あなたのサイトをロックダウンするための8つの最高のWordPressセキュリティプラグイン

WordPressは、インターネット上のすべてのWebサイトの35％以上に電力を供給しているため、世界中の悪意のある攻撃者にとってジューシーなターゲットになっています。

あなたがあなたのウェブサイトまたはあなたのクライアントのウェブサイトを保護したいなら、専用のセキュリティプラグインはあなたのために多くの面倒な作業をすることができます。

ニーズに最適なWordPressセキュリティプラグインを選択できるように、セキュリティ強化、ファイアウォール、マルウェアスキャンに役立つ8つの優れたオプションを集めました。

ほとんどのWordPressセキュリティプラグインが実際に何をするかについての簡単な概要から始めて、掘り下げてみましょう。

WordPressのセキュリティはかなり幅広いトピックなので、「WordPressのセキュリティプラグイン」と言うと、さまざまな機能を網羅できます。

したがって、プラグインに入る前に、これらのさまざまな高レベルの機能が何であるかを調べて、これらの各ツールが何をしているのかを理解しましょう。

基本的なセキュリティ強化は、「WordPressWebサイトをより安全にする構成変更またはツール」のキャッチオールのようなものです。

たとえば、セキュリティプラグインは通常、次のような機能でログインページを保護するのに役立ちます。

• ログイン試行の制限
• 二要素認証
• WordPressのログインURLを変更する
• 強力なパスワードの適用
• パスワードの有効期限の設定
• CAPTCHAの追加

それらはすべて強化戦術です。

その他の一般的な強化戦略には、コアWordPressファイルを監視して変更があったかどうかを検出する、XML-RPCなどのWordPress機能を無効にする、ユーザー列挙を停止するなどがあります。

よく言及されるもう1つの戦術は、ファイアウォールです。

基本的に、Webサイトのファイアウォールは、WordPressサイトとその訪問者の間にあるものです。 通常の訪問者はサイトの使用に問題はありませんが、ファイアウォールが（IPアドレス、アクションなどを介して）悪意のあるアクティビティを検出すると、問題が発生する前にその訪問者をブロックします。

WordPressでは、これがWebアプリケーションファイアウォールまたはWAFと呼ばれることがわかります。

すべてのファイアウォールが同じであるとは限らないことに注意することが重要です。 つまり、2つのプラグインが両方とも「ファイアウォール」を提供しているからといって、ファイアウォールは従うルールと同じくらい優れているため、これらのツールが自動的に同等になるわけではありません。

Wordfenceなどの一部のWordPressセキュリティプラグインは、新たなセキュリティの脅威に適応するために、ファイアウォールルールをリアルタイムで絶えず更新しています。 その他は基本的に、決して変更されない静的なルールのセットです。 どちらも便利な場合があります。新しいタイプの脆弱性からユーザーを保護するのに、どちらかがより効果的であるというだけです。

WordPressセキュリティプラグインのもう1つの人気のある部分は、マルウェアスキャンです。 自分のコンピューターでスキャンを実行することで、この概念に精通していると思います。

基本的に、このツールはサイトをスキャンして悪意のあるコードを探し、見つかったものすべてのレポートを返します。

繰り返しますが、マルウェアスキャンの効果は、そのルールとアプローチによって異なります。 つまり、2つのプラグインが両方とも「マルウェアスキャン」を実行するからといって、それらが等しくなるわけではありません。

まず、ファイアウォールの場合と同様に、検出ルールに違いがあります。 マルウェアスキャナーは、マルウェアを識別するために「マルウェアシグネチャ」に依存しています。 そのため、マルウェアスキャナーに緊急の脅威のシグネチャがない場合、マルウェアスキャナーはそれを検出できない可能性があります。

第二に、あなたにはアプローチがあります。 人気のSucuriSiteCheckツールなど、一部のプラグイン/ツールは、サイトのフロントエンドのみをスキャンします。 これにより、Webサイトのフロントエンドから検出可能なマルウェアを検出できますが、サーバーに隠れているマルウェアは検出されません。

