06-6777-3688
BLOG

【重要】WordPressのセキュリティ対策にはプラグインを導入しよう

2020年9月7日

あなたはWordPressで作った自身のサイトにセキュリティ対策を施していますか?

WordPressでサイト運営するなら、セキュリティ対策は避けては通れない道です。

本記事では、WordPressに仕掛けられるサイバー攻撃の内容や、おすすめのセキュリティ対策用プラグインを5つ紹介していきます。

セキュリティ対策を万全にしておくことは、自分のサイトだけではなくあなたの読者を守ることにも繋がるのです。

ぜひ最後までお読みください。

WordPressにはセキュリティ対策用のプラグインが必要不可欠!

プラグイン

WordPressでホームページを始めとするサイトを作る際、セキュリティ対策が必要不可欠です。

もしセキュリティ対策を怠ったまま運営をしてしまうと、外からのサイバー攻撃により自分のサイトだけではなく、サイトに訪れた読者にも被害が及ぶ可能性があります。

サイバー攻撃は、サイト内の情報にいたずらしたり、読者の個人情報を抜き取ることが目的です。

ですから、WordPressにはセキュリティ対策用のプラグインを導入する必要があります。

WordPressはサイバー攻撃の対象にされやすい!?

セキュリティ

2020年現在、世界中のホームページサイトでWordPressが利用されています。

気になるシェア率は驚きの37%です。(参考:kinsta『WordPressの市場シェア』より)

言い換えれば、インターネット上にあるWebサイトの約3分の1がWordPressを利用していることになります。

そんなWordPressは、攻撃者としては非常に狙いやすいCMS(コンテンツ・マネジメント・システム)の1つです。

なぜなら、WordPressに関する弱点を1つでも知れば、多くのホームページを攻撃対象にすることができるからです。

WordPressに仕掛けられるサイバー攻撃とは?

サイバー攻撃

次に、WordPressに仕掛けられるサイバー攻撃にはどんなものがあるのかを解説していきます。

セキュリティ対策のプラグインを導入する前に、そもそもどんなサイバー攻撃があるのか知っておくことは非常に大切です。

WordPressに仕掛けられるサイバー攻撃は主に3種類に分けられます。

*WordPressに仕掛けられる3種類のサイバー攻撃
1.不正アクセス

2.脆弱性を利用した攻撃

3.スパムコメント
 

以上の3種類を詳しく解説していきます。

1.不正アクセス

1つ目は「不正アクセス」です。

不正アクセスとは、サイト運営者や権限を持っているユーザーとは関係のない人物が、管理画面へのアクセスをしようとする行為のことです。

不正アクセスの目的には、個人情報の漏洩やデータの改ざんなどが挙げられます。

不正アクセスを防ぐためには、以下の対策が有効です。

・ログイン画面のURLを変更する
・ログイン画面へのアクセスを制限する
・複数回ログインを失敗すると一時的にロックがかかるようにする

2.脆弱性を利用した攻撃

2つ目は「脆弱性を利用した攻撃」です。

悪意のある人間は、サイト内のあらゆるページに「脆弱性」がないか探し回っています。

特に、検索フォーム・コメント・掲示板などの入力欄は、サイバー攻撃に遭いやすいです。

例えば、検索フォームの入力欄から悪意のある言語を送信して、データベースを操作する方法があります。(SQLインジェクション)

SQLインジェクションをされると、ウイルス感染や個人情報が漏洩してしまう危険性が高いです。

また、掲示板・コメント欄に不正なスクリプト付きのリンクを送信し、クリックしてしまった読者のブラウザを攻撃する方法もあります。(クロスサイトスクリプティング)

