WordPressのセキュリティ対策におすすめのプラグインは？プラグイン以外のポイントも解説

WordPressは世界中で利用されているCMSです。無料で利用できる上に、専門知識がなくても直感的にコンテンツを作成できる点が魅力です。

しかし、その一方で、不正アクセスを受けやすいという側面も持ち合わせています。万が一、不正アクセスによって個人情報や企業情報が漏えいしてしまうと、取り返しのつかない事態を引き起こす可能性もあります。

そこで重要になるのが、WordPressの機能を拡張できるプラグインを使ったセキュリティ対策です。本記事では、WordPressのセキュリティ強化に効果的なプラグインを厳選してご紹介します。

WordPressのセキュリティ対策の重要性

WordPressはインストールしたままの初期状態では、セキュリティ対策が十分ではありません。WordPressは世界中で広く利用され、多くのWebサイトに使われていることから不正な攻撃の対象になりやすいCMSです。オープンソースであることも攻撃者が狙いやすい理由となっているため、Webサイトを守るためのセキュリティ対策を講じる必要があります。

WordPressには拡張機能であるプラグインが豊富にあります。プラグインの中にはセキュリティに特化したものも多く、多機能なものから機能をしぼったものまでバリエーションが豊富です。導入や設定も簡単なのでWordPressのセキュリティ対策はプラグインを使用するとよいでしょう。

WordPressのセキュリティに効果的なプラグイン9選

WordPressを活用することで、専門的な知識がなくてもセキュリティ対策を講じられます。WordPressのセキュリティ対策機能が備わったプラグインの中からおすすめの9選をご紹介します。

• SiteGuard WP Plugin
• Wordfence Security
• Akismet
• All In One WP Security & Firewall
• Meta Generator and Version Info Remover
• Two-Factor
• BackWPup
• BulletProof Security
• iThemes Security

それぞれの機能や特徴について解説します。

【SiteGuard WP Plugin】管理画面への不正アクセスを防止

WordPressは、標準設定では管理画面に不正アクセスされやすい状態になっています。管理画面への不正アクセス防止にはSiteGuard WP Pluginを導入しましょう。

SiteGuard WP Pluginは、特に総当たりでログイン情報を探し出そうとする総当たり攻撃や、悪意のあるコメントスパムなどの攻撃の防止に効果的です。日本語対応している上に無料で利用可能であるため、初心者でも使いやすいでしょう。

プラグインURL	https://ja.wordpress.org/plugins/siteguard/
料金	無料
日本語対応	あり
開発元	EGセキュアソリューションズ株式会社（日本）
開発元URL	https://www.jp-secure.com/siteguard_wp_plugin/

主な機能

管理ページのアクセス制限	未ログインの接続元のIPアドレスからは管理ページにアクセスできないようにする機能。
ログインページ変更	SiteGuard WP Pluginを有効化すると、自動的に管理画面ログインページのURLが変更される。任意で別のURLにも変更可能。
画像認証	ログインページやコメント投稿に画像認証を追加する機能。ひらがなや英数字によるランダムな文字列画像を表示し入力させる。
ログインロック	ログイン失敗を繰り返す接続元を一定期間ロックする機能。ログイン期間・回数・ロック時間などは管理画面から設定可能。
ログインアラート	ログインがあった際にメールで通知する機能。
ログイン詳細エラーメッセージの無効化	ログイン失敗の理由を明かさず、単一のメッセージを表示する機能。
フェールワンス	正しいID・パスワードでログインしても1度は失敗とする機能。
ユーザー名漏洩防御	ユーザー名の漏洩を防ぐ機能。
WAFチューニングサポート	WAFによって正常なアクセスが遮断されてしまう場合に回避ルールを作成する機能。
XMLRPC防御	XML-RPC（WordPressと他のシステム間の通信を可能にするための規格）を無効化する機能。
更新通知	WordPressやプラグイン、テーマの更新をメールで通知する機能。

【Wordfence Security】ファイアウォールとマルウェアのスキャン機能を搭載

Wordfence Securityは、ファイアウォールとマルウェアスキャン機能を搭載したプラグインです。また、WordPress公式サイトのソースファイルと比較して、コードに改変が加えられていないかを確認できます。他にも、2ファクタ認証などセキュリティに必要な機能を備えています。

Wordfence Securityには有料版と無料版があり、有料版であればファイアウォールのルールやマルウェアがどこに帰属しているのかを特定、判別するマルウェアシグネチャをリアルタイムで更新可能です。無料版でも同様の機能はありますが、30日後の更新となります。

なお、Wordfence Securityの開発元はアメリカ企業であり、日本語対応はありません。

プラグインURL	https://ja.wordpress.org/plugins/wordfence/
料金	無料版・有料版
日本語対応	なし
開発元	Wordfence（アメリカ）
開発元URL	https://www.wordfence.com/

