WordPressのセキュリティ対策としてプラグインを導入したいけど、どんなプラグインがいいのかってわからなくないですか?
ということで、今回はWordPressのセキュリティ対策用プラグインを比較していきたいと思います。
前回の記事では、WordPressのセキュリティ対策はプラグインをメインに対策するといいということをお伝えしました。
そちらを踏まえたうえで、数あるWordPressのセキュリティプラグインから機能面について比較して、おすすめプラグインをご紹介していきたいと思います。
そもそもWordPressのプラグインにはどのような機能があるのか知りたい方は以下を参照してください。
全体的なWordPressのおすすめするプラグインについて知りたい方は以下でまとめて紹介していますので参考にしてください。
こんな方に読んで頂けると参考になるかと思います。
- WordPressのセキュリティ対策用プラグインにはどんな機能があるのか知りたい方
- WordPressのプラグインでセキュリティ対策に有効なプラグインはどれなのか知りたい方
- WordPressのセキュリティ対策用プラグインにどの様なプラグインを選定すればよいかわからない方
それでは、早速比較検討していきたいと思います。
■目次(読みたいタイトルをタップ、クリックすることで移動できます)
はじめに
WordPressのセキュリティ対策プラグインには様々な機能が存在します。
それぞれのセキュリティ機能についてまずは簡単に説明していき、プラグインの評価基準と合わせて比較していきたいと思います。
各機能の説明
プラグインで提供されている主要なセキュリティ機能について説明します。
ユーザーの操作ログを収集
WordPressの管理画面にログインしたユーザーが操作した内容をログとして収集し保存してくれる機能です。
この機能の威力はセキュリティ事故にあった後に発揮されます。
管理画面に不正侵入された際に、侵入者がどの様な操作を行ったのかをログとして保存してくれるので、セキュリティ事故があった後にどう対応すればよいかのヒントになります。
ファイルを変更されてマルウェアをしこまれた可能性があるとか、変なユーザーアカウントを新たに作られたとかの情報がわかれば、早くセキュリティ事故の対応が可能です。
またセキュリティ対策以外にも、そのユーザーがどういった操作をしたから不具合が起きた等の情報が得られるため、複数ユーザーで作業している環境では他のユーザーの行動が把握できるので便利だと思います。
ですので、この機能は必須の機能と言っていいと思いますので、是非導入することをおすすめします。
推測されやすいユーザーネームとユーザーIDを変更
WordPressをインストールした際にデフォルトで作成されている「admin」やユーザーIDの番号が「1」であったりする推測されやすいユーザーネームとユーザーIDをチェックして変更してくれる機能です。
こちらの機能はあった方がいいですが、手動でも変更は可能かと思いますので、必須機能ではないですが、初心者にはありがたい機能だと思います。
複雑化されたパスワードの使用を強制
言葉の通り、複雑化されたパスワードの使用を強制してくれる機能です。
単純で分かり易いパスワードを使えなくしてくれますので、いちいちパスワードが複雑化されているかを確認する必要がなくなります。
ただ、以下の便利ツールでもご紹介している通りパスワード管理ツールを利用することで簡単に実現できてしまうので、必須の機能ではありません。
WordPressのログイン画面変更
こちらも言葉の通りですが、WordPressのログイン画面のURLを変更してくれる機能です。
通常WordPressの管理画面ログイン用URLはいつも決まっているため、リンクを貼っていなくてもログイン画面を推測されてアクセスされてしまう可能性があります。
管理画面用ログイン画面にアクセスできなければそもそも不正ログインできないであろうという観点から講じられるセキュリティ対策となります。
この機能はできれば使用したい機能となりますが、ログイン画面にアクセスされても不正侵入されるわけではないので、必須な機能ではありません。
二段階認証
こちらは、WordPressの管理画面にログインする際に二段階の認証が必要となるようにしてくれる機能です。
二要素認証とも言いますが、一つの認証のみではログインを完了させない仕組みとなります。
スマートフォンに解除用のコードを電話で連絡してくれたり、SMSでメール送信してくれたり、提供された認証アプリに表示してくれたりするので、その解除用コードを使って本人認証を行ってくれたりします。
ログインパスワードというものは以下に複雑化したとしても、インターネット上で利用している限りは情報漏洩する可能性があるからです。
一段階目のログインパスワードが突破されたとしても、身近な端末で二段階目の認証が必要となるため、不正ログインしようとしていることを発見することが可能ですし、二段階目の認証が突破されない限りは不正ログインされることはありません。
こちらの機能は必須の機能として是非導入したいです。
画像認証、reCAPTCHA
