャン、セキュリティ強化

Sucuriのセキュリティプラグインには、有料版と無料版があります。例えば、ファイアウォールは有料プランの契約が必要になりますが、そこまでの機能は必要ない一般的なサイトであれば無料版で十分です。

無料の機能として、このプラグインがどれだけ厳しくサイトを保護できているかの監査機能が付帯します。

ファイル整合性監視、ブロックリストの監視、セキュリティ通知、セキュリティ強化などの機能が備わっています。有料プランでは、カスタマーサポート、より定期的なスキャン（12時間毎など）が利用可能になります。

価格

無料プランあり。有料プランには30日間の返金保証が付いています。

• Basic Firewall：月額9.99ドル
• Pro Firewall：月額19.98ドル
• Basic Platform（クリーンアップ、スキャン、ファイアウォール、CDN）：月額199.99ドル
• Pro Platform：月額299.99ドル
• Business Platform：月額499.99ドル

Sucuri Securityのおすすめポイント

• さまざまな種類のSSL証明書を提供。有料だが、全種類がセットで含まれる。
• カスタマーサポートは、24時間365日体制のチャット、メール、チケットシステムで対応。
• サイトでの問題発生時には通知を受け取ることが可能。
• 一部のプランには、高度なDDoS対策も。
• 無料プランでもブロックリスト監視、マルウェアスキャン、ファイル整合性監視、セキュリティの要塞化などの機能の利用が可能。
• 有料のPlatform版では、クリーンアップ後のレポート、ハードウェア削除のSLA、ブロックリストの監視、セキュリティパッチなどの機能が備わっている。

さらに詳しい情報はこちら：How to Set up Sucuri Firewall (WAF) on Your WordPress Site

2. Wordfence Security

Wordfence Securityは、最も人気のあるWordPressセキュリティプラグインの一つです。その理由は、堅牢なログインセキュリティ機能、セキュリティ事故発生時のデータ復旧機能など、強力な機能とシンプルさを兼ね備えているところにあります。また、大きな特長の一つとして、全体的なトラフィックの傾向やハッキングの試みについての洞察を確認することが可能です。

Wordfenceは、ファイアウォールのブロックからブルートフォース攻撃からの保護まで、あらゆる機能を備えた優秀な無料セキュリティプラグインです。

価格

無料版と、1サイトにつき年間99ドルからの有料版があります。

また、開発者向けの割引として、複数のサイトライセンスを登録すると、大幅な割引が適用されます。例えば、15ライセンス以上購入すると、25％オフとなり、1ライセンスにつき74.25ドルになります。

複数のウェブサイトを開発し、保護したい場合には、Wordfenceを検討してみてください。

割引の内容は以下の通りです。

• 1サイト：年間99ドル
• 2〜4サイト：年間10ドル（10%割引）
• 5〜9サイト：年間15ドル（15%割引）
• 10〜14サイト：年間20ドル（20%割引）
• 15サイト以上：年間25ドル（25%割引）

WordFence Securityのおすすめポイント

• 無料版でも、小規模なサイトには十分な機能が備わっている。
• 開発者は、複数のサイトライセンス登録することで費用の削減が可能。
• 国別ブロック、手動ブロック、ブルートフォース攻撃対策、リアルタイの脅威防御、ウェブアプリケーションファイアウォールなどの機能を備えた完全なファイアウォールスイート。
• スキャン機能で、マルウェア、リアルタイムの脅威、スパムを排除。WordPressファイルだけでなく、すべてのファイルをスキャンしてマルウェアを検出。
• Googleのクロール、ログインとログアウト、人間の訪問者、ボットなどを表示してトラフィックを監視。
• スマホからサインインしてサイトを監査できるなど、ユニークな機能も利用可能。
• コメントスパムフィルターにより、別途プラグインのインストールが不要。
• 使用しているプラグインを監視し、（通常、安全でない、またはハッキングされたことが原因で）WordPressのプラグインリポジトリから削除された、更新されなくなった、あるいは放棄されたものがあれば通知を送信。

3. MalCare Security

サイトがダウンした際に通知を送信してくれるため、攻撃に対して迅速に対応できます。また、マルウェアスキャン系プラグインは動作が重くなりがちですが、サイト速度へ影響を与えにくい軽量設計になっている点も大きな特長です。

価格

無料プランでは、マルウェアスキャン、プラグインファイアウォール、ログイン保護、ボット検出機能を利用できます。

有料プランでは、インスタントマルウェア除去、リアルタイムファイアウォール更新、改ざんされたファイルの確認機能など、追加機能を利用できます。料金は以下のとおりです。

• Basic：年額99ドル
• Plus：年額149ドル
• Pro：年額299ドル

各プランは1サイトごとの価格で、サイト数を増やすと料金も増加します。また、リアルタイムバックアップ（サイトあたり年間100ドル）、毎時バックアップスキャン（サイトあたり年間500ドル）、ビジュアルリグレッションテスト（サイトあたり年間100ドル）、プレミアムステージング環境の追加（環境ごとに月額20ドル、比例計算）などのアドオンも提供されています。

MalCare Securityのおすすめポイント

• サイト全体を分析するクラウドベースのマルウェアスキャン
• ボットを検出するだけでなく、ブロックにも対応するボット保護機能
• 不正侵入を防ぐインテリジェントなプラグイン監視システムとファイアウォール
• ログインページを保護し、不審なトラフィックを排除し、特定の国からの IP をブロックできるログイン保護機能
• ワンクリックで実行できるマルウェアスキャン
• ログインページのセキュリティを強化するCAPTCHA機能
• 業界のベストプラクティスを数秒で適用できるワンクリックのサイト強化機能
• 稼働状況監視
• ファビコンを悪用した攻撃、Cookie窃取、Googleのブロックリスト攻撃などの特殊な脅威への対策
• ハッキングに関する情報の確認と、問題を即座に削除できる機能

4. All In One WP Security & Firewall

All In One WP Security & Firewallは、最も充実した機能を持つ無料セキュリティプラグインの一つであり、操作性の良いインターフェースと質の高いカスタマーサポートが無料で利用できます。

