12個のお勧めの WordPress セキュリティプラグインの比較 (2021年版レビュー)

ブログでも、中小企業のサイトあるいはeコマースストアでも、セキュリティは何よりも重要です。セキュリティ対策を講じたにもかかわらずサイトがハッキングされた場合、評判の悪化、ファイルとデータベースの喪失、SEO の検索順位の低下といった被害が出るだけでなく、個人顧客や訪問者のデータがハッカーの手に渡ることになってしまいます。 

人生における多くの物事と同様、問題が発生してから対処するのではなく、問題の発生自体を防止することが大切です。WordPress ならサイトのセキュリティを簡単に強化してハッキングを防止できます。

今回のブログでは、WordPress のセキュリティプラグインの中でも特にお勧めの12個を詳しくご紹介します。また、皆さんが運営している特定サイトに最適なプラグインを選べるよう、さまざまな分野で各プラグインを比較していきます。さらに、WordPress のセキュリティに関してよく寄せられる質問への回答も用意しています。

WordPress にはセキュリティ上の問題がありますか ?

WordPress は全体の40% を超える Web サイトで採用されている、最も人気の高いコンテンツ管理システム (CMS) です。その人気ゆえにハッカーに狙われがちですが、ソフトウェア自体にはセキュリティ上の問題はありません。

ハッカーが WordPress の脆弱性を利用してサイトに侵入することはほとんどありません。古くなったプラグインやテーマ、安全とはいえないパスワード、質の低いホスティング環境など、本来であれば防げるセキュリティ上の問題が原因でハッキングの被害を受けることがほとんどです。

100% 安全なコンテンツ管理システムは存在しませんが、WordPress を支える開発者たちはアップデートのたびに安全性を最大限に高められるよう日々全力を尽くしています。皆さまは、いくつかのシンプルなベストプラクティスに従うだけでセキュリティ上の懸念を解消できます。

WordPress のセキュリティを強化するにはどうすればよいですか ?

1. 質の高いホスティングサービスを選ぶ。セキュリティはホスティングサービスにより異なるため、評判の良いサービスを選んでください。自動バックアップや SSL 証明書、サーバーレベルのファイアウォール、マルウェア対策などの機能を提供しているホスティングサービスを探しましょう。プランを購入する前に、よくあるセキュリティの問題に関する口コミをチェックするようにしてください。Jetpack がお勧めする WordPress ホスティングサービスをご覧ください。
2. WordPress、テーマ、プラグインを定期的に更新する。新しいリリースには、多くの場合、追加機能と新機能とともにセキュリティ上の脆弱性を修正するパッチが含まれています。できるだけすべてを更新するようにしましょう。
3. 信頼性の高いテーマとプラグインを選ぶ。 信頼でき、口コミの評判が良い提供元のプラグインとテーマだけをインストールしてください。プレミアムテーマやプラグインの無料バージョン (「海賊版」とも呼ばれます) は、決して購入しないでください。こうしたバージョンには、マルウェアや脆弱性が数多く含まれている場合がよくあります。
4. 安全なユーザー名とパスワードを設定する。 長さが20文字以上で、大文字、小文字、数字、記号を組み合わせた独自のパスワードを WordPress サイトで使用しましょう。こうすることで、ハッカーやボットにユーザー名とパスワードを推測されにくくなります。
5. 適切なユーザー権限を設定する。サイト上で各アカウントが実行できる操作を定義するのが WordPress のユーザー権限グループです。業務の遂行に必要な権限グループだけをユーザーに付与し、使用されていないアカウントは削除してください。
6. 自動バックアップをとり、オフサイトに保存する。 最低でも24時間ごとに実行される自動バックアップを設定しましょう。サーバーに問題が発生してもバックアップには影響が及ばないように、ホストとは完全に分離された場所にバックアップを保存してください。 
7. 総当たり攻撃に対する保護を設定する。 総当たり攻撃とは、ボットが毎分数千ものユーザー名やパスワードの組み合わせを推測して、サイトに侵入する攻撃のことです。ただし、優れたツールなら攻撃を受ける前に疑わしい IP アドレスをブロックできます。 
8. マルウェアのスキャンを実施する。 サイトにマルウェアがないか、人間が常時監視することは物理的に不可能であるため、24 時間年中無休で監視できるツールやプラグインを選択しましょう。疑わしい挙動を数秒で検出することで、問題を解決して攻撃が拡大するのを防ぐことができます。
9. 二段階認証を設定する。 二段階認証では、サイトにログインするためにパスワードと物理デバイスの両方が必要です。二段階認証では通常、ログイン時に入力が求められる一意のコードがスマートフォンに送信されます。この仕組みにより、ユーザー名とパスワードでハッカーがサイトに侵入することがほぼ不可能となります。
10. スパムコメントを排除する。スパムコメントは迷惑なだけでなく、有害なフィッシングサイトへのリンクが含まれている場合もあるため、サイト訪問者にも被害が及びます。スパムコメントを手動で排除することも、プラグインをインストールしてコメントを自動的にフィルタリングし削除することもできます。

WordPress セキュリティプラグインは必須ですか ?

