WordPressには数多くのプラグインが存在しています。
その中でも今回はセキュリティ向上にピックアップしておすすめのプラグインをご紹介します。
WordPress開発者やブロガーさんが入れている定番のプラグインや、これからWordPress開発をする&ブログを始めるなどの初心者さんが最初に入れておくべきプラグインになります。
ちゃんとしたコーディングはWordPress構築をするのも大事ですが、クライアント様の事を考えたセキュリティ運用も非常に大事になります。
それではいってみましょう!
SiteGuard WP Plugin
こちらのプラグインはWordPressの管理画面に入るためのログイン周りの強化ができます。
- ログインURLの変更
- ログイン時の画像認証
- ログインの連続失敗時のログインロック
- ログインされた時のメールアラート
- XMLRPC防御
- ログイン履歴の確認
項目としては全部大事ですが、特に「ログインURLの変更」「ログイン時の画像認証」は必須級です。
細かく説明していきますね。
ログインURLの変更
こちらはそのまま管理画面に入るためのログインページのURLを変えるものになります。
というのも、WordPressの管理画面のログインURLはデフォルトだと
https://ドメイン名/wp-admin/もしくは
https://ドメイン名/wp-login.phpでログイン画面に行くことができます。
デフォルトでこのURLという事は、誰にでも管理画面のURLが公開されているのと同義という事だと考えます。
WordPressの世界シェア率はおよそ63%でざっくり3サイトに1サイトはWordPressで出来ているという事になります。(2023年1月時点)
つまり⋯ブルートフォース攻撃やリスト攻撃の目標になりやすいということ!
これは安全ではないですよね?
これを打破するのにも有効な設定になりますので、ここの設定はもはや絶対行うというレベルです。
ブルートフォース攻撃、リスト攻撃に関しては分かりやすい記事を見つけたのでこちらのご確認下さい。
ログイン時の画像認証
いろいろな会員サイトのログインページによく設置してあるひらがな(英字)4文字を入れる、というアレです。
機械(AIとかプログラム)から勝手にログインされないために、人間の目で判断するこういった機能が必要になります。
サイト運用をする側としては毎回のログイン時に入力しなければいけないので手間になってしまいます。
私のクライアント様からも過去に「毎回入力するのがめんどくさいからこれ止めて」と言われた事がありましたが、WordPressの普及率とそれに伴うセキュリティ強化のお話をさせていただき、引き続きの運用となりました。
これもログインURL変更と共に必須レベルだと思っています。
ログインの連続失敗時のログインロック
こちらは一定時間内に複数回ログインに失敗するとそのIPアドレスを元に一定時間ログインをさせなくする機能です。
銀行とかだと、ログインや振り込み時に暗証番号を何回か間違えると何も出来なくなってしまいますよね?
それと同じような機能だと思って貰えればOKです。
どの程度の時間、回数を間違えるとどれくらいロックさせるか、が選べるのでサイト運用に支障のないレベルで設定しておくと良いと考えます。
先述のブルートフォース攻撃やリスト攻撃など機械的な攻撃の際に威力を発揮するのではないかと思いますが、もちろん人間相手でも効果があると思っています。
(広告)
ログインされた時のメールアラート
これもまぁよくあるような機能です。
ログイン時に誰がログインしたかをお知らせしてくれます。
- IPアドレス
- リファラー
- ユーザーエージェント
この項目を教えてくれるので、不意なアラートメールの際に参考にできます。
XMLRPC防御
ログイン履歴(後述)を見てみると明らかに攻撃されているであろう時がたまにあります。
その中でもXMLRPCというタイプからのものが多く分単位・秒単位でも攻撃となる事もあり、その頻度やサーバーの力によっては負荷も大きくなってしまう可能性があるので、防げるなら防いだ方がより安全です。
なぜ「防げるなら防いだ方が…」というふうに書いたかというと場合によってはこの機能をONに出来ないときもあります。
- WordPressのスマホアプリを使って投稿など行っている