こちらの機能は、ログインしようとしているユーザーやコメントを送信しようとしているユーザーを人間のみに制限することができる機能です。
自動的にログインしたりコメントしたりするコンピューターを「bot」と言ったりしますが、そのbotが大量のコメントスパムを送信したり、大量のログイン試行を行ったりするのを防いでくれます。
こちらも必須の機能として是非導入したいです。
ログイン試行回数の制限
こちらの機能は、ユーザーが管理画面のログインを何回も試すことを制限する機能となります。
大量にログイン試行を行うブルートフォース攻撃などを防ぐのに有効です。
こちらも必須の機能として是非導入したいです。
ログイン通知
この機能は、WordPressの管理画面にログインされたことをメールで通知してくれる機能となります。
いつ誰がログインを行ったのかをリアルタイムで通知してくれるので、不正アクセスされたことを早期に発見することが可能となります。
こちらも必須の機能として是非導入したいです。
WordPressのセキュリティ状態を自動確認
WordPressにセキュリティの脆弱性が無いかを自動でチェックしてくれる機能です。
自分の目でセキュリティ対策に問題が無いかを確認するのは限界があります。
プラグインが自動でチェックして結果を報告してくれるのはとてもありがたいです。
こちらも必須の機能として是非導入したいです。
WordPress のバージョン情報を隠す
何も対策をしないと、WordPressのエラーページ等にバージョン情報が表示されてしまうのですが、そのようなWordPressのバージョン情報を表示しないようにしてくれる機能です。
バージョン情報が閲覧者に見られると何が問題かというと、もし最新のバージョンにバージョンアップしていない場合は、そのバージョンに存在するセキュリティの脆弱性を利用すれば不正侵入が可能だということが閲覧者に見つかってしまうからです。
こちらも必須の機能として是非導入したいです。
WordPressのデータベースのテーブル接頭辞(Prefix)を変更
WordPressのインストール時にデータベースのテーブル名を決めると思うのですが、設定を明示的に変更しないと、「wp_」という接頭辞が付いてしまいます。
このテーブル接頭辞が推測されやすいので、データベースに直接不正アクセスされる可能性があります。
こういった推測されやすいテーブル接頭辞を変更してくれる機能です。
ただ、テーブル作成時に手動で「wp_」以外の名称に変更すればよいだけの話ではあるので、必須の機能というわけではありません。
管理画面ロック
ブルートフォース攻撃があった場合や利用時間外にアクセスがあった場合に、管理画面をロックしてアクセスを遮断してくれる機能です。
こちらの機能もあった方がいいと思います。
XMLRPC防御
ブログのピングバック機能等で使用されるXML-RPCという機能を使えなくしてくれる機能です。
詳しい説明は省略しますが、この機能を悪用して攻撃される可能性があります。
こちらもあった方がいい機能となります。
バージョン更新通知
WordPressのバージョンやプラグインのバージョンに更新があった場合に、メールで通知してくれる機能です。
この機能があると、バージョンアップされたことを早期に知ることができるので、迅速にバージョンアップすることが可能です。
バージョンアップしてセキュリティホールを塞ぐ前に攻撃されてしまうゼロデイ攻撃に有効な対策となります。
こちらも是非導入したい機能となります。
ファイル・フォルダへのアクセス禁止
WordPressの構成要素として重要な役割を果たしているファイルやフォルダへのアクセスを禁止する機能です。
こちらの機能を有効にすると、構成ファイルを変更してくれるプラグインが使えなくなったりもするので、使用する際は注意が必要となります。
ただ、構成ファイルを変更する機会はそんなに多くないとは思いますので、変更したい場合のみアクセス禁止を解除する運用としてもいいかもしれません。
ファイルの変更を検知し定期的にメールやログで変更履歴を通知
WordPressの構成ファイルが変更されていないかどうかをチェックして、定期的にメールやログで変更履歴を通知してくれる機能です。
想定外のファイルが変更されていたりする可能性があるので、自動でチェックして変更があった場合は通知してくれる機能となります。
こちらも是非導入したい機能となります。
マルウェアチェック
こちらの機能は、WordPressの構成ファイルにマルウェアが侵入していないかをチェックしてくれる機能です。
「Google Search Console」のサービスでもチェックしてくれる機能となりますので、そちらのサービスを利用しているのであれば、必須機能というわけではありません。
ファイアウォール機能
ここでいうファイアウォール機能としては、送信元IPアドレス等でアクセスを制限してくれる機能のことをファイアウォール機能といっています。
ただWAF機能でも代用可能かと思いますので、WAF機能等を利用しているのであれば、必須の機能ではありません。
コメントスパムを遮断
スパムbot等によって送信される大量のコメントを、スパムと判断して遮断してくれる機能です。