セキュリティ強度のような初心者向けの指標や、セキュリティ強化に必要なことをグラフを用いて説明してくれるビジュアル性の高いセキュリティプラグインです。

機能は、基本、中級、上級の3つのカテゴリーに分類されており、知識豊富な開発者にも使えるプラグインです。

ユーザーアカウントの保護、手当たり次第のログイン試行のブロック、ユーザー登録のセキュリティの強化などが主な機能で、データベースとファイルのセキュリティ強化もプラグインに含まれています。

価格

無料

All In One WP Security & Firewallのおすすめポイント

• ブロックリスト機能でユーザーをブロックする特定の条件を設定することが可能。
• .htaccessと.wp-configのファイルのバックアップが可能。また、問題が発生した際の復元機能も。
• サイトの強度と特定の問題箇所を示すグラフを作成。一般ユーザーがサイトのセキュリティ状況を可視化するのに便利。
• 緊急時に備えた一時的なロックダウンボタン。
• 特定のセキュリティ機能のエクスポートおよびインポートが可能。
• iframeを使用し他のサイトで自分のサイトのコンテンツが表示されるのを阻止。
• ボットなどの侵入者からサイトの情報を隠してくれる。
• 途中の料金支払いなどはなく、無料で使用し続けることが可能。

5. BulletProof Security

BulletProof Securityプラグインは、継続的に開発、更新されているプラグインで、他のほとんどのセキュリティプラグインよりも豊富な機能を搭載しています。サイトの隔離、メールでの警告、アンチスパム、自動復元などの機能があります。

そのデータベースのバックアップやログインのセキュリティ機能から、WordPressの万能セキュリティプラグインと言えるでしょう。

以下の機能は無料で使えるため、まずは無料版を試してみてください。

• ログインのセキュリティと監視
• データベースのバックアップと復元
• MScanマルウェアスキャナー
• アンチスパム、アンチハッキング機能
• セキュリティログ
• 隠しプラグインフォルダ
• メンテナンスモード
• セットアップウィザードの完備

BulletProof Securityは、初心者にはやや複雑ですが、アンチエクスプロイト保護、FTPファイルロックなどのユニークな設定や機能を使用したい上級開発者にはおすすめのプラグインです。また、セットアップウィザードの自動修正機能で作業が楽になります。

価格

BulletProof Securityには、無料版と有料版があります。有料版は買い切り価格69.95ドルで、30日間の返金保証が付いています。

BulletProof Securityのおすすめポイント

• BPS ProのARQ侵入検知・防御システム（ARQ IDPS）の暗号化サービスや定期的なcronのcURLスキャン、フォルダのロックなど、ユニークで優れた機能を搭載。
• 無料版でも一般的なウェブサイトには十分な機能が利用可能。
• 無料版でもデータベースのバックアップが可能。
• プラグインフォルダの個別非表示設定が可能。
• 他のプラグインにないメンテナンスモード機能を搭載。
• セキュリティログとHTTPエラーログがサイトの脆弱性を監視。
• 強力なパスワードの生成を強制。
• テーマやプラグインの最新版がリリースされた時にリマインダーを送信。

マルウェア、ウイルス、不審なIPのスキャンの阻止

6. SecuPress

SecuPressは万能のセキュリティツールですが、マルウェアやウィルスなどの脅威をブロックすることに特化しているのが特長です。WP Mediaの共同設立者の一人であり、WP RocketやImagifyを開発しているJulio Potier氏によって開発されました。

優れたUIデザインで、使いやすいセキュリティプラグインをお探しなら、SecuPressがおすすめです。無料版には、ブルートフォース対策ログイン、IPアドレスに基づいたアクセスのブロック、ファイアウォールなどの機能があります。

また、他のセキュリティプラグインでは有料であることが多い、セキュリティキーの保護やボットのブロックも含まれています。マルウェアスキャン機能を使えば、疑わしい活動を検知し、侵入者をブロックすることも可能です。

さらに多くの機能を利用したければ、有料版には、アラートと通知、二要素認証、IPジオロケーションのブロック、PHPマルウェアスキャン、PDFレポートなどの機能が備わっています。

価格

無料版は、マルウェアスキャンとボットブロックに特化し、一般的なサイトには十分なセキュリティ機能が備わっています。有料版は、1サイトにつき年間69.99ドルから。5サイト、10サイト、25サイト、200サイトと契約すれば、1サイトあたりの価格は大幅に下がります。

追加機能の価格は以下の通りです。

• プロ版コンフィギュレーション：120ドル
• マルウェア除去：360ドル
• WordPressセキュリティトレーニング：449ドル
• セキュリティメンテナンス：39ドル

SecuPressのおすすめポイント

• トップクラスのUIデザインで、初心者でも使いやすい。
• 35項目のセキュリティチェックがある。
• 有料版では、セキュリティ警告、徹底的なマルウェアスキャン、ジオロケーションによる国のブロックなどの豊富な機能を搭載。
• ボット対策として、WordPressのログインURLの変更が可能。
• 脆弱性があるテーマやプラグイン、不正なコードを埋め込むように改ざんされたテーマやプラグインの検出。
• 不審なIPを検出してブロック。
• ブルートフォース攻撃によるログインを防止。
• セキュリティレポートをPDFとして保存したり、印刷したりすることが可能。

7. WPScan – WordPress Security Scanner

WordPressセキュリティプラグインのWPScaは、他とは異なるアプローチを取っています。セキュリティのプロやコミュニティによって毎日更新され、人力で作られた脆弱性データベースを使用しています。Automattic社が提供するこのデータベースには、21,000件以上の既知のセキュリティ脆弱性に関する情報が記録されています。

このデータベースをもとに、WordPressコアのバージョン、プラグイン、テーマの既知のセキュリティ脆弱性がスキャンされます。

さらに、公開されたデバッグログファイル、バックアップされたwp-config.phpファイル、弱いパスワードのユーザーのスキャンなど、他のセキュリティチェックも搭載しています。WPScanには、ほとんどのWordPressサイトに便利な無料APIプランがあり、より多くのAPIの使用が必要なユーザー向けに有料版も用意されています。