安全なサイトを運営するうえで WordPress セキュリティプラグインは必須ではありません。定期的な更新や安全なパスワードなど、セキュリティプラグインの代わりとなるベストプラクティスが数多くあります。とはいえ、優れた WordPress セキュリティプラグインなら、新たなセキュリティレイヤーを追加し、開発者のサポートなしに高度な保護機能を簡単に追加できるようになるため、セキュリティをさらに高いレベルに押し上げることができます。

セキュリティは手を抜けない領域でもあります。運営しているサイトの種類に関係なく、訪問者や顧客、クライアントが抱くブランドイメージにハッキングは重大な被害を与えかねません。さらに、検索エンジンでの検索順位ランクが下がり (Google では安全ではないサイトの検索順位が低くなる)、売上とリードが減少するだけでなく、クレジットカードデータなどの情報がリスクにさらされることになります。

WordPress セキュリティプラグインは必須ではありませんが、すべてのサイトで使用が推奨されます。

お勧めの WordPress セキュリティプラグイン

ここからは、お勧めの WordPress セキュリティプラグインを紹介していきます。

このリストを使用し、特定のプラグインまで素早くスクロールして、各プラグインの詳細、最も重要な機能、価格プランだけでなく、プラグインがサイトの保護にどのように役立つかを確認できます。

1. Jetpack セキュリティ

他の多くのプラグインとは異なり、Jetpack セキュリティはさまざまなタスクに対応しています。無料機能と有料機能には総当たり攻撃からの保護やダウンタイムのモニター、バックアップ、マルウェアのスキャン、スパム対策など、必要なものがすべて揃っています。こうした機能を組み合わせることで、初心者でも使いやすいうえに、大規模なサイトにも十分対応できる、包括的な WordPress セキュリティプラグインを作成できます。さらに、スキャンが Jetpack サーバー側で実行されるため、サイトが遅延することもありません。

しかも、Jetpack は WordPress.com を支える人たちによって、WordPress 専用に開発、サポートされています。Jetpack チームは WordPress の隅々まで把握しており、WordPress のサイト所有者が日々直面している問題についても理解しています。Jetpack は入手可能な最も優れたセキュリティプラグインなのもそのためです。

Jetpack セキュリティの主な機能:

• 毎日およびリアルタイムの自動バックアップ
• 毎日およびリアルタイムのマルウェアスキャン
• 自動化されたスパム対策
• サイトにおけるすべての操作が記録された詳細なアクティビティログ
• ダウンタイムのモニター
• 総当たり攻撃からの保護
• 二段階認証
• アラート機能があり、バックアップ、スキャン結果、アクティビティログにアクセスできるモバイルアプリ

ここからは、これらの一部をさらに詳しく見ていきましょう。

総当たり攻撃からの保護

総当たり攻撃とは、正しいものが見つかるまで、ハッカーがボットを使ってユーザー名とパスワードの組み合わせを推測する攻撃のことです。ハッカーは大規模なコンピューターネットワークを使用するため、毎秒数千ものパスワードを試すことができます。

Jetpack の総当たり攻撃からの保護機能では、サイトに到達する前に、疑わしい IP からの不正ログイン攻撃をブロックします。

ダウンタイムのモニター

Jetpack のダウンタイムのモニターでは、世界中のさまざまな場所からサイトにアクセスし、サイトがダウンした場合には即座にアラートを送信します。これがなぜ役立つのでしょうか ? 問題の発生を知らなければ、そもそも修正することはできません。サイトが長時間ダウンした場合、トラフィックや売上を逸失するだけでなく、検索エンジンの検索順位が下がる場合さえあります。ダウンタイムを監視することにより、問題を即座に把握してスピーディに解決できます。

二段階認証

二段階認証では、ユーザー名とパスワード以外の要素も必須とすることで、ログインページのセキュリティレベルを追加します。サイトにログインする際、入力する必要があるコードが Jetpack からスマートフォンに送信されます。つまり、サイトに侵入しようとしているハッカーは、ユーザー名とパスワードを特定するだけでなく、皆さんがお持ちのモバイルデバイスを手元に用意する必要があります。これは実質的には不可能です。

自動バックアップ

何らかの理由でサイトが破壊された場合に欠かせないのがフルバックアップです。これまでの苦労や投資してきた資金がすべて水の泡となり、顧客や訪問者のデータがすべて失われた場面を想像してみてください。WordPress のバックアップなら、このような問題が発生しても心配は無用です。

ただし、すべてのバックアップソリューションが同じように作られているわけではありません。Jetpack のバックアップには、次のような特長があります。

• 自動バックアップ: バックアップを手動で作成する必要はありません。
• 強力なセキュリティ: バックアップは保護されており、いつでも利用できます。
• 簡単な設定: プログラミングやサーバー管理にあまり詳しくない場合に特に便利です。
• スピーディな復元: 短時間でサイトの運営を再開できます。
• 2つの方法でバックアップ可能: 1日1回、およびリアルタイムでバックアップを作成できます。

日次バックアップは1日に1回自動的に実行されるため、レストランやブログ、更新頻度が24時間以上のサイトに最適なソリューションです。

リアルタイムバックアップは作業中に自動的に実行されるため、サイトの最新状態がバックアップされ、行ったすべての変更が保存されます。オンラインストア、会員制サイト、フォーラム、定期的に更新されるサイトにリアルタイムバックアップは最適です。 

どちらのバックアップオプションを選択した場合でも、サイトは確実にバックアップされ、万が一必要になった場合は数回のクリックで復元できます。

自動マルウェアスキャン

ハッカーがサイトへのアクセス権を手に入れると、「バックドア」というマルウェアの一種を設置できるようになります。バックドアからは、データを盗み出したい時やマルウェアやウイルスを挿入したい場合に、サイト所有者に気付かれることなくいつでもサイトにアクセスできます。マルウェアは評判に傷をつけ、皆さんの情報と顧客のデータをリスクにさらします。

そこで威力を発揮するのが Jetpack スキャンです。Jetpack スキャンでは、サイトのコードにマルウェアがないか毎日自動的にスキャンし、疑わしい挙動をチェックします。脅威が検出された場合、感染したファイルに関する詳細な情報を記載したメール通知が即座に送信されます。

