WordPressのセキュリティ対策|おすすめプラグイン3選

\有料テーマを試して選ぶ新常識/
New Standard 14日間無料体験

 

WordPressを使用した企業コーポレートサイトでは、最低限のセキュリティ対策は必須項目。
これは過去の記事「WordPressのセキュリティ対策|サイトを守るために自分でできる対策5つ」でも申し上げた通りです。

セキュリティ対策を怠ったWordPressサイトは、

  • 乗っ取り・改ざん被害
  • 訪問者へのウィルスばらまき
  • 訪問者を悪意あるサイトへ自動転送
  • (あれば)会員などの個人情報盗難

などの被害を受けてしまう可能性が、高くなります。

これは企業サイトとして、社会やユーザーから寄せられる期待に反する状態です。
社会的にも、被害者としてさえ扱ってもらえない、そんな厳しい状況も覚悟しなければなりません。

WordPress本体での基礎的なセキュリティ対策は、上で紹介した過去記事でお話致しました。
この記事では、プラグインを使用したセキュリティ対策についてご紹介致します。
セキュリティ対策初心者の方は、ぜひあわせてご確認を。

自社の信用と担当者様の安全のためにも、ぜひ最後までお付き合い下さいませ。

WordPress利用時に最低限必要なセキュリティ対策

前回の記事と重なる部分もありますが、以下はプラグインでのセキュリティ対応の前に、確実に実施して頂きたい内容になります。
現在の自社サイトでの対応で、抜けがないか確認頂き、必ず徹底するようにして下さい。

WprdPressとプラグインを常に最新版にする

世界のサイトに占めるWordPressの割合は、約4割。
オープンソースであることもあいまって、悪意あるハッカーの標的になりやすいのが実情です。
WordPress本体、そしてプラグインが頻繁にアップデートを行うのは、既知のセキュリティホールを一つずつ埋めるため。
アップデートを行わないということは、ハッカーに知られた侵入可能な穴を放置するのと同じ。
バージョンアップは積極的に対応しましょう。

とはいえ、WordPress本体はセキュリティ対策のアップデートは自動で行う設定になっています。
プラグインは自動になっていないので、マメに手動更新するか、自動設定を行いましょう。

プラグインの自動更新設定は、上の図のところで変更出来ます。

必要以上にプラグインを入れない

WordPressサイト運営に慣れてくると、ついついやりがちなのがプラグインの過剰インストール。
プラグインは手軽に見た目や機能が追加出来るため、気分的なマンネリ打破にはなりますが、セキュリティの観点からは感心しません。
なぜなら、インストールしたプラグインの一つ一つが、セキュリティホールになり得るからなのです。

正しいプラグインの選び方は、

  • 本当に自社サイトに必要なのかを検討する
  • バージョンアップが頻繁に実施されているか確認
  • 製造元の信頼性を確認
  • WordPress最新バージョンへの対応を確認

などにご注意頂ければ良いかと思います。

そのうえで大切なことは、使用していないプラグインは消去すること。
たとえば機能が今ひとつ納得いかず、別のものをインストールした時などは、不採用のものは即座に消しましょう。
使いもしないのに、セキュリティのリスクだけ抱える必要はありません。

パスワードを使い回さずユニークなものにする

これもセキュリティ対策としては基礎中の基礎の基礎。
WordPressに限らず、パスワードと名のつくものは全て、同じものを使いまわすのは厳禁です。

推測されやすい文字列を使用しないなど、色々なアドバイスもありますが、一切考える必要はありません。
WordPressのパスワードは、WordPressが生成した乱数、これ一択です。
ご自分でパスワードを決めた、という方は、これを機会に乱数パスワードに変更を。

管理画面のユーザー一覧から自分のプロフィールを開き、上画像の赤丸部分『新しいパスワードを設定』ボタンを押して下さい。
強力な乱数パスワードが自動生成されます。

あとは、一番下までスクロールして、『プロフィールを更新』ボタンをクリックして適用するだけ。
これを定期的に新しいものに更新すれば、なおセキュリティ精度は向上しますね。

複数人で利用する場合アカウントを使い回さない

WordPressアカウントには、5段階の権限が設定出来ます。

「管理者」>「編集者」>「投稿者」>「寄稿者」>「購読者」

権限の強い順に並べると、こんな感じ。

「管理者」(administrator)権限を持つアカウントは、WordPressの管理機能全てを操作することが可能。
一つのアカウントを複数で使い回す場合、そのアカウントは最初に作成する管理者アカウントになると思われます。

一つのパスワードを複数人が管理するというのも、セキュリティ上問題があります。
また、必要のない人にまで管理者権限を渡してしまうのも、いかがなものでしょうか?

文章と画像を投稿・公開するだけの人なら、「投稿者」アカウントを。
文章の下書きだけをしてもらう外部ライターには、「寄稿者」アカウントを。
といったように、権限を使い分けることでリスクを軽減することが可能です。

また、サイト管理者である担当者様のアカウントを2つ用意するのも、有効な手段です。
サイトの管理業務を行うときは「管理者」アカウントでログインし、
記事を投稿するときは「編集者」または「投稿者」アカウントでログインする。
こうすることで、記事の署名から「管理者」アカウントが露呈するのを防ぐことにもなります。
面倒ではありますが、ご一考下さい。

定期的にバックアップを取得する

たとえサイトにハッキングなどの問題が発生しても、バックアップがあればその時点まで逆上ることが可能です。
被害に会わない努力をしつつも、万が一の備えのためにもバックアップはコマメに取りましょう。

バックアップの取り方は3種類。

  1. レンタルサーバーの自動バックアップ
  2. プラグインを利用したバックアップ
  3. プラグインを利用しないバックアップ

レンタルサーバーでの自動バックアップは、契約先により対応が異なります。
詳細は、利用しているレンタルサーバーのサイトでご確認を。

プラグインを利用する方法、しない方法については、こちらの過去記事をご参照下さい。

WordPressのバックアップ方法と復元方法を初心者向けにわかりやすく解説!