マルウェア、IP、ファイルスキャナーを探している場合には、このプラグイン一択でしょう。

価格

毎日25回までAPIリクエストを実行できる永久無料プランがあり（最大22のプラグインインストール）、平均的なWordPressサイトであればこれで十分です。有料プランでは、APIリクエストの数に応じて価格が上がっていきます。

以下が有料プランの価格です。

• Start：月額5ドル
• Professional：月額25ドル
• Enterprise：要相談

WPScanのおすすめポイント

• 随時更新される独自の脆弱性データベースを使用。
• 定期的にスキャンを実行し、コアファイル、logファイル、データベースファイルなどを検査。
• 脆弱性の発見時にメールで通知を受けられる。
• 特定の時間にスキャンを実行する設定が可能。
• 弱いパスワードを検知し、変更を促す。
• レポートの確認とダウンロードが可能。
• リスクスコアを取得し、サイトの脆弱性を的確に把握。
• セキュリティスキャナーで、ハッカーの目の付け所を確認することが可能。
• 発見された脆弱性に対して解決策を紹介するリンクや参考資料が用意されている。
• 脆弱性データベースに登録すると特典が得られるプログラムがある。

8. Security Ninja

このプラグインには、WordPress 環境における一般的な脆弱性、設定ミス、危険な構成を検出する50種類以上のセキュリティテストが含まれています。また、WordPress コアの整合性チェック、既知の脆弱性の警告、不審な変更の継続的な監視にも対応しています。そのため、単一レイヤーの保護に特化したセキュリティプラグインよりも、より包括的な役割を果たします。

特に本格的なサイト運営者にとって魅力的なのは、Premium 機能です。マルウェアスキャン、ファイアウォール機能、スケジュールスキャン、イベントログ、二要素認証、ブルートフォース対策、カスタムログイン URL 保護などを利用できます。これらの機能を組み合わせることで、単なる問題発生後の対処だけでなく、予防と可視化の両方を重視するユーザーにとって実用的な選択肢となっています。

また、継続的な監視に重点を置いている点も、このプラグインの大きな特徴です。セキュリティを「一度設定して終わり」のものとして扱うのではなく、スケジュールスキャン、アクティビティログ、脆弱性監視、ファイル整合性チェックなどを通じて、長期的なサイト保守を支援します。そのため、簡易的なチェックのみを行う軽量セキュリティプラグインよりも、継続運用に適しています。

さらに、クライアントサイトや複数の WordPress サイトを管理するユーザーにとっても重要性が高まっています。Security Ninja は MainWP 連携や、複数サイト管理向けの上位プランに対応しており、単一サイト向けのセキュリティプラグインよりも、制作会社や運用担当者向けの機能が充実しています。

比較的新しい差別化要素として、AI Security Advisor も搭載されています。これは WordPress 7 の新しい AI Connector Framework を活用した機能で、単に検出結果を表示するだけでなく、プラグインから取得した情報をもとに、平易な英語で整理されたセキュリティレビューを提供できます。これにより、技術的なセキュリティ情報の解釈に慣れていないユーザーでも、結果を理解しやすくなっています。

価格

無料版あり。有料プランは1サイトあたり年間119.99ドルから利用できます。複数サイトを管理するユーザー向けや、制作会社向けの上位プランも用意されています。

Security Ninjaのおすすめポイント

• WordPressの一般的な脆弱性を検出する50種類以上のセキュリティテスト
• 脆弱性監視とセキュリティ警告
• 不審なコードや既知の悪意あるパターンを検出するマルウェアスキャン
• ファイアウォール保護と悪意あるIPのブロック
• ブルートフォース対策や二要素認証を含むログイン保護
• カスタムログインURL対応
• WordPressコアファイルの整合性チェック
• スケジュールスキャンと継続的な監視
• イベントログと監査機能
• MainWP対応と制作会社向けワークフロー

Security Ninjaは現在、単にセキュリティテストを実行していくつかの設定を修正するだけではなく、予防、検出、監視、セキュリティ強化を1つにまとめた包括的なWordPressセキュリティプラットフォームへと進化しています。軽量なセキュリティチェッカー以上の機能を求めつつも、過度に複雑で肥大化したセキュリティ構成は避けたい場合には、おすすめの選択肢です。

9. Security & Malware Scan by CleanTalk

Security & Malware Scan by CleanTalkも、徹底したマルウェアチェックを実行し、疑わしいIPやボットを特定する優れたプラグインです。CleanTalkは、クラウドセキュリティを利用して、サイトの脅威を自動的にブロックし、サイト管理者に今後のセキュリティ強化策の改善に必要な情報を提供してくれます。

このプラグイン自体は無料ですが、ほとんどの機能は有料のクラウドセキュリティサービスに登録しないと利用できません。CleanTalkのプラグインは、悪質なIPアドレスやマルウェアを常に監視してくれるのがおすすめの理由です。

また、クラウド接続により、ほとんどのセキュリティ強化策をサーバーから切り離して行うことができるため、サイト速度が低下することはありません。

Clean Talkでは、問題を起こす可能性があるファイルが一覧で表示されます。非常に使いやすいプラグインです。ファイルを開いて、問題の原因を確認するには、プログラミングの経験が求められますが、有料プランを利用すれば、ファイルをカスタマーサポートに送り、分析とクリーンアップを依頼することが可能です。

他のプラグインに比べ、自動化の観点からは傑出しているとは言い難いですが、スキャナーの効率と正確さはトップクラスです。

その他にも、ブルートフォース攻撃のブロック、送信リンクの確認、二要素認証の有効化など、複数の機能が備わっています。

価格

プラグイン自体は無料ですが、実際に機能を使うためには、CleanTalkクラウドセキュリティサービスへの登録が必要です。

以下が価格一覧です。

• 1サイト：年間9ドル
• 3サイト：年間24ドル
• 5サイト：年間36ドル
• 10サイト：年間63ドル
• 20サイト：年間117ドル

40サイトを契約すると、年間180ドルになりますが、月額18ドルでウェブサイト無制限プランを選択することもできます。

Security & Malware Scan by CleanTalkのおすすめポイント

• クラウドベースのマルウェアスキャナーを使用して動作するため、無駄なサーバー容量の消費がない。
• マルウェア対策機能と併せて、アンチウィルススキャン機能も搭載。
• すべてのユーザーに自動セキュリティファイアウォールを提供。
• 毎日更新されるレポート、監査ログ、リアルタイムのトラフィックモニタリングの受け取りが可能。
• すべてのアウトバウンドリンクを検査。
• スキャンは自動的に（毎日）実行され、数ヶ月間クラウド上に保存される。
• コードが記述できない場合でも、CleanTalkに脆弱性のあるファイルを送信し、問題への対処を依頼することが可能。
• ブルートフォース攻撃対策、ログイン試行ログ、特定の国やIPアドレスからのログイン試行のブロックなど、複数のログインセキュリティ機能がある。
• 脅威の出現時には、管理者へメールで通知。