さらに、Jetpack は既知の脅威の大半を自動的に修復します。そのため、問題を即座に把握できるだけでなく、問題を修正するために操作を行う必要すらありません。

自動スパムフィルター

スパムは通常、評判の悪いサイトへのリンクを含む、無関係なコメントの形で侵入します。適切なソフトウェアがあれば、スパマーは数百万件ものコメントを残すことができます。こうなると、短期間で制御不能になります。

Jetpack アンチスパムは既知のスパムのコメント、トラックバック、問い合わせフォームの送信を自動的にフィルタリングするため、時間を大幅に節約できます。問題のないコメントがスパムとしてマークされないか心配な場合は、コメントを確認して必要なものを復元できます。または、Jetpack を設定し、最も悪質なコメントを一切見なくて済むように、取り除くこともできます。 

Jetpack モバイルアプリ

コンピューターから離れてもハッカーの攻撃が止まることはありません。Jetpack モバイルアプリを使用すれば、どこにいてもサイトアクティビティの確認、バックアップの復元、マルウェアスキャン結果の表示を行うことができます。 

さらに、サイトがダウンした場合やマルウェアが検知された場合に、アラートが即座に送信されるため非常に安心です。問題が見つかった場合には、アプリから簡単な操作で既知の脅威の大半を解決できます。

操作性:

技術スキルのレベルに関係なく、どんなサイト所有者でも使用できるように Jetpack はデザインされています。すべての機能はほんの数回のクリックでオンにできます。コーディングの知識や開発者のサポートも不要です。

サポートとドキュメント:

サイト所有者、サイト、ビジネスのことを心から気にかけている、サポートスタッフと呼ばれる WordPress エキスパートによって Jetpack は維持管理、サポートされています。無料プランでは質の高いメールサポートを利用できます。有料プランでは迅速なサポートを優先的に受けられるため、必要な時に必要な支援が提供されます。

さらに、設定とトラブルシューティングについて詳しく説明したドキュメントも豊富に用意されています。

価格とプランのオプション:

• Jetpack Free では、ダウンタイムのモニター、総当たり攻撃からの保護、最新の20件のイベントが記録されたアクティビティログを無料で利用できます。
• Jetpack Security Daily ではすべての機能に加え、日次バックアップ、日次セキュリティスキャン、30日分のアクティビティログを月額11.97ドルから利用できます。
• Jetpack Security Real-time ではすべての機能に加え、リアルタイムバックアップ、リアルタイムセキュリティスキャン、1年分のアクティビティログを月額33.57ドルから利用できます。
• Jetpack バックアップ、Jetpack スキャン、Jetpack アンチスパムなど、一部の機能を月額4.77ドルから個別に利用することもできます。

お勧めのユースケース:

あらゆる規模のブログ、eコマースストア、サイト。Jetpack セキュリティは、ほぼすべてのシナリオに対応する最も包括的な優れた WordPress のセキュリティプラグインです。 

2. Wordfence

Wordfence は、マルウェアスキャンなど、いくつかの追加機能も備えた Web アプリケーションのファイアウォールです。このファイアウォールは、エンドポイントのファイアウォールであり、WordPress と緊密に統合されているため、バイパスされることがなく、データが漏洩することもありません。そのため、クラウドの代替よりも遥かにセキュリティが高くなっています。

Wordfence を設定すると、古くなったプラグインや悪意のあるコード、ウイルスなどの懸念が検出されるとメール通知が届きます。 

ただし、Wordfence にはサイトの遅延を引き起こすという評判があります。これは、大量の大規模データベーステーブルが追加され、マルウェアのスキャン中にサーバーに負荷がかかることが原因です。

Wordfence の主な機能:

• Web アプリケーションファイアウォール
• セキュリティスキャナー
• 漏洩したパスワードの保護
• 二段階認証
• 手動によるブロッキングとカントリーブロッキング
• 自動ファイル修復

これらの機能の一部を詳しく見ていきましょう。

Web アプリケーションのファイアウォール

ファイアウォールが Wordfence の最も強力な機能であることに疑いの余地はありません。Wordfence は、保護対象となっている400万以上のサイトから集めたデータを活用することで、ハッカーの攻撃方法、攻撃の内容、攻撃元を把握しています。ファイアウォールルール、および悪意のある IP アドレスのリストを定期的に更新することでブロックを行い、常時保護を実現します。

セキュリティスキャナー

セキュリティスキャナーはマルウェア、悪質な URL、スパム、悪意のある転送、コード インジェクションがサイトにないかどうかをチェックします。また、コアの WordPress ファイルに加えられた変更、既知のセキュリティの脆弱性、古くなったプラグインをレポートします。 

手動によるブロッキングとカントリーブロッキング

プレミアムプランではこれらの機能を利用できます。基本的に、これはファイアウォールにさらに機能を加えるだけです。手動によるブロッキングでは、悪意のあるネットワーク全体をブロックすることも、人間またはロボットによるアクティビティを選択してブロックすることもできます。カントリーブロッキングでは、指定した国からのすべてのトラフィックをブロックできます。これは、攻撃を受けている最中に特に威力を発揮します。SEO の観点から考えると、カントリーブロッキングを長期にわたって行うことは推奨されません。

自動ファイル修復

不適切な方法で WordPress のコアファイルが変更されたことを Wordfence が検知した場合、ワンクリックでファイルを元の状態に戻すことができます。ただし、これはマルウェアを削除したり、ハッキングされたサイトを修復したりするのとは違います。そのためには Wordfence に追加で490ドルの費用がかかります。

操作性:

Wordfence は技術的な知識がなくても利用できるものの、設定パネルは項目が多く複雑です。すべての機能が1つの画面に表示されるため、サイトに必要な機能を理解するのは困難です。また、デフォルトで Wordfence から大量のアラートメールが送信されます。そのほとんどはサイト所有者の対応が不要なアラートメールです。それぞれのアラートに対して何をすればよいかを初心者が理解するのは簡単ではありません。