主な機能

ファイアウォール	悪意のあるトラフィックを識別してブロックする機能。ログイン試行を制限も可能。
セキュリティスキャナー	定期的なセキュリティスキャンを実行し、プラグイン・テーマの脆弱性監視やファイル変更の検出をしたりする機能。また、マルウェアスキャナーによって、各ファイルに潜むマルウェアを検出する。
ログインセキュリティ	認証アプリなどを利用した強力な二要素認証によって第三者のなりすましを防ぐ機能や、CAPTCHA（キャプチャ）認証でボットなど人間以外のログインを遮断する機能。
WORDFENCE CENTRAL	複数のWordPress サイトを所有している場合、セキュリティ状態を一元管理できる機能。
セキュリティツール	Live Trafficではハッキングの試みをリアルタイムで監視が可能。ルール設定に基づいたIP制限、国別のアクセスブロック機能もあり。

【Akismet】スパムコメントの防止

アメリカで開発されたAkismetは、サイトのコメント欄に書き込まれたスパムコメントを自動的にスパムフォルダに振り分けるプラグインです。通常はWordPressに最初からインストールされていますが、初期状態は無効化されているため有効化によって使用できます。

スパムコメントを放置しているとユーザーが悪意あるサイトに誘導される可能性があり、サイトの評価も下がるため検索順位が低下しかねません。そのため、コメント欄を設けているサイトであれば、Akismetによってスパムコメントに対応するとよいでしょう。

なお、Akismetは無料版、有料版があり、無料版は商用利用が認められていません。

プラグインURL	https://ja.wordpress.org/plugins/akismet/
料金	無料版・有料版
日本語対応	なし
開発元	Automattic（アメリカ）
開発元URL	https://akismet.com/

主な機能

自動コメントチェック	自動的にすべてのコメントをチェックし、スパムの疑いがあるコメントをフィルタリングする機能。
ステータス履歴	どのコメントが Akismetにブロックまたは承認されたのかを簡単に判別できるダッシュボード。判別の誤りをフィードバックする機能もあり。
コメント破棄	スパムコメントを自動的に破棄してディスク容量を節約する機能。

【All-In-One Security（AIOS）】セキュリティ強度をメーターで可視化

アメリカで開発されたAll-In-One Security（AIOS）は、総合的なセキュリティ機能を備えたプラグインです。ユーザーのレベルに応じたファイアウォール設定が可能であり、サイトのセキュリティ強度はメーターで可視化できるため、セキュリティ状況を直観的に判断できます。

All-In-One Securityは無料でも利用できますが、日本語に対応していないため翻訳機能を活用するとよいでしょう。また、有料版にすればプレミアム機能が利用できるため、より強力なセキュリティを導入可能です。

プラグインURL	https://ja.wordpress.org/plugins/all-in-one-wp-security-and-firewall/
料金	無料版・有料版
日本語対応	なし
開発元	TeamUpdraft, DavidAnderson（アメリカ）
開発元URL	https://aiosplugin.com/

主な機能

アカウント名の変更と保護	ユーザー名を初期設定から変更していない場合や、ID・パスワードが同じなどのセキュリティリスクを検知してユーザーに報告する機能。強力なパスワードを生成するツールも付属。
ログインロック	ログインを何度か失敗した場合のログインをロックする機能。
画像認証	ログイン画面にGoogle reCaptchaまたはplain maths captchaによる画像認証を追加する機能。
ファイアウォール	外部からの遠隔操作による不正なネットワーク通信を遮断しWebサイトを保護する機能。
ファイル保護	WordPressシステム内のファイル変更を警告したり、PHPファイルの編集を無効にしたりして保護する機能。必要に応じて調査も可能。
コンテンツ保護	コメントスパム防止し、ボットがコンテンツをスクレイピングするのを阻止する機能。
マルウェアスキャニング	最新のマルウェア、トロイの木馬、スパイウェアを検出するクラス最高のスキャン機能。（プレミアム機能）
404 BLOCKING	ボットやハッカーが生成する404 エラーの数に基づいて、それらの IP アドレスを自動的かつ永続的にブロックする機能。（プレミアム機能）

【BulletProof Security】基本的なセキュリティ機能を実装

BulletProof Securityは、マルウェアスキャンやバックアップ機能などの基本的なセキュリティ機能を実装しているプラグインです。BulletProof Securityは無料でも利用可能ですが、有料版にすると自動化されたセキュリティ機能を使えます。日本語バージョンはないため、使用にあたっては翻訳機能の活用を検討しましょう。注意点として、カスタマイズの内容次第では.htaccessファイルを書き換えることがあるため、「WP Super Cache」といったキャッシュ処理を行うプラグインとの併用は避けた方がよいとされています。