こちらも重要な機能であるとは思いますが、コメントを承認されたもののみ表示する設定にしたり、画像認証等で人間のみが送信できるようにしたりしておけば、コメントスパムはほぼ遮断することが可能なため、必ずしも必須の機能ではありません。
SSL化
WordPressのサイト全体を通常のhttp通信からhttps通信に変更してくれる機能です。
http通信でサイトを運営していると、暗号化されていない通信であるため、住所等の個人情報が漏洩する可能性があります。
http通信されたものを強制的にhttps通信にリダイレクトしてくれます。
Google等の検索エンジンもhttps通信を推奨しているため、SSL化したサイトの方を高く評価します。
こちらもセキュリティ対策とSEOの観点から是非導入したい機能となります。
プラグインの比較選定基準
プラグインの選定については、基本的に以下の観点で比較し選定していきたいと思います。
WordPress.orgの公式ホームページ上に登録されているか
公式ホームページ上に登録されていることで、一応は審査されているプラグインとなるのである程度信頼できるプラグインかどうか判断できます。
評価の星の数が多いか
公式ホームページ上で利用しているユーザーの評価者の数と評価の星の数が表示されています。
なるべく多くの評価者が高い星の数を付けているプラグインを選びます。
アクティブダウンロード数が多いか
公式ホームページ上で利用しているユーザのダウンロード数がわかります。
ダウンロード数が多いプラグインの方がユーザーに支持を得ていると推察できますので、なるべくダウンロード数が多いプラグインを選びます。
最新バージョンと互換性があるか
WordPress本体の最新バージョンに対応しているかを確認します。
WordPress本体のバージョンが上がっているにもかかわらずプラグインの対応がなされていない場合は、そのプラグインはあまり更新されておらず、バグ修正もあまりなされていない可能性があります。
ですので、WordPress本体のバージョンに対応しているプラグインを選びます。
日本語対応しているか
やっぱり設定ページの文言等は日本語で表記されている方が分かり易いです。
なるべく日本語対応されているプラグインを選びます。
プラグイン比較
機能と評価基準をもとに、WordPressの公式サイトに登録されているプラグインを比較していきたいと思います。
機能と評価基準をもとにしたプラグイン比較一覧
まず、機能と評価基準をもとに機能が多い主要なプラグインを比較一覧表にしました。
| プラグイン /詳細機能 | iThemes Security | SiteGuard WP Plugin | All In One WP Security & Firewall | Wordfence Security |
|---|---|---|---|---|
| ユーザーの 操作ログ収集 | × 有料版 のみ提供 | × | × | × |
| 推測されやすい ユーザーネーム とユーザーID を変更 | 〇 | × | × | × |
| 複雑化された パスワードの 使用を強制 | 〇 | × | × | 〇 |
| WordPressの ログイン画面 変更 | × | 〇 | 〇 | × |
| 二段階認証 | × 有料版 のみ提供 | × | × | × 有料版 のみ提供 |
| 画像認証 reCAPTCHA | × 有料版 のみ提供 | 〇 | 〇 | × |
| ログイン 試行回数 の制限 | 〇 | 〇 | 〇 | 〇 |
| ログイン通知 | × | 〇 | × | × |
| WordPressの セキュリティ状態 を自動確認 | 〇 | × | × | 〇 |
| WordPress の バージョン情報 を隠す | 〇 | × | 〇 | 〇 |
| WordPressの データベースの テーブル接頭辞 (Prefix)を変更 | 〇 | × | 〇 | × |
| 管理画面ロック | 〇 | × | × | × |
| XMLRPC防御 | × | 〇 | 〇 | × |
| バージョン 更新通知 | × | 〇 | × | × |
| ファイル・ フォルダへの アクセス禁止 | 〇 | × | 〇 | × |
| ファイルの変更 を検知し定期的に メールやログで 変更履歴を通知 | 〇 | × | × | 〇 |
| マルウェア チェック | 〇 | × | × | 〇 |
| ファイアウォール 機能 | × | × | 〇 | 〇 |
| コメントスパム を遮断 | 〇 | × | × | 〇 |
| SSL化 | 〇 | × | × | × |
| 公式HP 登録 | 〇 | 〇 | 〇 | 〇 |
| 評価数 | 3,810 | 7 | 781 | 3,253 |
| 評価の星 の数 | 4.5 | 4.5 | 5 | 5 |
| アクティブ ダウン ロード数 | 900,000+ | 100,000+ | 700,000+ | 1,000,000+ |
| 最新 バージョン との互換性 | 〇 | 〇 | 〇 | 〇 |