サポートとドキュメント:

Wordfence の無料サポートは WordPress フォーラムから、プレミアムサポートはオンラインチケット発行システムから利用できます。プラグインの設定とトラブルシューティングについて詳しく説明したドキュメントデータベースも用意されています。

価格とプランのオプション:

• Wordfence Free では基本的な Web アプリケーションファイアウォール、マルウェアスキャナー、総当たり攻撃からの保護を無料で利用できます。
• Wordfence Premium では、リアルタイムのファイアウォール更新、IP ブロックリストチェック、カントリーブロッキングなどの機能が年額99ドルで追加されます。

お勧めのユースケース:

ファイアウォールに絞って検討しており、クレジットカード情報などの重要なデータを保護する必要がない小規模サイト。Wordfence には追加機能が用意されていますが、このリストで最も包括的な WordPress セキュリティプラグインというわけではありません。Wordfence の強みは Web アプリケーションファイアウォールです。

3. iThemes Security

iThemes Security は、ハッキングの特定と解決よりも、サイトのセキュリティ強化 (保護レイヤーの追加) に重点を置いたフリーミアムプラグインです。iThemes Security では、適切なファイル権限の設定、強力なパスワードの強制、ログイン URL の変更といったセキュリティ対策でこれを実現しています。 

iThemes Security の主な機能:

• 総当たり攻撃からの保護
• ファイルの変更と404の検知
• データベースバックアップ
• ログインページと管理ページの非表示化
• 強力なパスワード保護
• 二段階認証

これらの機能の一部を詳しく見ていきましょう。

総当たり攻撃からの保護

ログインを複数回試行して失敗したユーザーのログインをロックします。これにより、ボットがパスワードとユーザー名の組み合わせを短期間のうちに数千回推測するのを防止します。

データベースバックアップ

データベースのバックアップが自動生成された後、メールが送信されます。バックアップに含まれるのはデータベースだけで、ファイル、メディア、プラグイン、テーマは含まれていません。

ログインページを非表示

デフォルトでは、すべての WordPress サイトでログインページとダッシュボードページの URL に /wp-admi が使用されます。どのサイトでも URL は常に同じであるため、ハッカーはいとも簡単にこれらのページを見つけることができます。iThemes Security ではカスタムコードなしで URL を別のものに変更して保護のレイヤーを追加できます。

操作性:

Wordfence 同様、初心者および技術者以外のユーザーにとって、iThemes の設定ダッシュボードは項目が多く感じられる場合があります。オン/オフの切り替えが可能な細かい設定が数多くあり、サイトに適した設定を把握するのは容易ではありません。

サポートとドキュメント:

iThemes Security の無料バージョンは WordPress.org フォーラムから利用できます。プレミアムバージョンではチケットを使用するサポートシステムが利用できます。ドキュメントも豊富に用意されています。

価格とプランのオプション:

• iThemes Security Free では、(いくつかある機能の中で特に) セキュリティ強化対策、データベースのバックアップ、総当たり攻撃からの保護、ファイルの変更防止の機能を無料で利用できます。
• iThemes Blogger (Premium) では、(いくつかある機能の中で特に) 定期的なマルウェアスキャン、二段階認証、reCAPTCHA の機能を1つのサイトにつき年額80ドルで、追加で利用できます。 

お勧めのユースケース:

ログインの保護とサイトのセキュリティ強化。他にもさまざまな機能がありますが、操作性の容易性の観点で、WordPress セキュリティプラグインは、このユースケースにうまく対応します。

4. Sucuri

Sucuri はクラウドベースの WordPress セキュリティソリューションです。自社サーバー上ですべてのサービスが提供されるため、遅延が発生することはありません。WordPress 専用として開発されたわけではなく、あらゆるプラットフォームやコンテンツ管理システムで利用できます。Web アプリケーションファイアウォールやマルウェアスキャンツールも用意されていますが、特に注目すべきなのがクリーンアップサービスです。 

Sucuri では、無料機能と有料機能の間に明確な違いがあります。無料のプラグインではマルウェアスキャンと WordPress のセキュリティ強化が利用できるのに対して、プレミアムバージョンでは Web アプリケーションファイアウォールとハッキングクリーンアップサービスが利用できます。

Sucuri の主な機能:

• マルウェアスキャン
• ブロックリストのステータスモニター
• Web アプリケーションファイアウォール
• 分散サービス妨害 (DDoS) 攻撃の軽減
• 総当たり攻撃からの保護
• サイトクリーンアップサービス

これらの機能の一部を詳しく見ていきましょう。

ブロックリストのステータスモニター

Sucuri ではさまざまなサービスを通じて URL を実行することで、ブロックリストに登録されているかどうかをチェックします。ブロックリストに登録されているサイトではトラフィックが大幅に失われるため、この機能には大きなメリットがあります。

分散サービス妨害 (DDoS) 攻撃の軽減

DDoS 攻撃とは、人為的にトラフィックを増やして負荷をかけることで、サーバーへのトラフィックを妨害する悪意のある攻撃のことです。この攻撃は、通常の正規の訪問者や顧客がサイトにアクセスするのを妨害します。Sucuri の DDoS 軽減機能ではこうした攻撃をブロックします。

サイトクリーンアップサービス

ハッキングを受けた後のサイトを修復し、復元するために Sucuri のエキスパートチームがサポートいたします。ファイルとデータベースから悪意のあるコードを除去、ブロックリストの登録解除リクエストを送信、SEO スパム (リンクインジェクションなど) を修復します。

操作性:

Sucuri のサーバーを使用するにはドメインの DNS 設定を変更する必要があるため、開発者以外にとっては Sucuri のプレミアムバージョンの設定がやや難しくなっています。無料の WordPress プラグインは、開発者以外でも簡単に設定できます。