サイトのフロントエンドに現れていないマルウェアを検出するには、サーバー上のすべてのファイルをスキャンするマルウェアスキャナーを使用する必要があります。

その紹介が邪魔にならないように、あなたがあなたのニーズに最適なWordPressセキュリティプラグインを選ぶのを手伝いましょう。

これから説明する8つのプラグインを次に示します。

1. スクリ
2. iThemesセキュリティ
3. オールインワンWPセキュリティとファイアウォール
4. BulletProofセキュリティ
5. ジェットパック
6. SecuPress
7. Cerber Security
8. ワードフェンス

Sucuriは、もう1つの人気のあるWebサイトセキュリティツールです。 Sucuriには2つの部分があります。

1. WordPress.orgの無料プラグイン
2. 有料のファイアウォール、監視、およびハッキングのクリーンアップサービス

WordPress.orgの無料プラグインは、主に基本的なセキュリティ強化に役立ちます。

ダッシュボード内のプラグインとテーマの編集を無効にしたり、特定の機密ディレクトリでのPHPの実行をブロックしたりするなど、適用できるさまざまなルールとヒントを提供します。

その他のセキュリティ機能には、次の機能が含まれます。

• コアファイルのファイル整合性を監視する
• 失敗したログイン試行を追跡する
• さまざまなアクションのセキュリティアラート通知を受信します
• サイトのスクリプトとiframeを一覧表示します。

さらに、プラグインにはマルウェアスキャン用のSucuriSiteCheckサービスも付属しています。 ただし、このサービスはサイトのフロントエンドをスキャンして問題がないかどうかを理解することが重要です。他のマルウェアスキャンのようにサーバー上のファイルをスキャンすることはありません。 また、このツールを使用するためにプラグインは必要ありません。SucuriのWebサイトから実行できます。

セキュリティを強化するために、プラグインは有料のSucuriファイアウォールサービスへの接続に役立ちます。 このファイアウォールはクラウドベースのWAFであり、Sucuriチームから定期的にルールが更新されます。 ファイアウォールでは、次のこともできます。

• 特定のIPアドレスをホワイトリストまたはブラックリストに登録する
• 国全体をブロックする
• CAPTCHA、2要素認証、または追加のパスワードを使用して、機密性の高い領域（WordPressダッシュボード/ログインなど）を保護します。

有料のSucuriサービスは、DDoS攻撃からサイトを保護するのにも役立ちます。

価格： Sucuriプラグインは100％無料です。 Sucuriファイアウォールの費用は月額19.98ドルで、Sucuriプラットフォーム全体（マルウェアの検出とクリーンアップを含む）の費用は年額299.99ドルです。

iThemes Securityは、…iThemesのフリーミアムセキュリティプラグインです。そのため、この名前が付けられました。 ご存じない方のために説明すると、iThemesは、BackupBuddyを含むさまざまなプラグインの背後にある人気のある開発者です。 iThemesは2018年にLiquidWebに買収されました。

iThemes Securityは、WordPressのセキュリティ強化に重点を置いています。 フロントエンドのマルウェア検出のためにSucuriSiteCheckサービスに接続できますが、この機能はSucuriのWebサイトから実行できるため、実際には組み込みのマルウェアスキャンではありません。

ファイアウォールをアドバタイズしませんが、一部のボットとIPアドレスをブロックできる機能が含まれています。 他のWordPressサイトをブルートフォースしようとしたIPアドレスを自動的にブロックできる「ネットワークブルートフォース保護」機能もあります。

セキュリティの強化に関しては、iThemes Securityは、次のような機能を使用してログインプロセスを保護するのに役立ちます。

• ログイン試行を制限する
• WordPressのログインURLを変更する
• Google reCAPTCHA（有料）
• 二要素認証（有料）
• 強力なパスワード施行
• パスワードの有効期限（有料）