スパム・ボット対策

10. Jetpack

WordPressユーザーであれば、おそらくJetpackには馴染みがあるはず。Jetpackは多機能であることが人気の理由ですが、WordPress.comが作ったプラグインであることもその理由の一つです。Jetpackには非常に多くの機能があり、試してみるだけの価値があります。SNSやサイト速度を上げるモジュールが満載ですが、本当に優れた機能は、そのスパムとボット対策です。

その他にもセキュリティ機能が、お金を節約しながら評価の高いプラグインに頼りたい人には適したプラグインです。例えば、プロテクトモジュールは無料で、不審な活動を未然に防いでくれます。

Jetpackの基本的なセキュリティ機能は、ブルートフォース攻撃対策やアプリケーション許可リストにも対応しています。

また、スパムコメントは自動的に検出して削除されるため、スパム対策にはもってこいのプラグインです。このスパム対策は、WooCommerceをはじめとした全ECショップに対応しています。

価格

Akismetによる有名なスパム対策を無料で提供していますが、その他のセキュリティ機能は、定期契約が必要になります。

サイトのバックアップは月額9ドル程度で使用可能ですが、リアルタイムのマルウェアスキャンやフォームのスパム対策などの機能は、24.92ドルのプランが必要です。Jetpackは、頻繁に50％オフの割引を提供しているため、ぜひ活用してみてください。

ブルートフォース攻撃対策が無料のプラグインに搭載されているのも特筆すべき点です。

Jetpackのおすすめポイント

• 小規模なサイトであれば、無料プランでもある程度のセキュリティを確保することが可能。リーズナブルな価格の有料プランにアップグレードすると、完全サポートを受けることができる。
• スパム対策も万全で、Akismetが何百もの厄介なスパムコメントを自動的にアーカイブしてくれる。
• 有料プランでは、バックアップやセキュリティスキャンなどの特典があり、プラグインを実質、包括的スイートに変更することが可能。
• プラグインのアップデートをすべて管理。
• メールマーケティング、SNS、サイトのカスタマイズと最適化などあらゆる機能を搭載しているため、他のプラグインが不要。
• ブルートフォース攻撃対策は無料プランで使用可能。
• WordPressの管理画面上でサイトの統計情報を確認。
• 無料のコンテンツデリバリネットワーク（CDN）が、ウェブサイトの高速化をサポート。
• 死活監視。

11. Astra Security

Astra Security Suiteは、WordPressサイトに特化した信頼性の高いセキュリティプラグインです。Astraを使えば、マルウェア、SQLi、XSS、コメントスパム、ブルートフォース、その他100 以上の脅威を阻止してくれます。他のセキュリティプラグインを削除して、Astraにすべてを任せることが可能です。また、管理画面は非常に操作性が高く、ボタンの数も多くありません。

スパムとボット対策がAstraWeb Securityの魅力です。偽の検索エンジンのボットなど、悪質なボットのブロックを優先的に行ってくれます。

すべてのスパムを自動的にブロックしながら、スパムコメントの抑制、SEOスパムへの対処など、複数の形態のスパムにも対応します。

スパムやボット対策と併せて、定期的なスキャンの実行、ハッキング発生後のサイト修復も行います。ブルートフォース攻撃、ハッキングによるSEOスパム、SQLインジェクション、WPバックドアを利用した攻撃、収益化をもくろむハッキングなど、潜在的なあらゆる攻撃を網羅しています。

価格

Astraは有料プラグインです。サイトにインストールすることはできますが、以下のいずれかの料金プランを契約するまでは機能しません。

• Pro：月額19ドル〜
• Advanced：月額39ドル
• Business：月額119ドル

Astra Security Suiteのおすすめポイント

• WordPressのプラグインとしてインストールするので、DNS設定の変更が不要。
• マルウェアの即時駆除、SQLi、XSS、インジェクション攻撃、悪質なボット、ブルートフォース、SEOスパム、その他100以上のサイバー攻撃を阻止する堅牢なファイアウォールあり。
• SEOスパムからコメントスパムまで網羅したスパム対策。
• 継続的なボット追跡。
• 攻撃を阻止した回数、1時間ごとのログイン数などの情報を記載したレポートを毎日メールで送信。
• 悪質なファイルのアップロードを自動的にブロック。
• WordPressサイトのビジネスエラーロジックを含むセキュリティ監査。
• 操作性の高い管理画面で、すべての攻撃を記録し、国、IP範囲、URLなどをブロック、または許可リストへの追加を選択可能。
• ハッカーが発見したサイトの脆弱性を安全に共有できる場であるバグ報告プラットフォームが利用可能。報告された問題は、Astraのエンジニアが検証。

12. Stop Spammers Security

Stop Spammers Securityはスパムを最小限に抑えるトップクラスのWordPressセキュリティプラグインです。その機能はコメントスパム対策だけではありません。プラグインやフォーム、コメントなどを通じてスパムを識別してブロックします。

例えば、特定の国やユーザー、または一般的に不審とされる行動など、ブロックする対象を予め設定することができます。

このプラグインの発想は、サイトの状況に応じて、スパムのブロック方法を独自に構築するというものです。さまざまな設定の中から、必要なものだけを選び、不要なものはオフにすることができます。

スパム対策強化のため、基本的な機能の他にも、CAPTCHAの表示、会員専用モードの有効化、ユーザーのログイン時に都度アクセスを要求する設定など、ログイン周りのセキュリティ強化策もあります。