サポートとドキュメント:

無料バージョンのサポートは WordPress サポートフォーラムから、プレミアムバージョンのサポートはチケット発行システムから利用できます。よく寄せられる質問への回答を参照できる、充実したナレッジベースも用意されています。

価格とプランのオプション:

• Sucuri Free では、マルウェアスキャン、ブロックリストモニター、WordPress のセキュリティ強化を無料で利用できます。
• Sucuri Basic では、Web アプリケーションファイアウォールとクリーンアップサービスを年額199ドルで、追加で利用できます。ただし、クリーンアップの対応時間は保証されておらず、マルウェアスキャンは12時間ごとに実行されます。
• Sucuri Pro は年額299.99ドルで、Sucuri Basic の機能をすべて利用できますが、マルウェアスキャンの頻度は6時間ごとに短縮されます。
• Sucuri Business ではマルウェアスキャン頻度が30分ごとに短縮され、ハッキングに対応する時間として6時間が保証されます。こうしたメリットを年額499.99ドルで利用できます。

お勧めのユースケース:

ハッキングされたサイトのセキュリティ強化とクリーンアップ。プラグインの無料バージョンでは、ファイアウォールなどの重要な機能に対応していないため、プレミアムバージョンを利用するか、別のプラグインオプションを選択することをお勧めします。

5. All in One WP Security and Firewall

All in One WP Security and Firewall プラグインは、その名のとおり、完全無料の包括的な WordPress ソリューションです。各機能はセキュリティレベル (およびサイトで受けるおそれがある攻撃の可能性) に応じてカテゴリー分けされているため、スキルレベルに関係なく誰でも利用できます。 

ただし、マルウェアのスキャンやハッキングを受けたサイトのクリーンアップよりも、ハッキングからサイトを保護することに、どの機能も重点を置いています。

All in One WP Security and Firewall の主な機能:

• ユーザーアカウントのセキュリティ強化
• ログインページのセキュリティ
• データベースバックアップ
• ファイルシステムのセキュリティ
• ブラックリスト機能
• ファイアウォール
• セキュリティスキャナー
• 総当たり攻撃からの保護

これらの機能の一部を詳しく見ていきましょう。

ログインページのセキュリティ

プラグインでは、ログインを一定回数行ったユーザーのブロック、設定した時間が経過した後の強制ログアウト、ログインページへの reCAPTCHA の追加、すべてのログインとログアウトの記録が行われます。こうした機能により、ハッカーとボットによる攻撃からサイトを保護します。

ファイルシステムのセキュリティ

All in One WP Security and Firewall は、ファイルとフォルダーに権限の問題がないかどうかをチェックし、たった1回のクリックで問題を修正できます。また、侵害されやすいファイル (readme.html や license.txt など) の閲覧とファイルの編集をハッカーとボットが実行できないようにします。

セキュリティスキャナー

セキュリティスキャナーでは、デフォルトの WordPress コアファイルと比較することで、ファイルが変更されていないかどうかをチェックします。セキュリティスキャナーでは問題は自動修復されず、マルウェアのスキャンも行われません。

操作性:

各機能はセキュリティレベルごとに分類されています。サイトの停止を伴うものとそうでないもので分類されているため、初心者にも使いやすいプラグインとなっています。セキュリティの強度がわかるメーターも用意されており、任意の時点の状態を簡単に確認できます。

サポートとドキュメント:

サポートは WordPress.org フォーラムからしか利用できず、参照できるのは一部の機能についてのドキュメントに限定されています。

価格とプランのオプション:

このプラグインのバージョンは1つしかありません。すべての機能を含む無料バージョンです。

お勧めのユースケース:

初心者とベーシックなサイト。サイトを停止しなくても、比較的短時間で簡単に利用を開始できます。ただし、このプラグインにはプレミアムバージョンがないため、マルウェアのスキャンや削除といった役立つ機能は利用できません。サイトのセキュリティに多額を投資する意思がない、趣味の範囲で運営しているブログにお勧めのソリューションです。

6. Defender Pro

Defender Pro は、セキュリティからオプトイン、クイズ、アナリティクスまであらゆる WordPress 向けソリューションを手掛ける開発企業、WPMU DEV、によって開発されました。単体として購入することも、サイトツールスイートの一部として購入することもできます。

Defender Pro の主な機能:

• セキュリティスキャン
• ログインの保護
• 二段階認証
• ブロックリストモニター
• 変更されたファイルの復元と修復

操作性:

Defender Pro には初心者にぴったりの、操作性に優れた設定ウィザードが用意されています。

サポートとドキュメント:

WPMU Dev ではライブチャットサポートに加え、フォーラム、メール、詳細なドキュメントも用意されています。

価格とプランのオプション:

• Defender Pro のみの場合、年額60ドルで上記の機能を利用できます。
• セキュリティ + バックアップパックでは、バックアップツールや移行ツールなどの製品を年額90ドルで、追加で利用できます。
• WPMU Dev Membership ではオプトインやアナリティクスをはじめとする、すべてのツールを年額190ドルで利用できます。

お勧めのユースケース:

セキュリティだけでなく、必要なすべてのツールの購入を検討しているサイト。Defender Pro は、セキュリティを強化するための選択肢としては申し分ありませんが、ファイアウォールやスパムの防止といった重要な機能はありません。とはいえ、WPMU Dev のツールがすべて揃ったスイートと共に使用すると効果的です。 

7. Bulletproof Security

Bulletproof Security は、開発者専用のフリーミアムの WordPress プラグインです。あらゆる領域がカバーされており、バックエンドでさまざまな調整を行うことができますが、初心者にとっては操作が難しくなっています。

Bulletproof Security の主な機能:

• マルウェアスキャナー
• 非表示にされているプラグインフォルダー
• ログインセキュリティとモニタリング
• 一定時間操作が行われなかった場合の自動ログアウト
• 認証 Cookie の有効期限
• セキュリティログ
• 多岐にわたるその他の高度なセキュリティ機能

操作性:

繰り返しになりますが、Bulletproof Security は初心者向けのプラグインではありません。設定ウィザードは用意されていますが、設定の変更や微調整は非常に複雑で、サイトの停止が発生することもあります。 

サポートとドキュメント:

無料プラグインのサポートは、WordPress.org フォーラムから利用できます。プレミアムサポートは、専用のサポートフォーラムから利用できます。ドキュメントと動画チュートリアルの数は限られています。  

価格とプランのオプション:

• BulletProof Security Free では、上記の機能の多くを追加の費用なしに利用できます。
• BulletProof Security Pro では、台数無制限のインストール、高度な機能 (データベースのバックアップとモニタリング、プラグインファイアウォール、サイトファイルの自動復元など) を利用できます。価格は69.95ドルです。

お勧めのユースケース:

サイトセキュリティをあらゆる角度から自分でカスタマイズしたい開発者と上級ユーザー。

8. Security Ninja

Security Ninja は、比較的対象範囲が広いセキュリティソリューションです。50以上のセキュリティチェックが組み込まれていることを売りにしています。テーマやプラグイン、WordPress のバージョンが最新かどうか、ファイルのアクセシビリティ、データベーステーブルのプレフィックスなどのチェックを行うことができます。 

Security Ninja の主な機能:

• Web アプリケーションファイアウォール
• マルウェアスキャン
• ログインフォームの保護
• プラグインの脆弱性のスキャン
• イベントのロギング

操作性:

このプラグインは比較的操作性に優れていますが、ある程度の手動操作が必要となります。検知された問題は自動的には修復されません。サイトとセキュリティの問題は、すべてユーザーが修正する必要があります。もちろん、自分が何を行っているかがわかっているユーザーには、これがメリットになることもありますが、初心者には難しい場合もあります。ただし、Pro バージョンは約 30 種類の問題を自動的に修復できるので、初心者にもお勧めです。

サポートとドキュメント:

無料バージョンのサポートは、 WordPress.org フォーラムから、Pro バージョンは、サポートのチケット発行システムから利用できます。詳細なドキュメントが用意されています。

価格とプランのオプション:

• Security Ninja Free では、さきほど紹介した50項目以上のセキュリティチェックを無料で利用できます。
• Security Ninja Starter では、ファイアウォール、マルウェアスキャナー、自動修復機能などをサイト1つにつき年額49ドルで、追加で利用できます。サービスを利用したいサイトが複数ある場合は、年額129ドルのプラスプラン (3サイトまで利用可能) か年額199ドルの Pro Plan (3サイトまで利用可能) を購入できます。どちらのプランにも、追加料金でライセンスを永続的に使用できるオプションが用意されています。 

お勧めのユースケース:

状況を漏れなく把握する必要があり、WordPress とセキュリティについて中級レベル以上の知識を持つユーザーがいるサイト。

9. SecuPress

SecuPress では多数のセキュリティ機能が1つのプラグインに統合されており、サイトに過度な負荷がかかることはありません。無料バージョンも有料バージョンも、あらゆるスキルレベルのユーザーが簡単に使用できます。特に優れているのが Security Report という機能です。この機能ではサイトの状態を把握することができ、改善のためのわかりやすい推奨事項が提示されます。

SecuPress の主な機能:

• サイトヘルススキャナー
• ログイン試行回数の制限
• WordPress のセキュリティ強化機能
• 二段階認証
• マルウェアスキャン
• データベースとファイルのバックアップ

操作性:

SecuPress のインターフェースはシンプルで、どんなスキルレベルのサイト所有者でも簡単に操作できます。各機能には、目的別に分類されたカテゴリーがあり、サイトでどのような働きをするのかに関する説明もあります。

サポートとドキュメント:

無料バージョンのサポートは WordPress フォーラムから、有料バージョンのサポートはチケット発行システムから利用できます。 

価格とプランのオプション:

• SecuPress Free では、(いくつかある機能の中で特に) ヘルススキャナー、数多くのセキュリティ強化機能、ログイン試行回数の制限などの機能を無料で利用できます。
• SecuPress Pro では、二段階認証、マルウェアスキャン、バックアップなどの高度な機能を年額69.99ドルで、追加で利用できます。

お勧めのユースケース:

中小企業、特に WordPress セキュリティプラグインにある程度の額を投資できる中小企業。マルウェアスキャンなど、優れた機能の大半が無料バージョンでは利用できないため、プレミアムバージョンを購入することをお勧めします。

10. Astra Security

Astra Security のセキュリティツールを利用できるのはプレミアムバージョンのみです。「簡単な操作であらゆる攻撃からサイトを保護するオールインワンのセキュリティスイート」を自称しています。Astra Security は WordPress サイトの保護に利用できますが、WordPress 専用として開発されたわけでなく、あらゆるタイプのサイトで利用できます。WordPress 専用ではないため、プラットフォームに特化した重要な機能が不足している場合もあります。

Astra Security の主な機能:

• サイトファイアウォール
• マルウェアのスキャンとクリーンアップ
• ブロックリストモニター
• 悪質なボットからの保護
• IP とカントリーのブロッキング

操作性:

Astra Security の設定は簡単で、構成も比較的容易です。プレミアムサポートチームの支援を受けることもできます。

サポートとドキュメント:

受けられるサポートのレベルは、購入するプランによって異なります。サポートは24時間年中無休のライブチャットで提供され、初期設定に必要なドキュメントとナレッジベースも用意されています。

価格とプランのオプション:

• Pro Plan では、(いくつかある機能の中で特に) ファイアウォール、12時間以内のマルウェアのクリーンアップ、マルウェアスキャナー、悪質なボットからの保護、ブロンズサポートなどの機能を年額228ドルで利用できます。
• Advanced Plan では、(いくつかある機能の中で特に) 300以上のセキュリティテスト、8時間以内のマルウェアのクリーンアップ、スパムの防止、シルバーサポートなどの機能を年額468ドルで、追加で利用できます。
• Business Plan では、(いくつかある機能の中で特に) 6時間以内のマルウェアのクリーンアップ、500以上のセキュリティテスト、ゴールドサポートなどの機能を年額1428ドルで、追加で利用できます。 

お勧めのユースケース:

特にさまざまなプラットフォームで複数のサイトを運営している大企業。Astra Security のプランは高額で、WordPress 専用として開発されたわけでもないため、WordPress の大半のブログとビジネスにとって最適な選択肢となる可能性は高くありません。 

11. WPScan

WPScan は、単一機能のフリーミアムプラグインで、サイトのセキュリティテストに特化しています。このリストで機能が1つしかないのは WPScan だけですが、その機能は素晴らしく、他のプラグインではあまり見られない機能があるため記載しています。WPScan にはスキャン時の参照用として使用される、大規模な脆弱性のデータベースがあります。

WPScan の主な機能:

• WordPress、プラグイン、テーマにおける、21,000以上の既知のセキュリティ脆弱性をスキャン
• debug.log ファイル、wp-config.php バックアップファイル、セキュリティ上のリスクを発生させる可能性があるエクスポート済みデータベースファイルをチェック
• 強度が低いパスワードを検索
• XML-RPC およびデフォルトのシークレットキーが、有効化または使用されているかどうかをチェック

操作性:

このプラグインは設定が非常に簡単です。必要な操作は、サイトへの API キーの登録、インストール済みプラグインへのそのキーの追加、非常にシンプルな設定の選択だけです。

サポートとドキュメント:

サポートは WordPress フォーラムから提供され、基本操作の手順も用意されています。

価格とプランのオプション:

1日に必要な API リクエストの件数によって価格が決まります。WPScan では、WordPress コアごと、インストールされているテーマごと、使用しているプラグインごとに API リクエストを1件作成します。プラグインを10個インストールしていてテーマが1つある場合、1日あたりのAPIリクエストは12件になります。

• Free プランでは25件までAPIリクエストを行うことができます。大半のサイトは25件を超えることはありません。
• Starter プランでは、75件までAPIリクエストを行うことができます。月額料金は5ユーロです。
• Professional プランでは、300件までAPIリクエストを行うことができます。月額料金は25ユーロです。

お勧めのユースケース:

セキュリティの脆弱性を監視する必要があり、この機能を含むセキュリティプラグインを使用しないサイト。とはいえ、WPScan は包括的なセキュリティパッケージではないため、他のソリューションに追加して使用する必要があります。

12. Shield Security

Shield Security では、保護を優先し、万が一サイトがハッキングされた場合には修復するというシンプルな戦略を採用しています。セキュリティの問題は大半がボットによって引き起こされるため、Shield Security はボットによるサイトへの侵入をブロックすることに特化しています。Yoast、Gravity Forms、Advanced Custom Fields、Contact Form 7、Elementor など、一般的によく使用されている WordPress プラグインを保護する機能もあります。

Shield Security の主な機能:

• ボット対策検出エンジン
• マルウェアや脆弱性のスキャナー
• スパムの検出
• 二段階認証
• Web アプリケーションファイアウォール

操作性:

初期設定は比較的シンプルですが、初心者は情報と設定の量が多すぎると感じる場合があります。

サポートとドキュメント:

無料サポートは WordPress.org フォーラムで利用できます。プレミアムサポートは、チケット発行システムで利用できます。ドキュメントとオンラインコースも豊富に用意されています。

価格とプランのオプション:

• ShieldFREE では、(いくつかある機能の中で特に) ボットの検出、二段階認証、ファイアウォールなどの機能を無料で利用できます。
• ShieldPRO ではさらに、(いくつかある機能の中で特に) マルウェアスキャナー、脆弱性スキャナー、スパムの防止などの機能を年額79ドルで利用できます。

お勧めのユースケース:

セキュリティに関する知識レベルが中級程度で、有料プラグインにある程度の額を投資できるサイト所有者。無料バージョンでは、マルウェアスキャナーが利用できないため、Pro バージョンの購入をお勧めします。

結論: 最も優れた WordPress セキュリティプラグイン 

WordPress は非常に安全ですが、これまでの苦労が無駄になるのを防ぎ、訪問者の情報を守るために、さらに保護を追加することは常に重要です。規模に関係なくあらゆるサイトが標的にされますが、サイトの人気の上昇とコンテンツの増加に伴い、追加のセキュリティの重要性が高まっています。 

評判の良いプラグインを利用するのが、セキュリティ強化に向けた最短ルートです。一方で、選択肢があまりにも多いため、サイトにぴったりの WordPress セキュリティプラグインを選ぶのは時に困難を伴います。サイトの所有者は、利用できる保護機能とクリーンアップ機能だけでなく、費用と求められる技術知識についても検討する必要があります。 

WordPress のエキスパートチームがサポートを行う Jetpack は、最もお勧めの WordPress サイトセキュリティです。強力な保護機能と解決機能のバランスがとれているだけでなく、価格が手ごろで設定が簡単なうえにサポートも優れています。 

検討しているのがセキュリティスキャンツールだけで、他の機能が必要ない場合は WPScan がお勧めです。WPScan は完全無料というだけでなく、セキュリティの脆弱性を特定して WordPress サイトのセキュリティ強化とアクセスのブロックができるという素晴らしい機能があります。

高度でカスタマイズ可能なプラグインを探している開発者には、BulletProof Security を検討するのもよいでしょう。BulletProof Security では、バックエンドのあらゆる設定を微調整して、あらゆるクライアントのサイトに合わせた包括的なセキュリティ機能を利用できます。

WordPress のセキュリティに関してよく寄せられる質問

WordPress プラグインにウイルスが混入している場合もありますか ?

