WEB

【初心者さん必見!】WordPressをインストールしたら“必須”なセキュリティプラグイン3選!

みなさん、Wordpress楽しんでいますか?
聞き慣れないワードと格闘しながら、Wordpressをインストールできたときは嬉しいですよね^^

WordPressでサイトを運営していると欠かせないのが「プラグイン」。
慣れてくると「あれもしたい!これもしたい!」とプラグインもいつの間にか増えてくるもの。

WordPressのオススメのプラグインをググると「おすすめプラグイン◯選!」とたくさんのサイトが出てきますが

結局、何が必要なのかわからんばい!!!

となっている方も多いのでは?

今回は、Wordpressを使い始めてから15年以上の僕が体験した実話と、Wordpressを始めたばかりの方に「絶対入れて!絶対!すぐさま!」と痛感したプラグインご紹介します!

WordPressを始めたばかりの方はもちろん、運用中の方もチェックしてみてください!

プラグインが発端でマルウェアに感染した話

WordPressのプラグインは、WordPress単体ではできないことをできるようにしてくれる拡張機能のようなものです。

このプラグインは便利だよ!!!YOUも入れちゃいなよ!

と聞けば、あれもこれもそれもと導入したくなるのですが、大量にプラグインを導入していくと、「誰かが勧めてたから入れたけど、これなんだっけ?」と管理も大変になりますし、Wordpressに何か問題が発生した場合、問題になっている箇所を見つけるのが非常に困難になります。

なので、Wordpressを始めたばかりの頃は「そのときに必要な最低限プラグインを導入する」ことから始めるのがオススメです。

また、セキュリティの問題上、Wordpress本体もプラグインも常に最新版にしておくことも大切です。

先日、うちのサーバー内で、他の作業者がとあるプラグインをインストールしたところ、おなじサーバー内に設置してあったサイトが全てマルウェアに感染しました。もちろんこのブログも。

経緯を聞くと「公式じゃないところからダウンロードしたファイル」だったそう。

プラグインは必ずWordpressの公式サイトからダウンロードするか、ダッシュボードの新規追加から追加しましょう

WordPressの導入だけでもヒィヒィだったのに、自分のブログがマルウェアに感染して、こんなコードを仕込まれていたら・・・ぞっとしますよね?

15年以上WEB屋をやっていますが、僕は白目剥きました。笑

つっても顧客情報やらカード情報とか個人情報を登録してるわけじゃないしね。個人ブログなら余裕のよしこよ!

と思う方も多いかもしれませんが、マルウェアに感染したことでWordPressにログインできなくなるのはよくある話。

また、マルウェアに感染するとWordpressに登録してある自分のメールアドレスから大量のスパムメールを送信されたり、借りているレンタルサーバーにも多大な迷惑がかかります。(実際、マルウェアに感染したときはサーバーを凍結されました)

自分のメールアドレスから大量のスパムメールが送られてると思うとゾッとしませんか?

KENT
KENT

サイト運営を始めたばかりでも「常にハッカーに狙われている」という認識を持っておきましょう。

WordPressと同時にインストールしてほしいオススメプラグイン!

そんなわけで、今回はWordpressを始めたばかりの方にも比較的設定が簡単なセキュリティプラグインを3つ厳選しました。

病気と同じでなってからでは遅い!

1. Wordfence Security

まず1つ目は「Wordfence Security」です。

「Wordfence Security」は不正アクセスなどを自動で学習し、怪しい輩からの攻撃を防御してくれるプラグインです。小難しい設定をしなくてもインストールした後は自動的にマルウェアやファイアウォールからサイトを守ってくれます。

Wordfence Security

KENT
KENT

イスタンブールだのスペインだの・・・多言語化しないとじゃん。

マルウェアのスキャンだけではなく、ログイン時の二段階認証など超優秀なセキュリティプラグインですが、残念ながら日本語化されておらず設定画面が英語です。

英語での設定に辟易してセキュリティ対策が後回しになっては本末転倒。
英語が苦手な方は、以下のXMLRPCやログイン画面の設定は2つ目のプラグインで行ってください。
Wordfence Securityによる管理画面の二段階認証の設定は省略します。
(僕も管理画面の変更はSiteGuardで行っています)