クロスサイトスクリプティングをされると、読者がフィッシング詐欺の被害に遭ったり、個人情報が盗まれてしまうでしょう。

3.スパムコメント

3つ目は「スパムコメント」です。

スパムコメントとは、記事内容とは関係のないコメントのことをいいます。

目的としては、フィッシング詐欺・売名・架空請求などです。

基本的にはサイト内部のデータの被害はありませんが、読者に安全に利用してもらうためにも、スパムコメントの対策を怠らないようにしましょう。

WordPressのセキュリティ対策におすすめのプラグイン5選

プラグイン

では、いよいよWordPressのセキュリティ対策におすすめのプラグインを紹介していきます。

プラグインは全部で5つです。

*WordPressのセキュリティ対策におすすめのプラグイン5選
1.SiteGuard WP Plugin

2.iThemes Security

3.Wordfence Security

4.Google Authenticator

5.Akismet
 

厳選する上で、

・できるだけ日本語に対応したプラグインを選ぶ
・初心者でも扱いやすいプラグインを選ぶ

ことを意識しました。

では、1つずつ見ていきましょう。

おすすめプラグイン1:SiteGuard WP Plugin

おすすめのプラグイン1つ目は「SiteGuard WP Plugin」です。

基本的なセキュリティ対策はこれ1つで行うことができます。

国産なのでもちろん日本語対応ですし、初心者でも簡単に使うことができますよ。

プラグインをインストールして有効にするだけで、セキュリティ対策が機能するところも嬉しいポイントです。

*SiteGuard WP Pluginの主な機能
1.管理ページへのアクセス制限
/wp-admin/以降のフォルダにアクセス制限をかける機能

2.ログインページ変更
サイバー攻撃(不正アクセス)を防ぐためにデフォルトのwp-login.phpの名前を変更する機能

3.画像認証
「ログインページ」や「パスワード確認ページ」などに画像認証を設置できる機能

4.ログインロック
ログイン失敗を繰り返す接続元を一時的にロックする機能

5.ログインアラート
ログインがあったことをメールで通知する機能

おすすめプラグイン2:iThemes Security

おすすめのプラグイン2つ目は「iThemes Security」です。

WordPressに対して様々なセキュリティ対策を施せるプラグインとして多くのユーザーに知られています。

管理画面は見やすく、直感的に操作しやすいです。

管理画面が一部日本語対応となっているのも、人気の理由の1つといえるでしょう。

*iThemes Securityの主な機能
1.セキュリティチェック
推奨されている機能や設定を使用しているかどうか確認できる機能

2.404の検出
悪意を持つユーザーが情報を傍受するのを自動的にブロックできる機能

3.退席中モード
WordPressのダッシュボードにアクセスできる時間を指定する機能

4.禁止ユーザーをブロック
特定のIPアドレスでアクセスしてくるユーザーをブロックする機能

5.データベースのバックアップ
サイトのデータベースをバックアップする機能

6.ファイル変更の検出
ファイルの変更などを監視する機能

7.ローカルのブルートフォース保護
サイトへ手あたり次第にログイン情報を盗もうとする攻撃からサイトを守る機能

8.SSLの設定
ブラウザとサーバーの間の安全な通信を保証するSSLを使用できる

9.強力なパスワードの実施
WordPressのパスワードメーターで評価される協力なパスワードの使用をユーザーに強制する機能

おすすめプラグイン3:Wordfence Security

おすすめのプラグイン3つ目は「Wordfence Security」です。

「Wordfence Security」は、サイトがどの程度セキュリティ対策されているのかをチェックするプラグインです。

プラグインを有効化すると、WordPressからログイン通知のメールが送られてくるようになります。

*Wordfence Securityの主な機能
1.セキュリティ診断
WordPressを様々な方向からスキャンし、どれくらいセキュリティ対策がされているかを測る機能