価格

基本的な機能（不審な行動、スパムワード、スパムコメント、特定の国をブロックする機能など）は、無料版で利用することができます。有料版にアップグレードすると、さらに多くの機能が利用可能になります。年間29ドルからで、ライセンスを追加するごとに価格が上がります。

有料版だけの機能として、サーバーレベルのファイアウォール保護、ブルートフォース対策のログイン画面強化、ログのエクスポート、Contact Form 7の保護などが挙げられます。

Stop Spammer Securityのおすすめポイント

• 疑わしい活動やボットを検知して、脅威を隔離し、サイト管理者に通知。
• 不審な行動が頻発している国をブロック。
• フォームから侵入するタイプからコメントスパムまで、あらゆるウェブサイトのスパムを抑制。
• URL短縮ツールや使い捨てメールなど、（危険性の疑われる）ユーザーの身元を隠し得る要素をブロック。
• サイト上で特定のユーザー名、メール、IPアドレスのブロック、または許可の選択が可能。
• 一部ユーザーにアクセス申請を強制。
• ログインページにCAPTCHAフォームの設置が可能。
• コンテンツへのアクセスを承認したユーザーのみに制限する会員限定モードの設定が可能。
• 有料版では、高度なファイアウォールの有効化が可能。
• 有料版では、通知制御、インポート設定、エクスポート、テーマ別ページが使用可能。
• 有料プランでは、組み込み型のお問い合わせフォームとContact Form 7の保護機能が使用可能。

13. Titan Anti-spam and Security

Titan Anti-spam and Securityには、マルウェアなどのセキュリティ面での脅威をスキャンしながら、スパムの削減を行うための機能が一式揃っています。定期的に監査を行い、不審なアクセスがあるたびに報告してくれます。

ファイアウォールのルールを使って、ブロックする対象を指定することもできます。管理画面では、各機能がタブで分かれており、初心者でも使いやすいインターフェースになっています。

サイト管理者は、ボタンをクリックするだけでファイアウォール、サイトチェッカー、エラーログなどの機能を使用できます。

過去1週間のすべてのスパム攻撃をグラフ化してくれるアンチスパム統計は、特に際立っています。プラグインが機能しているかどうかを把握するのに役立ち、全般的にサイトがスパムの標的になっているかどうかの判断に使えます。

Titan Anti-spam and Securityは、総合的なセキュリティプラグインですが、自己学習型のスパム対策機能が特に魅力です。ユーザーに脅威を与える可能性のある悪質なコンテンツがコメントスレッドに表示されなくなります。

価格

コメントに対する標準的なスパムブロック機能が使用できる無料版があります。すべてのスパム防止機能を搭載した有料版には、いくつかの料金プランがあります。

• 1サイト：年額55ドル
• 3サイト：年額159ドル
• 6サイト：年額319ドル

Titan Anti-spam and Securityのおすすめポイント

• CAPTCHAを必要とせず、すっきりとしたインターフェースを実現。
• バックグラウンドで動作する自己学習型（特定のサイト上のスパム検出アルゴリズムが継続的に改善されていく）スパム抑制機能。
• サイトからすべてのスパムコメントを即時削除し、スパムとしてフラグを立てる。
• ファイアウォールルールをオンにして、マルウェアスキャンの実行が可能。
• IPアドレスをリアルタイムでブロック。
• 攻撃ログに疑わしい活動の全インスタンスが保存される。ログはダウンロードして共有したり、自分のファイルに保存したりできる。
• ホスト名、IP、ユーザー名、リファラなどに基づいた高度なブロックルールを作成。
• セキュリティスキャナーは1000以上、有料バージョンでは最大6000の署名を使用。
• スキャン速度の調整が可能。
• 必要に応じてスケジュールを設定し、毎月、毎週スキャンの実行が可能。
• 管理画面から直接不要なファイルを削除できる。
• 強力なパスワードを要求し、ログインモジュール保護のため、投稿者ログインエリアを非表示にする設定が可能。WordPressのバージョンも隠すことができる。

攻撃者からファイルを隠す

14. Hide My WP

Hide My WPは、CMSとしてWordPressを使用していることを攻撃者、スパマー、WappalyzerやBuiltWithなどのテーマ検出ツールから隠す、人気のWordPress用セキュリティプラグインです。

SQLインジェクション、XSS、その他、リアルタイムのセキュリティを脅かす攻撃をブロックする侵入検知システム（IDS）がパッケージとして提供されています。警戒すべき対象を網羅したネットワークに基づき、プラグインをインストールした瞬間から、未知の攻撃者の排除が始まります。

このプラグインは、プラグインフォルダ、WordPressファイル、ログインURLを変更して隠すのに有用なツールであり、サイトを攻撃者から遠ざけることができます。

価格

Hide My WP は、CodeCanyonで販売されている有料（24 ドル）のWordPressセキュリティプラグインです。これは買い切り価格ですが、継続的なサポート（12ヶ月以上のサポートとアップデートの追加）には、プラスで最大17ドルの費用がかかります。プラグインを直接販売するウェブサイトはなく、WPWaveの開発者が情報サイトを公開しています。

補足）このプラグインの一部の機能は、Kinstaで機能しない場合があります。

Hide My WPのおすすめポイント

• テーマ名、プラグイン名の非表示、パーマリンクの変更、wp-admin、ログインURLの非表示機能。
• PHPファイルへの直接アクセスをブロックして、WPクラス名をクリーンアップし、ディレクト表示を無効化。
• ユーザー名、IPアドレス、日付など、攻撃者の詳しい情報を含むかたちで、疑わしい活動を通知。
• 要注意IPアドレスが網羅されたネットワークに基づき、悪質なアドレスからのトラフィックを自動的に遮断。
• 操作しやすい。あらかじめ用意された設定の中から選び、ワンクリックで利用可能。
• マルチサイト、Apache、Nginx、IIS、有料テーマ、その他セキュリティプラグインに対応。