WordPressのバージョンを隠す

マルウェアやハッカーはWordpressのバージョンに応じた攻撃をしてくるので、WordPressのバージョンを隠す設定だけはしておきましょう。

  • All Options > General Wordfence Options > Hide WordPress version にチェック

Wordfence Security 設定画面

XMLRPCへのアクセスをブロックする

「XMLRPC」という、スマホのアプリでの更新や自動トラックバックの機能を行うファイルありますが、特にハッカーに狙われやすいファイルの1つです。

「Wordfence Security」でXMLRPCへのアクセスをブロックする場合は、

  • Firewall Options > Advanced Firewall Options > Immediately block IPs that access these URLs

に「/xmlrpc.php」と入力して保存をすればOKです。

Wordfence Security でのXMLRPC制御

Wordfence Security – Firewall & Malware Scan
あなたのWebサイトを、ファイアウォール、ウイルススキャン、IPブロック、ライブトラフィック、ログインの安全性の確保、等の機能を含んだ、最も包括的な WordPress のセキュリティプラグインで、安全にしましょう。

2. SiteGuard WP Plugin

2つ目は「SiteGuard WP Plugin」です。
こちらのプラグインは日本語なので安心です。

「SiteGuard WP Plugin」も、管理画面へのログインを制御したり、ログインページのURLを変更したりすることができるプラグインです。(エックスサーバー など一部のサーバーでは、自動インストールするとインストールされています。)

「SiteGuard WP Plugin」をインストールしたら、

  1. 管理ページアクセス制限
  2. ログインページ変更
  3. XMLRPC防御(XMLRPCを無効にする)

最低限この3つはONにしておきましょう。

SiteGuard WP Pluginの設定

SiteGuard WP Plugin
SiteGuard WP Plugin は、管理ページとログインへの攻撃からの保護に特化したプラグインです。

3. Anti-Malware Security and Brute-Force Firewall

3つ目は「Anti-Malware Security and Brute-Force Firewall」です。

このプラグインは、すでにWordpressに異常が発生している場合や、明らかに改ざんされている場合、どのファイルに問題が発生しているかを診断してくれるプラグインです。

改ざんされた後に活躍するプラグインなので、上記の「Wordfence Security」と「SiteGuard WP Plugin」でセキュリティ対策をしているサイトであれば不要ですが、セキュリティ対策を怠っていた場合はAnti-Malware Securityでスキャンしてみるとをオススメします。

改ざんされたらAnti-Malware Security and Brute-Force Firewall

マルウェアに感染していることに気づいた際、デフォルトで同梱されている「WP Multibyte Patch」やど有名どころの「カスタムフィールドプラグイン」なプラグインも書き換えられていました。

改ざんされたらAnti-Malware Security and Brute-Force Firewall

Anti-Malware Security and Brute-Force Firewall
このマルウェア対策スキャナは、マルウェア、ウイルス、およびその他のセキュリティ上の脅威と脆弱性をサーバー上で検索し、その脆弱性を修正するのに役立ちます。

WordPressを導入したらセキュリティ対策を!

.htaccessの設定や、ディレクトリのパーミッションなど、必要な対策はまだまだありますが、今回はWordpressをはじめたばかりの方にも導入しやすいプラグインを厳選してご紹介しました。

WordPressでブログを始めて一番の挫折ポイントは、思い通りにいかず「難しいプログラムみたいなアレ」に直面したときだと思います。

セキュリティ対策を行っていなかったことで、管理画面にログインできなくなったり、それまで一生懸命書いてきた記事が全て消えてしまったり・・・ということもよく起きます。

まずはセキュリティ対策をして、Wordpressを楽しんでくださいね!

タイトルとURLをコピーしました