また、アクセスできない時間帯に基本的にサイトをロックダウンできる「退席中」モードも提供しています。

その他のセキュリティ強化機能は次のとおりです。

• ファイル変更の検出
• データベースプレフィックスを変更する
• ダッシュボード内のファイル編集をオフにする
• ユーザーアクションログ（有料）
• wp-contentパスを変更する

複数のWordPressサイトを管理する必要がある場合は、iThemesSyncとも統合されています。

価格： WordPress.orgの無料版。 有料版は80ドルから。

オールインワンWPセキュリティ＆ファイアウォールは、100％無料の人気のWordPressセキュリティプラグインです。

これは、次のようなさまざまなセキュリティ強化機能を実装するのに役立ちます。

• WordPressデータベースのプレフィックスを変更する
• ファイルのアクセス許可を監視する
• ダッシュボード内のファイル編集を無効にする
• ファイル整合性の監視
• WordPressのバージョン番号を隠す

また、次のようなログインプロセスを保護する機能も含まれています。

• ログイン試行を制限する
• 一定時間後にユーザーを強制的にログアウトする
• ログイン保護のためにreCAPTCHAを追加する
• 特定のIPアドレスをホワイトリストに登録する
• ユーザー列挙を停止します

また、サイトのセキュリティを向上させるのに役立つ「セキュリティ強度メーター」も提供します。

オールインワンWPセキュリティ＆ファイアウォールにはファイアウォールと呼ばれるものが含まれていますが、WordfenceやSucuriのようなものほど堅牢ではありません。 これは静的なルールセットであり、他のプラグインのような新たな脅威には適応しません。

価格： WordPress.orgで100％無料。

BulletProof Securityは、WordPressセキュリティへのオールインワンアプローチを提供するもう1つのオプションです。

• 硬化
• ファイアウォール
• マルウェアスキャン

無料版は、次のような基本的な強化を提供します。

• ログインセキュリティ
• データベーステーブルのプレフィックスを変更する
• セキュリティログ
• データベースのバックアップ

また、無料バージョンにはマルウェアスキャンが含まれ、有料バージョンにはBulletProofSecurityのAutoRestore | Quarantine Intrusion Detection and Prevention System（ARQ IDPS）によるリアルタイム保護が含まれています。

有料版には、次のような他の機能も追加されています。

• データベースの監視と差分チェック
• アップロード保護
• プラグインファイアウォール

ユーザーインターフェイスはかなり古く見え、他のツールほど快適ではありませんが、BulletProof Securityは、その有効性に関しては高く評価されています。

価格： WordPress.orgの無料版。 有料版は69.95ドルから。

Jetpackは、WordPress.comとWooCommerceの背後にいる同じ人々であるAutomatticの人気のあるオールインワンプラグインです。

このリストにある他のすべてのプラグインとは異なり、JetpackはWordPressのセキュリティだけに焦点を当てているわけではありませんが、無料および有料のプラン全体に多くのセキュリティ機能が含まれています。

無料版は、ブルートフォース保護と安全なWordPress.comサインオンを使用するオプションでWordPressログインを保護するのに役立ちます。 つまり、WordPress.comのクレデンシャルを使用して自分のWordPressサイトにログインできます。

有料プランでは、バックアップとマルウェアスキャンにもアクセスできます（これらの機能は以前はVaultPressと呼ばれていましたが、VaultPressはJetpackと統合されました）。

バックアップ機能とスキャン機能は相互に関連しており、これがそれらを独自のものにしている理由の1つです。 ほとんどのマルウェアスキャンツールでは、ツールは実際のWordPressサーバー上のファイルをスキャンします。 これはマルウェアを捕まえるのに適していますが、ライブWebサイトのサーバー上のリソースも消費します。