15. WP Hide and Security Enhancer

WP Hide and Security Enhancerは、WordPressファイルの扱い方に手を加えることで、プラグイン、テーマ、ログインページなどのコアファイルを非表示にし、侵入者がサイトの構成を把握したり、悪質な目的でファイルを使用したりするのを迅速かつ簡単に阻止してくれます。

WP Hideプラグインは、ユーザーの利便性を考え、直接ディレクトリを変更する代わりに、URLリライト方式でファイルを非表示にします。プラグインのインストール時に自動で実行されるため、すぐにサイトの重要な領域の非表示設定に取り掛かることができます。

WP Hide and Security Enhancerがユニークである理由の一つは、単にスラッグを変更するのではなく、デフォルトのWordPressファイルを隠してブロックすることです（ハッカーによるアクセスは可能ではありますが）。

また、他のプラグイン、テーマ、コアファイルがブロックされ、本来の機能が妨げられてしまうということはありません。WordPressのURL、ログイン情報、デフォルト設定を隠すのに非常に優れたWordPressセキュリティプラグインです。

価格

WP Hideには、ファイルブロック、URLリライト、さらにログイン URL変更機能を備えた無料版があります。開発者曰く、無料版には基本的なWordPressサイトには十分な機能が備わっています。

有料版へのアップグレードは、WordPressで複雑なプラグインやテーマを使用している場合、またはIISやApache以外のサーバータイプを使用している場合などにおすすめです。

無料版からのアップグレードの価格は以下の通りです。

• Single Site：年額39ドル
• Developer：年額130ドル

認証とログインのセキュリティ

16. WP fail2ban

WP fail2banの主要な機能としてブルートフォース攻撃からの保護が挙げられ、これは非常に重要な機能です。このプラグインは、一般的なセキュリティスイートプラグインよりも効果的であるとされる、独自のアプローチを採用しています。

WP fail2banは、すべてのログイン試行をその性質や成功に関わらず、LOG_AUTHを使用してSyslogに記録します。さらに、どちらか一方だけしかない従来のプラグインとは異なり、厳しいアクセス制限とソフトなアクセス制限のどちらかを選択して実装することができます。

特に設定や操作は必要なく、このプラグインをインストールするだけでOKです。

マルチサイトのサポート、空のユーザ名でのログイン試行のフィルタリング、Cloudflare用の設定機能など、そのブルートフォース攻撃対策を補完する新たな機能も追加されています。問題なく動作することが利用者から評価されており、傑出したプラグインです。

価格

無料

WP fail2banのおすすめポイント

• 厳しい制限かソフトな制限かの選択が可能。
• CloudFlareやプロキシサーバーと連動。
• スパムや悪意のあるコメントを防ぐため、コメントをログに記録。
• スパム、ピンバック、ユーザー列挙攻撃の情報も記録。
• 簡単な定型コードを使用して、ユーザーを即時ブロックする（ログイン画面すら表示しない）ことも可能。
• API を使って好きなプラグインとの連動、Gravity FormsやContact Form 7用のアドオンの使用が可能。
• ダッシュボードウィジェットで、定期的にブロックされている脅威を確認することが可能。
• マルチサイトでプラグインの活用が可能。

17. miniOrange’s Google Authenticator – WordPress Two Factor Authentication

個別のセキュリティ機能だけを提供するプラグインは、あまり導入する意味がない場合もあります。しかし、二要素認証は別です。多くのセキュリティスイートには二要素認証機能が含まれていないこともあるためです。そのため、このようなプラグインを使ってログインセキュリティを強化する価値は十分にあります。

miniOrangeのGoogle Authenticatorプラグインは、ログインモジュールにセキュリティの第二層を設定します。ほとんどのハッキングの試みは、ログイン画面を通じて起こるため、これは非常に重要な機能です。

通常のパスワードに加えて、携帯電話へのプッシュ通知、QRコードの使用やセキュリティのための質問など、何らかの形で認証を行う仕組みです。

第二層では、自分しか知らない情報、または所持しているもの（スマホなど）が必要になり、侵入者の不正ログインが圧倒的に難しくなります。

もう一つの優れた機能として、認証の種類選択だけでなく、どの役割を持つユーザーに認証が求められるか指定することが可能です。例えば、管理者は簡単にログインできるが、投稿者や他のユーザーには二要素認証が必要、などという設定が行えます。

価格

基本的な二要素認証機能は、無料で使用可能です。

無制限のサイトやユーザー数、より多くの認証方法、バックアップログイン方法、パスワードレスログインなど、より高度な機能やサービスを利用したい場合には、以下のいずれかのプランへのアップグレードが必要です。

• Premium Lite：年額99ドル
• Premium：年額199ドル
• Enterprise：年額59ドル〜（ユーザー数に応じて変動）

Google Authenticatorのおすすめポイント

• ログインの脆弱性を排除する上で非常に優秀なプラグイン。
• 好きな二要素認証方式の選択が可能。
• 認証処理が必要なユーザータイプの選択が可能。
• 独自のログインページにショートコードの適用が可能。
• 有料版では、セキュリティのための質問や認証メールの送信が可能。
• WhatsApp、Telegram、SMS、メールでのワンタイムパスワードを有効にすることができる。
• パスワードポリシーの変更、強力なパスワードの要求、パスワードレスログインの選択が可能。
• ファイル保護、監視、国別ブロック、IPブロック、データベースバックアップ、ブラウザブロックなど、高度なセキュリティ機能。
• デバイスの記憶、セッション管理、ページ制限、属性ベースのリダイレクトなど、複数のアドオンあり。

サイトファイルのバックアップ

18. VaultPress

VaultPressもSucuri Scannerなどのプラグインのような優れものです。

1日1回、そしてリアルタイムのバックアップ機能がこのプラグインの要であり、美しいデザインのカレンダーからバックアップ作成のタイミングを指定できます。また、サイトの復元もワンクリックで完了します。

さらに、バックアップファイルはダッシュボードに複数保存されるため、その中から必要なものを選択することが可能です。バックアップに関してVaultPress最大の特長は、増分バックアップを採用していること。パフォーマンスの面で優れています。