2.ブロック機能
IPアドレスなどを基に、特定のユーザーをブロックする機能

3.ライブトラフィック機能
ログイン時に、ユーザーがロボットか人間かを確認できる機能

おすすめプラグイン4:Google Authenticator

おすすめのプラグイン4つ目は「Google Authenticator」です。

「Google Authenticator」は、不正アクセス防止を強化したいという方におすすめプラグインで、二段階認証を導入できる点が特徴です。

二段階認証とは、ID・パスワードの他に、セキュリティコードを追加するシステムのことをいいます。

万が一ログイン情報が漏れてしまっても、サイトへの不正アクセスを防ぐことができるので、必ず施しておきたいセキュリティ対策です。

おすすめプラグイン5:Akismet

おすすめのプラグイン5つ目は「Akismet」です。

スパムコメント対策では、一番といっていいほど有名なプラグインといえるでしょう。

コメントの送信内容をグローバルデータベースと照合し、スパムコメントがどうかを判別します。

すべて自動化されているので、サイト運営者はいちいちコメント内容を確認する必要はありません。

WordPressのセキュリティ対策はプラグインだけではない

ロック

WordPressのセキュリティ対策は、何もプラグインを導入することだけではありません。

次からは、プラグインを使わないWordPressのセキュリティ対策を紹介します。

*プラグインを使わないWordPressのセキュリティ対策
1.ファイル設定のアクセス権限をデフォルトから変更する

2.WordPressやテーマを最新版にする

以上の2つを詳しく解説していきます。

1.ファイル設定のアクセス権限をデフォルトから変更する

1つ目の対策は「ファイル設定のアクセス権限をデフォルトから変更すること」です。

WordPressには重要な設定ファイルがいくつも存在します。

中でも、「wp-config.php」は特に重要な設定ファイルです。

「wp-config.php」の中には、データベースにログインするためのIDとパスワードが記載されています。

もしその内容を見られると、勝手にデータベースにアクセスされてデータを削除されたり盗まれたりする可能性が高いです。

「wp-config.php」を守るためには、アクセス権限をデフォルトから変更する必要があります。

デフォルトのアクセス権限は「644」なので、ファイルの所有者以外も内容を見ることが可能な状態です。

そのアクセス権限を「644」から「600」に変更し、所有者だけが読み書きできる状態にしましょう。

2.WordPressやテーマを最新版にする

2つ目の対策は「WordPressやテーマを最新版にすること」です。

WordPressやWordPressのテーマは、随時アップデートされています。

機能の追加だけではなく脆弱性の修正も含まれているため、常に最新版に更新するようにしましょう。

ただ、使っているプラグインやテーマによってはアップデートをしたことで上手く動作しなくなる可能性があるので、バックアップを取っておいたり、子テーマを利用したりするなど慎重に対応しましょう。

セキュリティ対策を万全にしてあなたのサイト・読者を守ろう

本記事では、WordPressにはセキュリティ対策用のプラグインが必要だということを解説してきました。

WordPressは世界中で利用されているだけありサイバー攻撃の対象にもなりやすいので、自分でしっかりセキュリティ対策をしましょう。

では、今回紹介したおすすめのプラグインを下記にまとめましたのでご覧ください。

*本記事で紹介したセキュリティ対策におすすめのプラグイン5選
1.SiteGuard WP Plugin(基本的なセキュリティ対策を網羅したプラグイン)

2.iThemes Security(WordPressに対して様々なセキュリティ対策ができるプラグイン)

3.Wordfence Security(サイトがどの程度セキュリティ対策が施されているのかをチェックするプラグイン)

4.Google Authenticator(二段階認証のプラグイン)

5.Akismet(スパムコメントを防ぐことができるプラグイン) 
 

以上の5つのプラグインを必要に応じて導入してみてくださいね。

また、プラグイン以外にも

・ファイル設定のアクセス権限をデフォルトから変更する
・WordPressやテーマを最新版にする

ことで、さらにセキュリティを強化することができます。

ぜひ、あなたのWordPressにも試してみてください。

最後までお読みいただきありがとうございました。

株式会社ファーストネットジャパンでは、1998年の創業から培ってきた知見・経験を基に、良質かつユーザー第一のWEBサイトを制作して参りました。

弊社は、コーポレートサイト・採用サイト・ECサイト・LPサイトなど、様々なWEBサイトの制作に対応しております。

まずはお気軽にお問合せください。

お見積り、外注のご相談はこちらをクリック

お気軽にご相談ください

成果の出るホームページのご提案をさせていただきます。
集客や売り上げに直結するノウハウなどもございます。まずは一度お問い合わせください。

最新の制作実績

弊社サービス