プラグインURL	https://ja.wordpress.org/plugins/bulletproof-security/
料金	無料版・有料版
日本語対応	なし
開発元	AITpro Website Security（アメリカ）
開発元URL	https://www.ait-pro.com/

主な機能

.htaccessセキュリティ保護（ファイアウォール）	外部からの攻撃を受けた際にhtaccessファイルを保護し、バックアップする機能。
ログインセキュリティ	画像認証（CAPTCHA）を追加することでボットなどのログインを遮断したりする機能や、アイドルセッションをログアウトさせる機能。
マルウェアスキャナー	WordPressにマルウェアが含まれているかどうかスキャンする機能。
データベースバックアップ	バックアップ作業をジョブとして登録できる機能。手動バックアップだけでなく、設定することで定期的な自動バックアップも可能。
メンテナンスモード	サイト改修時などにメンテナンス中を知らせる画面を表示し、一般ユーザーの閲覧を遮断する機能。IPアドレスを指定して表示させることも可能。

【Solid Security（旧 iThemes Security）】総合的なセキュリティ対策を提供

Solid Security（旧 iThemes Security）は不正ログインの防止やマルウェアスキャンなど、サイトのセキュリティ対策に必要な機能を豊富に備えています。

無料版と有料版があり、有料版であれば対象ウェブサイトを増やせる上、強固なパスワード設定などの機能も備わっています。ひとつのサイトに基本的なセキュリティ機能を求めるのであれば無料版でも対応可能です。

プラグインURL	https://ja.wordpress.org/plugins/better-wp-security/
料金	無料版・有料版
日本語対応	あり（一部英語表記）
開発元	SolidWP（アメリカ）
開発元URL	https://solidwp.com/security/

主な機能

ログインセキュリティ	reCAPTCHAや二要素認証でログイン時のセキュリティを強化する。特定のIPアドレスとユーザーエージェントによるアクセスもブロック。
ファイル変更検出	第三者によるファイルの変更を自動検出する機能。検出時のメール通知をカスタマイズ可能。有料版はバージョン管理によるWordPress、テーマのプラグイン自動更新機能が利用可能。
ロックアウト機能	大量の404エラー検出したり、悪質なIPアドレスやユーザーエージェントをブロックしたりする機能。
常時SSL化	Webサイトへの接続をすべてSSL / TLS経由で強制する機能。
バックアップ	WordPressデータベースのプレフィックスを保護し、自動・手動設定でバックアップを作成。

【Meta Generator and Version Info Remover】バージョンの非表示

Meta Generator and Version Info Removerは、WordPressのバージョンを非表示にするためのプラグインです。

第三者にWordPressのバージョンが分かると、既に知られている脆弱性をついた攻撃を受ける確率が上がります。そのため、最新バージョンの維持に加えてバージョンが第三者に分からないよう、非表示にすることでサイトセキュリティの向上につながります。

Meta Generator and Version Info Removerをインストールして有効化した後は、ソースを表示してバージョンが非表示になっているかを確認するだけです。機能はシンプルで無料版のみ、日本語には非対応となっています。

開発者は個人ですが、さまざまな法人で開発の経歴を自身のWebサイトで公開しています。ダウンロード数や評価、更新頻度も十分であり、バージョンの非表示のみというシンプルな機能のプラグインであることから、導入の懸念点は少ないといえるでしょう。

プラグインURL	https://ja.wordpress.org/plugins/meta-generator-and-version-info-remover/
料金	無料
日本語対応	なし
開発元	Pankaj Kumar Mondal（Tata Consultancy Services Ltd）
開発元URL	https://pankajmondal.com/

主な機能

バージョン情報の削除	WordPressのバージョン情報を削除。
メタジェネレータータグの削除	ヘッダーやRSSフィード内のメタジェネレーター タグを削除。

【Two-Factor】二要素認証を導入

Two-Factorは、WordPressのログイン画面に二要素認証を導入するシンプルなプラグインです。複雑なパスワードを設定することに加えて、二要素認証を追加することでより強度が高い防御策を講じられます。

先述でご紹介したWordfence Securityにも二要素認証機能は備わっていますが、多機能なので初心者が導入するには少々難易度が高いという懸念点もあります。二要素認証導入のみの目的であれば、Two-Factorの方がシンプルで導入しやすく、アンインストールの際も簡単です。シンプルなので容量も圧迫せず、他のプラグインとの機能の重複も起こりにくいという利点もあります。