主要なセキュリティ機能として、複数のタブからサイト上の疑わしい活動を監視し、履歴を閲覧したり、どの脅威が処理されたか、または無視されたかを確認できます。また、統計情報の確認、セキュリティの詳細全体をクリーンな管理画面から簡単に管理することも可能です。

価格

すべての保護機能が有料ですが、月額9.95ドルからで、初年度は割引でさらに安価になることが多いです。

追加プランとして、月額24.95ドルのセキュリティパッケージ、月額99.95ドルのコンプリートパッケージがあります。どちらのプランでも、全てのバックアップ機能と、マルウェアスキャンやスパム対策などの機能が利用できます。

補足）VaultPressはAutomattic社の製品で、当初は単体で販売されていましたが、現在はアドオンとしてJetpackとセットになっています。VaultPressはまだ個別のプラグインとして存在しますが、実質、Jetpackによって機能します。つまり、VaultPressはWordPressリポジトリからインストールできますが、支払いはJetpackのウェブサイトで行うことになります。紛らわしいですが、結論として独立したアドオンであるため、VaultPressはJetpackとは別に独立したプラグインとして今回ご紹介しています。

VaultPressのおすすめポイント

• 価格設定は、他の有料WordPressセキュリティプラグインよりも手頃であり、特にバックアップが優れている。
• どんな人でも使用しやすいシンプルでクリーンな管理画面。
• カレンダーを利用したリアルタイムバックアップと手動バックアップ。
• 統計情報タブには、サイトの訪問者数が多い時間帯と、その時間帯に発生した脅威の情報が表示される。
• サイトの復元、バックアップの作業はVaultPressのスタッフに依頼可能。
• コメントから投稿、プラグインからテーマまで、あらゆるものをバックアップ。
• ボタンのクリックだけでファイルを以前の状態に復元可能。
• バックアップファイルをダウンロードし、好きな場所に保存可能。
• 最安価プランでも、10GBのバックアップストレージと30日間のアクティビティログとアーカイブが利用可能。

Cloudflareのファイアウォールと無料ハッキング対処保証で安心。Kinstaの性能をまずは無料でお試しください。

評価の高いバックアッププラグインについては、おすすめのWordPressの増分バックアッププラグイン4選（容量を節約してスピードUP）をご覧ください。

ハッキングへの対処

Added:

19. Shield Security

日々負担が大きくなるサイトのセキュリティ強化を肩代わりすることが、Shield Securityの最も重要な役割です。必要に応じたハッキング対処とインテリジェントな保護を行ってくれます。

人間の作業できる時間には限りがあります。だからこそ、スマートにサイトを守り、鬱陶しいまでのメール通知を行うことのないセキュリティプラグインを効率よく使用するのが賢明です。

初心者の方から上級者まで幅広く使用でき、有効化した瞬間からスキャンを開始してサイトを保護してくれます。すべての設定方法がドキュメントで公開されているため、いつでもサイトのセキュリティに関する詳しい情報を調べることが可能です。

価格

Shield Securityの基本機能は永久に無料です。より高度な保護と24時間体制のサポートが必要であれば、アップグレードをすることができます。

• Shield Pro：月額12ドル
• Shield Pro Agency：月額60ドル
• Shield Customer Support：追加で年間59ドル

Shield Securityのモットーは「No website left behind（1サイトも取り残さない）」。つまり、一部の資金の潤沢なサイトだけでなく、すべてのサイトが質の高いセキュリティ強化策を利用できるようにすることです。そのため、多くの機能が無料版で使用できます。

プロ版では、スキャン頻度の増加、ユーザーパスワード対策、より大規模な監査証跡、WooCommerceのサポート、トラフィック監視など、セキュリティを強化する機能が用意されています。

Shield Securityのおすすめポイント

• 設定へのアクセスを特定のユーザーに制限する数少ないセキュリティプラグインの一つ。
• 侵入、ハッキング、ボットなどからサイトを保護。
• 検出後、自動的にハッキングや悪質ボットのブロックなどに対処。
• インテリジェントな保護機能を搭載。煩わしい通知なしでバックグラウンドで自動処理。
• セキュリティプラグインの中で唯一、3種類の二要素認証を無料提供。さらに認証方法の選択も可能。
• プロ版では、6倍以上の強力なスキャンで、サイトのあらゆる分野の問題を検出。
• 登録フォームやパスワードリセットモジュールなど、基本的なフォームのセキュリティを強化することができる。
• ブルートフォース保護、ファイアウォールセキュリティルール、管理者セキュリティアクセス制限を搭載。

20. Anti-Malware Security and Brute-force Firewall

Anti-Malware Security and Brute-force Firewallは、ウェブサイトの徹底スキャンを実行し、あらゆる脅威をブロックします。主な機能として、バックドアスクリプトやデータベースへのインジェクションなどの問題を制限し、サイトファイルの損害を与えた後の問題の修復をサポートします。

なお、この機能は自動で実行されるため、脅威の除去を懸念する必要がなくなります。

有料版では、最強のハックパッチ機能が利用可能で、wp-loginの問題を修復し、WordPressのコアファイルの整合性を復元することができます。

SQLレポートの表示、ボタンクリックで実行できるマルウェアのスキャン、隔離された全脅威の表示などの機能があり、比較的簡単に使用できるプラグインです。

価格

徹底的なサイトのスキャンとデータベーススクリプトやインジェクションなどの自動除去が含まれている無料版があります。また、ファイアウォールブロッキングとマルウェアの検出も無料で利用可能です。

任意で開発者に寄付をすると、有料の機能も利用できます。これには、高度なパッチ適用、コアファイルのチェック、既知の脅威の新しい定義付けなどの機能があります。

Anti-Malware Security and Brute-force Firewallのおすすめポイント

• サイトをすべて脅威から保護。
• 自動または手動でセキュリティスキャンを実行し、データベースインジェクションやバックドアスクリプトを特定。
• ファイアウォールには、サイト上の特定のプラグインを保護する機能が搭載。
• スクリプトに脆弱性が見つかると、スクリプトのアップグレードが可能。
• DDoS攻撃やブルートフォース攻撃の後、サイトの特定部分にパッチを適用することが可能。
• 問題がないかすべてのコアファイルを検査。
• WordPressサイト向けの一般的な脅威の定義ファイルをダウンロード。