はい、安全ではない WordPress プラグインには、ウイルスが混入している場合もあります。WordPress はオープンソースであるため、誰でもコードを変更、使用して新しいプラグインを作成できます。これには、ほぼすべてのニーズに対応できるソリューションがあるという大きなメリットがある一方で、悪質な開発者がシステムを利用できてしまうというデメリットもあります。

しかし、プラグインを選択する際に、詳細な調査をする必要はありません。必ず信頼できる提供元 (WordPress.org ディレクトリなど) が提供しているプラグインをインストールし、口コミを入念にチェックして問題の兆候を確認するようにしてください。そして、何よりも重要なのが、プレミアムプラグインの海賊版 (または無料版) を絶対にインストールしないことです。こうしたバージョンには、マルウェアや脆弱性が数多く含まれている場合がよくあります。 

WordPress がハッキングされることはありますか ?

はい、他のコンテンツ管理システム同様、WordPress もハッキングされる可能性があります。ただし、大半のハッキングは、確実に防げる方法で行われています。質の高いホストの利用、安全なパスワードの設定、ソフトウェアの更新、WordPress セキュリティプラグインのインストールなど、いくつかのベストプラクティスに従うことで、脆弱性からサイトを確実に保護できます。 

ハッキングを受ける可能性が最も高いのは、どのようなサイトですか ?

トラフィックが多い大規模サイトだけがハッカーの標的になっていると思われがちですが、実際はそうではありません。実際には中小企業やブログも同じように攻撃されているにもかかわらず、多くの場合、そこにはセキュリティ対策があまり施されていません。

特定のサイトに的を絞って攻撃を仕掛けているハッカーはあまりいません。ハッカーは自動化されたボットで Web 上を検索することで、簡単に落とせそうな標的を見つけています。また、自動化されたボットがサイトを区別することもありません。

サイトにはファイアウォールが必要ですか ?

サイトとあらゆる受信トラフィックの間で障壁として機能するため、どんなサイトでも優れたファイアウォールを使用することをお勧めします。ファイアウォールを利用できるホスティングプランを選びましょう。これはサイトをサーバーレベルで保護します。ただし、コンテンツ管理システムを標的とする攻撃からサイトを保護するために、Web アプリケーションファイアウォールも追加でインストールしてください。

ファイアウォールは、サイトの入り口に立つガードマンのような存在です。ファイアウォールは、サイトにアクセスしてくるすべての訪問者とボットを監視し、疑わしい特徴 (悪質な IP アドレス、ボットネット、非表示のページへのトラフィックなど) を特定するだけでなく、攻撃の機会を与えることさえなく攻撃をブロックします。WordPress サイトにファイアウォールを追加するうえで最善かつ最も簡単な方法は、プラグインを使用することです。

e コマースサイトを運営する場合でも WordPress は安全ですか ?

WooCommerce のセキュリティには、慎重に対応する必要があります。サイトのファイルとデータベースに加え、顧客データを守るのは、最終的にサイト所有者の責任になります。とはいえ、オンラインストアにとって、WordPress は優れた、安全な選択肢になります。

人気のある大半のコンテンツ管理システム同様、WordPress もハッカーの標的になることがあります。しかし、WordPress には、サイトを安全に維持するためのさまざまなセキュリティ機能が組み込まれています。また、強力なパスワード、質の高いホスト、優れた WordPress セキュリティプラグインなど、いくつかのベストプラクティスに従えば確実にセキュリティを確保できます。 

WordPress のセキュリティを確認するには、どうすればよいですか ?

まずはマルウェアスキャンツールを実行することです。このツールは、疑わしいコードがないかどうかサイトをスキャンし、疑わしいコードが見つかった場合にはアラートを送信します。一部のツールでは、検知した問題が自動的に修復されます。

ここからは、WordPress のセキュリティ状態を確認する方法をさらにいくつか紹介します。

• SSL 証明書が機能していることを確認しましょう。SSL 証明書は、支払い情報や連絡先情報など、サイト上で送信されるデータを保護します。ブラウザーで URL の横にある錠前アイコンをチェックするだけで、SSL 証明書が機能しているかどうかがわかります。
• ダウンタイムをモニターしましょう。サイトがダウンした場合は、サイトがハッキングされている可能性があります。すぐにトラブルシューティングを開始できるよう、サイトにアクセスできなくなったらアラートが送信される自動ツールをインストールしてください。
• セキュリティに関する警告がブラウザーに表示されないようにしましょう。サイトがハッキングされた場合、Google Chrome や Safari などのブラウザーでは、URL を入力するとセキュリティに関する警告が表示されます。最も精度が高い結果を得るには、シークレットウィンドウかプライベートウィンドウからサイトにアクセスすることをお勧めします。
• Google Search Console の通知を確認しましょう。Google Search Console のアカウントがある場合は、セキュリティの問題に関するレポートに簡単にアクセスできます。このレポートでは、サイトがハッキングされているかどうか、安全ではないプラクティスに従っていないかどうかを確認できます。
• セキュリティに関するベストプラクティスに従いましょう。WordPress サイトの安全を守るうえで最善の方法は、適切なセキュリティ対策を施すことです。(Jetpack など、信頼できる提供元が用意したガイドを参考に) 適切な手順を踏んでサイトのセキュリティを強化することで、ハッカーにも自信を持って立ち向かうことができます。 

---