Jetpackを使用すると、Jetpackは最初にサイトをオフサイトの場所にバックアップします。 次に、サイトのバックアップコピーをスキャンしてマルウェアを検出します。これは、ライブWebサイトのパフォーマンスに影響を与えないことを意味します。

スキャンの一部として、Jetpackは以下を探します。

• コアWordPressファイルへの変更
• Webベースのシェル
• TimThumbの脆弱性

Jetpackが悪意のあるものを見つけた場合は、問題の修復に役立ちます。

価格：一部の機能は無料版でご利用いただけます。 マルウェアスキャンは、月額9ドルから始まるプレミアムプラン以上で利用できます。 これにより、他の多くのJetpack機能にもアクセスできます。

SecuPressは、無料版と有料版の両方で提供されるもう1つの有名なWordPressセキュリティプラグインです。

SecuPressは元々、人気のあるWPRocketプラグインの背後にある同じ会社であるWPMediaによって立ち上げられました。 ただし、WP Mediaは後に、現在の所有者（WP Mediaの共同創設者の1人）に所有権を解放しました。 基本的に、これはWP Rocketといくつかのデザインの類似点が見られるという長い言い方ですが、2つはもはや同じエンティティではありません。

無料版では、次のことができます。

• IPアドレスと不正なボットをブロックする
• ブルートフォース攻撃からログインを保護します
• ログインページを非表示にする
• WordPressとWooCommerceのバージョンを非表示にする
• XML-RPCとRESTAPIを管理する
• 重要なユーザーアクションをログに記録する

無料版ではファイアウォールも入手できます。

プレミアムバージョンには、次のような追加機能が追加されています。

• ログインを保護するための2要素認証
• スパム対策機能
• データベースとファイルのバックアップ
• 既知のセキュリティ脆弱性を持つテーマまたはプラグインの検出
• PHPマルウェアスキャン
• 国のブロック（ジオロケーション）
• タスクスケジューリング

SecuPressの傑出した機能の1つは、インターフェースです。 これは、このリストにあるツールの中で最も快適なインターフェイスを備えています。これは、クライアントがこれを目にする場合に特に便利です。 繰り返しになりますが、インターフェースでWPロケットの影響を確実に確認できます。

価格： WordPress.orgの無料版。 有料版は65ドルから。

Cerber Securityは、次のものが付属するもう1つの人気のあるオールインワンのWordPressセキュリティプラグインです。

• セキュリティ強化
• ファイアウォール
• マルウェアスキャン

まず、次のようなセキュリティ強化ルールが満載です。

• WordPressのログインページを変更する
• アップロードフォルダでPHPを無効にする
• ユーザー列挙の停止
• ログイン試行の制限
• ファイルの整合性の監視
• 二要素認証

存在しないユーザー名でログインしようとするIPアドレスを自動的にブロックするなどのルールを設定することもできます。 管理ユーザーに2要素を要求し、一定時間後に自動的にログアウトするなど、カスタムの役割ベースのポリシーを作成することもできます。

ファイアウォールの一部として、ログインしたセッションと訪問者の両方の監視を含む、サイトで起こっているすべてを確認できるリアルタイムのトラフィックインスペクターを利用できます。 また、地域ブロッキングルールも取得します。

最後に、スキャンを自動的に実行するようにスケジュールする機能など、マルウェアスキャンを取得します。

複数のサイトを管理する必要がある場合は、1つのダッシュボードから複数のサイトを管理できるCerber.Hub機能も含まれています。 このダッシュボードは、Wordfenceとは異なり、自己ホスト型です。 1つのWordPressサイトを「マスター」として指定し、次にそのマスターダッシュボードへの他のインストールを「スレーブ」として指定します。

