あなたのWordPressウェブサイトに汚い手を入れようとする悪意ある行為者がいる、厄介な世界だということはご存じだと思います。 また、WordPress サイトをすべての悪者から安全に保つために、「何か」をしなければならないこともご存知でしょう。
その「何か」が何なのかわからないかもしれません。 しかし、仕事を成し遂げるためには、WordPress セキュリティ プラグインとツールが必要です。
この投稿では、最高の WordPress セキュリティ プラグインとツール 8 つを取り上げ、各ツールの長所と短所を説明します。
しかし、最初に、簡単な注意事項から始めましょう…
WordPress セキュリティはプラグインやツールだけではありません
このリストにあるすべてのセキュリティ プラグインとツールは、WordPress をより安全にするのに役立ちます。
これらは、オートバイのヘルメットをかぶるようなものだと考えてみてください。 確かに、オートバイのヘルメットは事故の際にあなたを保護するのに役立ちますが、無謀な運転をしていいというわけではありません。
これらのツールはそのようなものです。必要な保護を与えてくれますが、安全で安心な状態を維持するには、やはり安全運転が必要なのです。 というような、本当に単純な話です。
- WordPress ソフトウェア、プラグイン、テーマを迅速に更新する
- WordPress 管理者アカウントと Web ホスティング アカウントに安全なパスワードを使用する
- 評判の良い開発者やソースのテーマやプラグインだけを使用する
- 定期的にサイトのバックアップを取る
これらのヒントが過度に単純に思えるかもしれませんが、そのようなことはないのです。 しかし、この4つを実行するだけで、WordPressのセキュリティ問題のほとんどからあなたを守ることができます。
そして、その他のすべてからサイトを守るために、これらの WordPress セキュリティ プラグインやツールを使用します。
掘り下げる前に、いくつかの重要なセキュリティ用語を説明します
これらのプラグインやツールによって物事はかなり単純になりますが、WordPress セキュリティには、馴染みのない用語がたくさん含まれています。
これらのツールが実際に何を行っているかを理解するために、この記事の残りの部分を通して、最も一般的な用語をいくつか説明したいと思います。 WordPress サイトでは、ファイアウォールは基本的に、サイトのサーバーとすべての受信トラフィックの間に位置します。 この位置にあるため、悪意のあるアクターがサーバーに到達する前に検査し、フィルタリングすることができます。
ただし、すべてのファイアウォールが同じように作られているわけではありません。 また、選択したファイアウォールの有効性は、ファイアウォール プロバイダーが設置するルールと設定に依存します。
もう 1 つの用語はマルウェア スキャンで、これはおそらくより身近なものでしょう。 自分のコンピュータにウイルスやマルウェアがないかスキャンするように、これらのツールの多くは、WordPress サイトのサーバーにマルウェアがないかスキャンすることができます。
最後に、セキュリティ強化という言葉をよく耳にするかと思います。 これらは、基本的に、まとめると、サイトをより安全にするための小さな調整です。
この知識を手に、プラグインについて掘り下げましょう。
MalCare
MalCare は WordPress セキュリティ プラグインで、名前から推測できるように、マルウェア検出と除去に重点を置いています。 マルウェアのスキャンはかなり集中的なプロセスなので、プラグインがライブ サーバーでスキャンを行う場合、スキャン実行中にサイトの速度が低下する可能性があります。
MalCare にはファイアウォールも含まれていますが、Sucuri で得られるものほど高品質とは思えないので、価格が許せば、代わりに Sucuri のファイアウォールを使用することをお勧めします。
- for your login page
- Limit login attempts
- Disable file editing
- Disable file execution in uploads folder
一般的に、私は MalCare が売りとしているのはオフサーバーのマルウェア スキャンだと考えています。 また、1 つのダッシュボードから複数のサイトを管理できるのも嬉しいポイントです。
Wordfence
WordfenceはWordPressセキュリティ、特にオールインワンソリューションでは最大の知名度を誇っています。
では、なぜそんなに人気があるのでしょうか。
まず、無料版(およびプレミアム版)が充実していること。
大まかなレベルでは、悪意のあるトラフィックをフィルタリングおよびブロックする Web アプリケーション ファイアウォールと、マルウェア、バックドア、その他の悪意のあるインジェクションのファイルをチェックする組み込みマルウェア スキャナーが含まれています。 たとえば、Pro 版のファイアウォールではファイアウォール ルールがリアルタイムで更新されますが、無料版では 30 日ごとにしか更新されません。
同様に、Pro 版のマルウェア スキャンでは署名がリアルタイムで更新されますが、無料版では 30 日遅れで行われます。
そのため、最先端のエクスプロイトに対する保護が必要な場合は、Pro 版を使用する方が良いでしょう。
これらの幅広い保護に加えて、あなたのサイトをさらに強固にするための小さな調整も多数行っています。 たとえば、次のようなものです:
- ログインを保護する二要素認証
- 更新通知
- 管理者アカウントのサインインなどの重要なアクションに対するメール通知
- ログイン試行の制限(間違ったパスワードやユーザー名をあまりにも何度も入力するユーザーは自動的にブロック)
- 強いパスワードの適用
価格: WordPress.orgで無料。
iThemes Security
iThemes Security は、無料版とプレミアム版がある人気のオールインワンセキュリティソリューションの一つです。
マルウェアのスキャン以外にも、WordPress サイトを強化するための小さなセキュリティ調整が山ほど含まれています。
まず、ログインページを保護するために次のようなことが行われます:
- ログイン ページを隠す。
- すべてのユーザーアカウントに強力なパスワードを強制する。
- ユーザー名としてadminをまだ使用している場合、「admin」アカウントの名前を変更する。
- ログインエラーメッセージを削除する。
- Offering two-factor authentication (Pro).