ただ二要素認証のみではセキュリティが十分とは言えないため、ログイン失敗回数などでログインロックする機能も合わせて搭載しましょう。

Two-Factorは無料のみ、日本語にも対応しています。

プラグインURL	https://ja.wordpress.org/plugins/two-factor/
料金	無料
日本語対応	あり
開発元	Plugin Contributors（オープンソース）
開発元URL	https://github.com/wordpress/two-factor/graphs/contributors

主な機能

二要素認証

ログイン画面にメールコードや時間ベースのワンタイムパスワード （TOTP）などの二要素認証を追加する。

【BackWPup】自動でバックアップを取得

BackWPupはWebサイトのバックアップを取得するためのプラグインです。設定したスケジュールに沿って、連携している外部サービスへ自動でバックアップを作成します。無料版と有料版があり、有料版ではより多くのバックアップや復元機能が使用できます。バックアップは手動でも取ることができますが、手間なく定期的に実行するのであればプラグインを使用するのがおすすめです。

バックアップを取れるプラグインはいくつかある中で、BackWPupは自動バックアップを設定しやすく、クリックひとつでバックアップを復元できるため誰にでも使いやすいプラグインです。

プラグインURL	https://ja.wordpress.org/plugins/backwpup/
料金	無料版・有料版
日本語対応	あり
開発元	Syde（ドイツ）
開発元URL	https://syde.com/references/plugin-backwpup/

主な機能

自動バックアップ	連携している外部サービスへ自動でバックアップを作成。日付や時間などスケジュールを設定可能。
バックアップ復元	クリックひとつでバックアップを復元。

プラグインに加えて実施すべきWordPressのセキュリティ対策

WordPressのセキュリティ対策はプラグインだけでなく、次のような対策も講じましょう。

• 最新バージョンを維持する
• 不要なプラグインは削除する
• サイトを常時SSL化する
• パスワードの強度を上げる・定期的に変更する

最新バージョンに更新する

WordPressをセキュリティリスクにさらさないためには、常に最新バージョンに更新することが大切です。WordPress本体やテーマ、プラグインのバージョンが古いままでは、旧バージョンの脆弱性をついた攻撃を受けかねません。

また、WordPressのバージョンを更新することで、新たな機能が追加できたりサイトの表示速度が向上したりというメリットもあります。サイトの表示速度が向上すれば、SEO対策としての効果も期待できるでしょう。

不要なテーマやプラグインは削除する

脆弱性はWordPress本体やテーマだけでなく、プラグインにも存在します。そのため、使用していないテーマやプラグインがあれば、放置せずに削除しましょう。使用していないテーマやプラグインを一時的に無効化する方法もありますが、その場合、ファイルはサーバ上に存在しており、脆弱性は残ったままです。そのため、セキュリティ対策を重視するのであれば、使用していないプラグインは無効化するのではなく、削除しましょう。

なお、テーマやプラグインを削除する際は、サイトへの影響を確認することが大切です。テーマやプラグインを削除することで、サイトに誤作動が発生する可能性があります。

サイトを常時SSL化する

サイトの常時SSL化もセキュリティ対策になります。SSL化によってhttpからhttpsに変化させることで通信を暗号化できるため、情報を第三者に盗み見られるリスクや改ざんされるリスクを軽減可能です。SSL化がされていないサイトの場合、ユーザーがアクセスした際に安全な通信ではないことが表示されるため、不信感を煽ってしまう恐れもあります。また、SSL化はSEO対策としても有効な取り組みです。

パスワードの強度を上げる・定期的に変更する

WordPressのセキュリティ対策にはパスワードの強度を上げることも重要です。企業名や設立した年など、企業に由来する数字や文字で構成したパスワードだと、第三者に解析されやすくなります。そのため、数字とアルファベット、記号を織り交ぜた10桁以上のパスワードを設定するのがおすすめです。アルファベットについては小文字、大文字それぞれを盛り込むことで、高いセキュリティが期待できます。

設定したパスワードは定期的な変更が必要です。1カ月に1回を目安にパスワードを更新しましょう。

プラグインを活用してWordPressのセキュリティを高めよう

WordPressで制作したサイトを運用していく上では、プラグインを活用したセキュリティ対策が欠かせません。プラグインを活用することで、ファイアウォールやマルウェアスキャナー、二要素認証などの機能が備わるため、不正なアクセスを防止可能です。

あわせてWordPressそのものやテーマ、プラグインを最新バージョンに維持することや、サイトを常時SSL化するなどの取り組みも大切です。

株式会社ジオコードではWordPressを使用したサイト制作を得意とするWebマーケティング会社です。WordPressのサイト制作だけではなく、運用・保守、セキュリティ対策まで全てお任せいただけます。「WordPressの運用・保守にまで手が回らない」「WordPressのセキュリティ対策をどこに任せたら良いか分からない」などの課題を抱える企業のご担当者様は、ぜひ一度お問い合わせください。