価格： WordPress.orgの無料版。 有料版は99ドルから。

まず、WordPressには、次のような基本的なWordPressセキュリティ強化に役立つツールが多数含まれています。

• アップロードディレクトリでのコード実行の無効化
• WordPressバージョンを非表示にする
• ユーザー列挙の停止

また、次のようなログインセキュリティ対策を制御できる専用の[ログインセキュリティ]タブもあります。

• 二要素認証の使用（すべてのユーザーまたは特定のユーザーロールのみ）
• XML-RPC認証の無効化
• ログインページにreCAPTCHAを追加する
• 失敗したログイン試行の制限（これはファイアウォールの一部です）
• 強力なパスワードの適用

Wordfenceには独自のWAFも含まれています。 Wordfenceチームは、新たな脅威に対応するために、リアルタイムで新しいルールを継続的に追加しています。 特定のIPアドレスやサービスをホワイトリストに登録するなど、ファイアウォールの機能を構成することもできます。

特定の機密URLにアクセスしようとするIPアドレスをすぐにブロックすることもできます。 また、プレミアムバージョンでは、ジオターゲティングを使用して国全体をブロックできます。

最後に、詳細なマルウェアスキャンも取得します。 これらのスキャンでは、サーバー上のすべてのファイルをスキャンしたり、次のような他のセキュリティ問題をチェックしたりできます。

• コメント内の悪意のあるリンク
• 新しく作成された管理者ユーザー
• 古いテーマまたはプラグイン
• 弱いパスワード

つまり、マルウェアスキャンも含まれる一種の「一般的なWordPressセキュリティ弱点スキャン」です。

また、スキャンの頻度と詳細を構成するルールを取得します。これは、スキャンが消費するサーバーリソースを制御するのに役立ちます。

多数のWordPressサイト（クライアントサイトなど）を管理している場合、Wordfenceには、すべてのサイトのセキュリティを1か所から管理できるWordfenceCentralツールも含まれています。 また、新しいサイトにすばやく適用して、サイトで何かが発生したときにアラートを受信できるWordfence設定テンプレートを作成することもできます。

コアのWordfenceプラグインとほとんどの機能は無料です。 ただし、Wordfenceがファイアウォールとマルウェアのスキャンに使用するルールに関しては、顕著な違いがあります。

プレミアムバージョンでは、これらのルールをリアルタイムで更新できます。 そのため、Wordfenceが脅威（かなり積極的です）を検出するとすぐに、Wordfenceはそれらのルールをサイトに追加します。

ただし、無料版では、これらのルールの更新は30日遅れます。

価格： WordfenceはWordPress.orgで無料で入手できます。 有料版は、単一のサイトで使用する場合は99ドルからで、多数のサイトではボリュームディスカウントがあります。

番号！ ロングショットではありません。

これらのセキュリティプラグインはすべて確かにWebサイトのセキュリティ保護に役立ちますが、WordPressのセキュリティは、プラグインをインストールして1日で呼び出すほど簡単ではありません。

これは、セキュリティプラグインが役に立たないという意味ではありません。つまり、小さなことを正しく行わないと、セキュリティプラグインでさえあなたを救うことができないということです。

あなたができる絶対的に最も重要なことの1つは、 WordPressコアソフトウェア、プラグイン、テーマを迅速に更新することです。特にマイナーなセキュリティリリース（ WordPress 5.4.Xなど）の場合はそうです。

自分のサイトが感染していたときSucuriの2019ハッキングされたサイトのレポートによると、すべてのWordPressサイトの約半分は、コアソフトウェアの古いバージョンを実行していました。 さらに、ハッキングされたWebサイトの44％が古いプラグインを実行していました。

簡単に言うと、次のアクションは、WordPressセキュリティプラグインを使用するのと同じくらい重要です。

• セキュリティリリースのためにサイトとその拡張機能を迅速に更新します。
• 選択する拡張機能に注意してください（疑わしいソースからnullプラグインをインストールしないでください）。
• 特に管理者アカウントで強力なパスワードを使用する。

その他のヒントについては、 WordPressサイトを保護する方法の完全ガイドをご覧ください。

また、どのプラグインを選択すればよいかわからない場合でも、最初のオプションとしてWordfenceを使用しても間違いはありません。