- Wordから直接記事を投稿している
- ピンバック機能を使っている
- その他全般的にリモート操作関連を使っている
といった場合は残念ながらこの機能は使えないので他の対策でなんとかする必要があります。
もしここらへんを使っていないという事であれば機能をONにすると良いですね。
※変更時は必ずクライアント様、WEBご担当者様にご確認した方が良いです。
ログイン履歴の確認
これはもうそのままですね。
- いつ(日時)
- 誰が(ログイン名)
- どこから(IPアドレス)
- どうやって(ログインページ、XMLRPCなど)
- どうなった(成功、失敗、ロックなど)
が分かるようになっています。
なんかおかしいな?って思ったらまずは見てみるといいかもしれないですね。
Wordfence Security – Firewall & Malware Scan
こちらはログイン周りのセキュリティはもちろん、SiteGuard WP Pluginにはない機能があります。
- ログインロック(ブルートフォース対策)
- ファイヤーウォール設定
- マルウェアスキャン
- ブロックした総攻撃数
大まかにこのような機能ですが、他にも機能は多数ありますし、上記項目もかなり奥深いのでピックアップしてご紹介します。
マルウェアスキャン
こちらは不正アクセス〜改ざんされてしまった時に有効です。(もちろん平常時でもやっておくと良いかも)
サイトは復旧したけど他に不正ファイルがないか確認したい⋯などの時に使えます。
WordPressのテーマフォルダはよく見るけど、その上の階層ってあまり見る機会はないかもしれません。
そこに不正ファイルなどがあると発見が遅くなってしまいますし、テーマフォルダであっても人間の目だけでは限界があるのでこういった機能を使って調べるというのも有効かと思います。
頼り切りっていうのは別問題かもしれないので、人間の目・プラグインの両方でチェックすると良いのかもしれないですね。
ブロックした総攻撃数
こちらも読んで時のごとくですが、見てみると意外と攻撃されているのがわかります。
こういったものを確認してセキュリティの重要性を確認するのも良いかもしれないです。
対策前後の比較とかにも使えそうですね。
一部有料機能がありますのでご注意ください。
UpdraftPlus
こちらはバックアップ用のプラグインになります。
- 手動&自動バックアップ
- 各種クラウドにもアップロードできる
バックアップ関連のプラグインは多数ありますが、無料&自動でバックアップ出来るオススメプラグインはこちらです。
手動&自動バックアップ
手動でのバックアップはもちろん、自動でのバックアップもやってくれます。
手動バックアップのみだと何かトラブルが起きた時に「前回のバックアップから日にちが経っちゃって役に立たないよ…」という事が起こってしまいがちですが、自動バックアップもあるのでちゃんと設定しておけばかなり有用かと思います。
ただし!
無料版だと自動バックアップの時間設定は出来ず、最初にバックアップした時間に今後もバックアップが走りますので、無料版を使う方はアクセスが少ない夜中などに初回バックアップをするなどのひと手間が必要です。
各種クラウドにもアップロードできる
サイトデータがおいてあるサーバー内に直接バックアップデータを置いておくこともできますが、データ改ざんなどのセキュリティリスク回避のために違う場所に保管しておくのをオススメします。
こちらを設定すると自動的に各クラウドサービスにアップロードしてくれるので万が一何かあった時も安心レベルが違います。
個人的なオススメとしてはGoogle DriveとかDropboxですね。
バックアップ関連のプラグインに関してはまた別記事で書こうと思います。
一部有料機能がありますのでご注意ください。
まとめ
という事で今回はWordPressのオススメプラグインの中からセキュリティにピックアップしてご紹介してみました。
サイト構築時には必須級なのでWordPressをインストールしたら即座に入れちゃいましょう!
※UpdraftPlusはバックアップタイミングに要注意!
ではまた!
当記事で紹介、及び記載している内容は個人的考えに基づいております。
責任は負いかねますので、お試しの際は必ずバックアップを取った上で自己責任のもと実行してください。