Then, there are lots of other small tweaks, many of which you see in WordPress security guides:
- Dashboard in file editingを無効化することです。
- 不正なユーザーに対する更新通知を削除する。
- WordPress データベース プレフィックスを変更する。
- wp-content パスを変更する。
- Log user actions.
iThemes Securityを使用したい場合、開発者は次に取り上げるSucuriのWordPressファイアウォールと組み合わせることを推奨しています。
価格。 WordPress.orgで無料。 プロバージョンは年間80ドルから。
Sucuri
Sucuri は、人気のウェブサイト セキュリティ ソリューションで、WordPress セキュリティに役立つ 2 種類の製品を提供しています。
- 無料のプラグイン
- 有料のファイアウォール サービス
これらの両方を組み合わせることもできますし、どちらか一方だけを使用することもできます(または iThemes security など、別のプラグインとファイアウォールを組み合わせることもできます)。
Sucuri プラグイン
Sucuri のセキュリティ プラグインは WordPress.org で無料で提供されています。 ファイアウォール機能は含まれていませんが、サイトを安全に保つために多くのことを行います (そして、ファイアウォールを有料で統合する場合、その手助けをしてくれます)。
第一に、活動監査とファイルの整合性監視が含まれています。 基本的に、この 2 つの機能は、サイト上で何が起こっているかを監視するのに役立ちます。 たとえば、活動監査はログイン試行が失敗したことを示し、ファイルの整合性監視は WordPress のコア ファイルが変更されたかどうかを知ることができます。 この機能は、基本的に Sucuri の無料 SiteCheck スキャナーのダッシュボード内の実装です。 そのため、他の多くのソリューションよりも制限されており、すべてのマルウェアをキャッチすることはできません。
最後に、Sucuri のプラグインには、アップロードディレクトリの PHP ファイルをブロックしたり、ダッシュボード内のファイル編集を無効にするなど、WordPress セキュリティ強化の基本的な調整も含まれています。 WordPress.orgで無料
Sucuri Firewall
Sucuriのプラグインが監視と基本的な堅牢化であるのに対し、SucuriのFirewallサービスは脅威が起こる前に積極的にブロックし、DDoS攻撃からも保護されます。
悪意のあるボットや既知のエクスプロイトをブロックするだけでなく、Sucuri は大規模なネットワークと機械学習を使用して、ファイアウォール ルールを常に改善し、新たに発見されたエクスプロイトからサイトを保護します。
さらに、Sucuri では独自のファイアウォール ルールを作成することもできます。 例えば、WordPressのダッシュボードへのアクセスをホワイトリストの特定のIPアドレスに制限することができます。
ちょっとしたボーナスとして、Sucuri Firewallにはサイトを高速化するCDNも含まれていますが、これはWordPressセキュリティとは関係がありません!