WordPressのセキュリティ対策プラグイン

ここからは、セキュリティ対策のために、活用したいプラグインを3つに絞ってお話してまいります。

自動バックアップを行うプラグインをご紹介しておりますが、上記の通りレンタルサーバーで対応出来る場合もあります。
多くは有料オプションになろうかと思いますが、余計なプラグインが不要になりますし、手軽です。
そちらも一度ご確認頂ければと思います。

また、レンタルサーバー会社によって異なりますが、WAFなどのセキュリティ対策が実装されている場合もあります。
こちらも併せて、契約先の方でご確認下さい。

SiteGuard WP Plugin

SiteGuard WP Plugin

オールインワンなセキュリティプラグインです。

機能も豊富で、

  • 管理ページアクセス制限
  • ログインページ変更
  • ログイン時画像認証追加
  • ログイン詳細エラーメッセージの無効化
  • ログイン複数回失敗時のロック機能
  • ログインのメール通知
  • フェールワンス
  • XMLRPCの悪用防御
  • WordPress、プラグイン、テーマの更新のメール通知
  • WAFチューニングサポート

たいていのセキュリティ対策が可能です。

ちょっと聞き慣れない「フェールワンス」機能は、ログイン情報が正しくても、一度目は必ず失敗するというもの。
5秒後~60秒以内に再度ログインすれば、入れるようになっています。

これは、ハッキング攻撃者に偶然正しいパスワードを当てられてしまった場合の、最後の盾となる機能。
例えパスワードが正しくても、「間違えた。」と、相手を欺くことが出来るのです。
同じパスワードを5秒後~60秒以内に再試行する・・・これはパスの正解と「フェールワンス」の存在を確信している相手のみ。
こうなってはもちろんお手上げですが、さすがに可能性は薄いでしょう。
この機能一つ取っても、かなり高いディフェンスの壁を築けそうですね。

All In One WP Security & Firewall

All In One WP Security & Firewall

上で紹介したSiteGuard WP Pluginは、ご覧の通り非常に多機能なプラグインです。
これ一本でも十分ではありますが、All In One WP Security & Firewallをインストールすることで、不足する機能を補完することが可能です。

このプラグインで補完したい機能は、

  • WordPressのバージョン情報の消去
  • データベース接頭辞の変更
  • ファイアウォールの設定
  • 自動バックアップの設定

などになります。

両者で同じ機能をオンにすると、不具合が起こる可能性もありますので、設定は慎重に行いましょう。

プラグインによるセキュリティ対策は、この2本があれば十分です。

BackWPup

BackWPup

All In One WP Security & Firewallのバックアップ機能や、レンタルサーバーのバックアップサービスを利用しない場合は、こちらを利用してバックアップを行いましょう。

このプラグインを利用すれば、サイト全体のバックアップを定期的に取ることが出来ます。
バックアップ保存先もDropboxが指定出来ますので、復旧の必要が出てしまった場合も安心ですね。

バックアップはセキュリティの基本中の基本ですので、絶対に実施しましょう。

New Standardのセキュリティ対策

「出来る限りの対策を頑張る」で許されるのは個人サイトまで。
法人サイトであれば、絶対に万一の事態を招かない、鉄壁な防御を求められるもの。
少なくとも経営者が担当者に求めるのは、そういったサイトのはずです。

ですから企業WordPressサイトのテーマ選びは、外観や機能と同じくらい、セキュリティや万が一の際の対応速度が重要になるのです。
その点から考慮しても、弊社で販売しております「New Standard」は、自信を持ってお勧めできるテーマです。

現在お読み頂いている記事は、「New Standard」販売サイトの一部になります。
その販売サイトを作っているのは、皆様に提供しているものと全く同じ「New Standard」テーマ。
もちろんWordPress本体のアップデートは皆様同様に実施しておりますので、不具合が発生すれば即座に分かります。
当然ですがそのような際は、早期に確認・改修してテーマのアップデートを配布しているところです。
担当者様もご安心になられるのでは無いでしょうか。

その他、セキュリティに関する疑問質問につきましては、ユーザー様にはテクニカルサポートで随時質問をお受けしております。
そのうえで、ご自分の操作で解決するのが困難な問題が発生した際は、別途有料とはなりますが弊社対応も可能です。
お客様の環境に応じて事前相談とお見積りも可能ですので、導入に関する問題も含め、お気軽にご相談ください。

お問い合わせはこちらまで

 

有料テーマを試して選ぶ新常識

最後にご紹介です。事業用WordPressテーマ「New Standard」では、14日間の無料お試し体験を設けています。有料テーマは買う前に試す。お客さまに購入リスクを負わせないことを大切にしています。

お試し体験では、専用サンプルサイトをお一人ずつお届けします。製品版と変わらないすべての機能をお手元で体験できます。

さらに、今だけの申込者限定の特典もご用意。テーマが気になった方はこの機会を逃さずお試しください。