セキュリティログの実行

21. WP Activity Log

WP Activity Logは、サイト上のすべてのプロセスのログを生成し、ハッキングの試みがあった際にはユーザーの安全を確認して、問題が発生すればトラブルシューティングを行います。

このプラグインは、サイトとサイト訪問者を管理する優れたソリューションでもあります。すべてのログはリアルタイムで行われるため、常に何が起こっているかを把握することが可能です。

タグ、カテゴリ、ウィジェット、プロファイル、ユーザーが実行した変更など、サイトの一部はこのプラグインがログを取得します。その後、ページ、投稿、およびカスタム投稿タイプのすべての変更がこのログに記録されます。

これには、メタデータから独自のフィールド、URL、タイトルに至るまで、あらゆるものが含まれます。このプラグインは、作業を管理する手段として機能し、内部または外部のユーザーがサイトのファイルを不正に操作しようとしていないかを把握するために必須のプラグインです。

価格

アクティビティログ機能の大部分が使用できる無料版があります。機能が拡張された有料版には、以下のような料金プランが用意されています。

• Starter：年間99ドル
• Professional：年間139ドル
• Business：年間149ドル
• Enterprise：年間199ドル

WP Activity Logのおすすめポイント

• 投稿とページを中心に、サイト上のすべてのアクティビティをフルタイムで追跡してログを記録。
• タグやカテゴリなど、ページや投稿のラベルに生じた変更をログに記録。
• プロファイルの変更やアクティビティ、テーマ、プラグインの調整など、ユーザーの修正内容を確認することが可能。
• ウィジェット、メニュー、WordPressのコアファイル、マルチサイトネットワーク、フォーム、データベース、ログインページなどの変更点を確認。
• データ、時間、送信元IPアドレス、担当ユーザーなどの変更に関する情報を表示。
• 有料版では、サイトにログインしているユーザーを表示することが可能。また、ユーザーの活動をリアルタイムで確認できる。
• トラブルに関するメッセージの受信、ボタンでユーザーを起動することが可能。
• アクティビティログを保存、アーカイブ、送信。
• フィルタやテキストでログの検索が可能。
• 他のソフトウェアでログのミラーリングが可能。

SSLの有効化

22. Really Simple SSL

Really Simple SSLは、WordPressサイトをSSL環境に移行するために必要な基盤を提供し、SSL証明書（オンライン接続を保護し、主にECサイトで取引データや個人データをハッカーから保護するために機能します）に接続します。

このプラグインは、サーバー環境内でSSLを有効にすることで動作します。その後、自動的にサイトのSSL証明書を作成して、Let’s Encryptから取得します。取得後はワンクリックでSSLを有効にすることができます。

SSL証明書の有効には、ある程度の専門知識（または、それを代行してくれるサーバー）が必要になります。そのため、Really Simple SSLは初心者に便利なプラグインです。

価格

コアプラグインは無料で、SSL環境を迅速に検出する機能が備わっており、証明書を持っていなければ、証明書を生成します。

有料版の価格帯は以下の通りです。

• Personal：年間29ドル
• Professional：年間69ドル
• Agency：年間169ドル

有料プランでは、プリロードリスト、混合コンテンツ修正、セキュリティヘッダなどの機能が利用できるようになります。

Really Simple SSLのおすすめポイント

• ワンクリックのSSL証明書インストーラー
• サイトが安全な接続をしているかどうかを素早くスキャンすることが可能。
• このスキャン機能は、すべてのページでSSLが正しく動作しているかを確認するため、SSL有効後も役立つ。
• HTTP Strict Transport Securityの有効化が可能。
• 有料版では、混合コンテンツをスキャンして修正。
• 高度なセキュリティヘッダを数秒で実装。
• WordPress管理画面にフィードバックやセキュリティに関する豆知識が表示される。

WordPressセキュリティプラグインの選び方

最後に、各分野で特におすすめなプラグインを以下にまとめました。複数のプラグインを使用して比較するのが面倒な方は、こちらを参考にしてみてください。また、Kinstaのように、すでにセキュリティ機能やサービスが組み込まれているWordPress用サーバーを利用している場合は、そもそも不要かもしれません。

• 万全のサイト保護・フルタイムの監視 ：Sucuri Security、Wordfence Security、All In One WP Security & Firewall、BulletProof Security
• マルウェア、ウイルス、不審なIPのスキャン・阻止：SecuPress、WPScan、Security Ninja、 MalCare Security、Security & Malware Scan by CleanTalk
• スパム・ボット対策：Jetpack、Astra Web Security、Stop Spammers Security、Titan Anti-spam
• 侵入者からファイルを隠す：Hide My WP、WP Hide & Security Enhancer
• 認証とログインのセキュリティ：WP fail2ban、miniOrange’s、Google Authenticator
• サイトファイルのバックアップ：VaultPress
• ハッキングへの対処 ─ Shield Security、Anti-Malware Security、Brute-force Firewall
• セキュリティログの実行：WP Activity Log
• SSLの有効化：Really Simple SSL

プラグインをインストールする以外にも、サイトのセキュリティをさらに向上させる対策を講じることができます。例えば、Lockrのオフサイでのキー管理サービス（有料）は、サイトの重大な脆弱性から保護し、データの安全確保に役立ちます。また、WordPressへの簡単な組み込みが可能です。

テーマやプラグインを適切に最新の状態に保つことも重要です。Kinsta自動アップデートアドオンを使用すると、MyKinstaで更新作業を安全に自動化することができます。

もちろん、世の中にあるすべてのプラグインを網羅することはできませんが、今回ご紹介したプラグインは、Kinstaがユーザーとの経験に基づいて推奨するものです。これ以外にも優れたプラグインがあれば、ぜひ以下のコメント欄でお聞かせください。

ECサイトを運用されている方は、ECサイトの詐欺対策に関する記事も併せてご覧ください。

Kinstaは長期契約の縛りなし、無料のサイト移行サービス、30日間の返金保証付き。リスクなしでお試しいただけます。KinstaのKinstaのプラン詳細、または営業部門までお問い合わせください。