価格:ベーシックが年額199ドル99セント、プロプランは年額299ドル99セントです。
WebARX
WebARX は比較的新しいサービスで、Web サイトに安全なファイアウォールを追加するほか、いくつかの他の機能を提供します。
WebARX の素晴らしい点の 1 つは、1 つのダッシュボードからすべての Web サイトを簡単に監視できることです。 攻撃や悪意のあるボットからサイトを保護するファイアウォールに加え、WebARX には稼働時間や改ざんの監視も含まれています。 サイトがダウンしたり、改ざんされたりした場合、メールやSlackで通知を受けることができます。 繰り返しになりますが、これは、それほど頻繁にチェックしない小さなサイトをたくさん持っている場合に便利です。
価格
VaultPress(Jetpackの一部)
VaultPressは、WordPress.comと同じ会社、Automatticによるバックアップおよびセキュリティサービスです。 このような状況下、VaultPress は、そのような問題を解決するために、様々な工夫を凝らしています。
最高レベルのプランでは、VaultPress は発見したセキュリティ問題を自動的に修正することもできます (最も安いレベルでは、「手動解決」しかサポートしていませんが)。 しかし、別のファイアウォールソリューションが必要かもしれません。
価格。 Security Dailyプランは11.40ポンド/月または9.55ポンド/月(年払い)です。
Cloudflare
Cloudflare は一般的に CDN 機能によりパフォーマンスを高めるツールとして認識されています。 そして、誤解しないでください – WordPress サイトを高速化する良いオプションです。
Cloudflare はリバース プロキシとして機能するため、WordPress サイトを保護する優れたツールでもあります。
Cloudflareの無料プランは、DDoS保護と評判ベースの脅威保護(既知の悪意のある脅威がサイトにアクセスするのをブロック)の形で、基本的なセキュリティを提供します。
もしあなたがお金を払う気があるなら、Cloudflareの有料プランにはWebアプリケーションファイアウォールとIPホワイトリストルールが含まれています。
すでにパフォーマンス向上機能でCloudflareを使っているなら、Webアプリケーションファイアウォールを利用するために有料プランへのアップグレードを検討するとよいでしょう。 基本的なセキュリティは無料。 ファイアウォール付きの有料プランは月額 20 ドルから
Login No re
Login No re は他のすべてのプラグインよりはるかに小さいソリューションです。 他のツールはすべてファイアウォール、マルウェア スキャン、およびその他の大きな微調整に焦点を当てていますが、Login No re は本当に 1 つのことしかしません:
ログイン ページに Google re 保護を追加する。
これは、ログイン ページをブルート フォース攻撃から守り、不正なユーザーを締め出すための簡単な方法です。 しかし、これらのオールインワン ソリューションを使用しないことを選択した場合でも、ログイン ページをロックダウンする Login No re を検討する必要があります。
価格: 100% 無料
これらの WordPress セキュリティ プラグインとツールのうち、ニーズに合ったものはどれですか。 では、どれを選べばよいのでしょうか。 どのようにセキュリティスタックを構築するのでしょうか?
さて、選択する前に、WordPress ホストがすでに行っていることを確認することをお勧めします。 一部のホスト(特にマネージドWordPressホスト)は、すでにサーバーレベルでファイアウォールとマルウェアスキャンニングを実装している場合があります。
Web サイトのファイアウォールが必要な場合、Sucuri Firewall はミッションクリティカルなサイト向けの最適なオプションです。
マルウェア スキャンが必要な場合は、サーバー上でスキャンを実行しない MalCare と VaultPress が素晴らしい選択肢となります。 たとえば、ファイアウォールに WebARX を使用し、マルウェア スキャンに MalCare を使用することができます。 Malcare は技術的にはファイアウォールを提供していますが、このサービスの得意とするところではありません。 そのため、Malcare のプラグインベースのファイアウォールを無効にし、WebARX や Sucuri などのプラグインと組み合わせる方が良いでしょう。
ホストがすでにファイアウォールとマルウェア スキャンを実装している場合、これらのプラグインはスキップできますが、ログインページをロックダウンするために Login No re などの追加をお勧めします。 しかし、Wordfence や WebARX にはこの機能が組み込まれているので、追加のプラグインは必要ありません。
最後に、Wordfence や iThemes Security などのオールインワン セキュリティ プラグインがあります。 これらのプラグインは、セキュリティを実にシンプルにし、それは良いことです。
そのため、私自身はこれらを使用せず、必要な特定のセキュリティ機能を選んで使用することを好んでいます。 オールインワンのセキュリティ プラグイン」を選択する場合は、1 つだけ使用します。
ですから、これらのオプションすべてに圧倒され、箱から出してすぐに使える簡単なものを求めているなら、これら 2 つは確かに確かなオプションです。 しかし、サイトのロード時間の前後に細心の注意を払い、目立った速度低下がないことを確認してください。 これは、あなたが購入.