| 日本語対応 | △ 一部未対応 | 〇 | × | × |
| 総評 | 〇 | 〇 | △ | △ |
次に主要プラグインに足りない機能を補完してくれるプラグインや機能が少ないが人気のあるプラグインを一覧表にしました。
| プラグイン /詳細機能 | WP Security Audit Log | Google Authenticator – WordPress Two Factor Authentication (2FA) | Really Simple SSL | Akismet |
|---|---|---|---|---|
| ユーザーの 操作ログ収集 | 〇 | × | × | × |
| 二段階認証 | × | 〇 | × | × |
| ファイルの変更 を検知し定期的に メールやログで 変更履歴を通知 | 〇 | × | × | × |
| コメントスパム を遮断 | × | × | × | 〇 |
| SSL化 | × | × | 〇 | × |
| 公式HP 登録 | 〇 | 〇 | 〇 | 〇 |
| 評価数 | 173 | 158 | 396 | 781 |
| 評価の星 の数 | 4.5 | 4.5 | 5 | 4.5 |
| アクティブ ダウン ロード数 | 70,000+ | 10,000+ | 1,000,000+ | 1,000,000+ |
| 最新 バージョン との互換性 | 〇 | 〇 | 〇 | 〇 |
| 日本語対応 | × | × | × | 〇 |
| 総評 | 〇 | 〇 | △ | △ |
プラグインの比較評価
各プラグインを比較評価した結果としては以下の通りです。
まず、多くの機能を網羅している「iThemes Security」についてですが、こちらのプラグインは部分的ではありますが日本語対応もされていて、使い勝手がかなりいいプラグインとなりますので、総評を〇としました。
基本的にこのプラグインをメインに足りない機能を補完するプラグインを導入すればいいことが比較してみてわかりました。
次に、「iThemes Security」に足りない部分を補完してくれる機能が多く、日本語対応しているプラグインが「SiteGuard WP Plugin」となります。
こちらもかなり使いやすいプラグインとなりますので、総評を〇としました。
「All In One WP Security & Firewall」と「Wordfence Security」については、評価が高いプラグインではありますが、日本語対応されていないので初心者にとっても使いづらいプラグインでした。
ということで、両方の総評を△としています。
複数のセキュリティ対策プラグインを導入して、セキュリティを厚くしたいのであれば両方のプラグインを導入してもいいかと思います。
ものぐさSE的には、iThemes SecurityとSiteGuard WP Pluginの導入だけでメイン機能としては十分だということが、使ってみた結果としてわかりました。
あとは足りないプラグイン機能として、ユーザーの操作ログ収集機能と二段階認証機能を補填することを目的として、「WP Security Audit LogとGoogle Authenticator – WordPress Two Factor Authentication (2FA)」を導入すればよいかと思いますので、この両方のプラグインについても総評を〇としています。
iThemes Securityの有料版を購入すればさらにログ収集機能と二段階機能も追加となるので、WP Security Audit LogとGoogle Authenticator – WordPress Two Factor Authentication (2FA)も不要とすることが可能です。
ブログで収益が発生した場合は、こういったプラグインを購入してもいいかと思います。
ここで新たな発見をしたのですが、コメントスパム遮断用として定番の「Akismet」やSSL化として定番の「Really Simple SSL」ですが、「iThemes Security」を使うことで機能がカバーできてしまうことが判明しました。
よって、両方のプラグインの総評を△としています。
まとめ
ものぐさSEが比較して評価した結果としては、WordPressのセキュリティ対策用プラグインとして以下4つのプラグインの導入をおすすめします。
- iThemes Security
- SiteGuard WP Plugin
- WP Security Audit Log
- Google Authenticator – WordPress Two Factor Authentication (2FA)
WordPressのセキュリティ対策にプラグインを利用する際の参考にして頂けると幸いです。
実際にこのサイトも上記4つのプラグインを使って運用しています。
実際の設定や運用について
実際の設定内容や運用方法については以下で詳しく説明しています。
今回おすすめしたプラグインについて
今回おすすめしたプラグインの公式ホームページへのURLを載せておきますので、よろしかったらどうぞ。
