WordPressのセキュリティ大丈夫？プロのおすすめプラグインはコレ！

ミカコ

WordPressブロガーの皆様こんにちは！ミカコ（mikakolife)です

ちゃんと、WordPressのセキュリティ対策していますか？

最近、TwitterでWordPress初心者の方に対しこのようなアンケートをとったら、驚くべき結果となりました！

WordPress開設半年以内のブロガーさんに真面目な質問です！
セキュリティについてお聞かせ下さい。
RTして下さると嬉しいです。

— ミカコ🐣ブロガー (@mikakolife) 2018年12月25日

まさかの、「なにそれおいしいの？」て方が1番多い！（僅差ですが）

結局何もしていないという方が半数を超えていました。

あわわわ！セキュリテイ対策は、しないとまずいです！

なぜセキュリティ対策をしなければならないのか？

ちなみにハッカーって、こんなの想像してません？
もしくはこんなの

ミカコ

…わかりやすっ！

違うのです、いや、確かにこういうハッカーもいるかもだけど！
（囚人服着てるかと聞かれたらNOだけど）

ボットに任せて総当たり攻撃…なんていうのがあるらしいですよ、怖いっ！

ボットとは？

インターネット上の操作を自動でするプログラムのこと。

たとえば、検索エンジンがWebサイトの情報を自動で収集するために使用するクローラー（スパイダーともいう）や、Twitterなどのコミュニケーション・サービスにニュースを自動的に投稿するプログラムなどがこれにあたる。

また、不特定多数のブログに広告などを自動的に書き込んだり（スパムボット）、スパム送信のためにWebサイトを巡回して電子メールアドレスを収集するといった、不正目的のボットも存在する。(ASCII.jpデジタル用語辞典より）

ミカコ

ハッカー、ボット使ってくる、怖い！

もうなぜか片言になってしまう。

総当たり攻撃とは？

暗号解読方法のひとつで、可能な組合せを全て試すやり方。

力任せ攻撃、または片仮名でブルートフォースアタックとも呼ばれる。

つまり、片っ端から無作為にボットにやられたら…他人事ではありません。

せっかく開設したのに…管理画面乗っ取られて、もうアクセス出来なくなってもいいの？

ミカコ

それはダメーっ！絶対困る

というわけで対処していきましょう！

もちろん、運営歴５か月のわたしなどの知識ではなく、その道のプロの方にお話を伺っております。

インターネットセキュリティ専門のエンジニアさんに訊いてみた。おすすめのセキュリティプラグインは？

ミカコ

Kさん、宜しくおねがいします！
ずばり、セキュリティにおすすめのプラグインを教えて頂きたいのですが…

　Kさん

そうですね、おすすめは沢山あるんです。

ざっとこんな感じで…

Akismet Anti-Spam 作成者: Automattic https://akismet.com/

Edit Author Slug 作成者: Brandon Allen https://ja.wordpress.org/plugins/edit-author-slug/

Siteguard WP Plugin 作成者: JP-Secure https://www.jp-secure.com/siteguard_wp_plugin_en/ …

iTheme Security 作成者: iThemes https://ja.wordpress.org/plugins/better-wp-security/ …

Slimstat 作成者: Jason Crouse https://wordpress.org/plugins/wp-slimstat/ …

Banhammer 作成者:Jeff Starr https://perishablepress.com/banhammer/

Check Copy Contents(CCC) 作成者: Nakashima Masahiro https://github.com/kanakogi/CCC

WP Content Copy Protection & No Right Click 作成者: wp-buy https://ja.wordpress.org/plugins/wp-content-copy-protector/ …

ミカコ

ちょっ…ちょっと、お、多くないですか？！

これだとサイトのの読み込み時間が重くなっちゃいません？

　Kさん

うん、なりますね！でも守りを完璧に近くするとこうなってきちゃいます！

…ちょっと待ってくださいね…はい！これどうぞ！（ドサッ）

『WP Security for Bigginers PDF』（Kさん作成の初心者向けセキュリティマニュアル）

ミカコ

こ、これは…？！46ページもありますが…？！

　Kさん

先程頂いた「どうしてWordPressは攻撃を受けるのか」「攻撃を受けたり乗っ取られるとどんな被害を受けるのか」等の質問の答えと、上記プラグインの説明や設定やらをまとめました！

ミカコ

えっさっきの時間で！？こんなにいっぱい？！

　Kさん

いえいえ、仕事に比べたらこんなのはちょちょっとしたことです！

ブログにアップしてお使い下さい！

ミカコ

すごい！ありがとうございます。（本名がPDFに含まれていますが大丈夫ですか？）

えーっと…やっぱり全部は重そうなので、最低限、これは入れとけ！というおすすめのプラグインも聞いていいでしょうか！

　Kさん

了解です！

因みにミカコさんは今、どんなプラグインを入れてますか？
（本名の件は文責なのでそのままで大丈夫です）

わたしが現在入れているプラグイン

わたしは現在、前にTwitterで諸先輩方におすすめされたこちらのプラグインを入れています。

『Siteguard WP Plugin 』…管理ページ・ログインページのセキュリティが強固に。ログイン時日本語認証できる。

参考サイト…参考記事のタイトルとURLを入力してください

『Edit Author Slug』…何もしていない人はデフォルトでログインIDが公開になってしまっています…！
ということで、ログインIDを隠してくれるプラグイン。

参考サイト… 参考【導入必須】誰にでも丸見えなWordPressログインIDを秘匿するプラグイン「Edit Author Slug」 – naenote.netnaenote.net

『Akismet Anti-Spam』…デフォルトで入っていたプラグイン。有効化させて使用中。

プロがすすめるプラグイン、『Cerber Security, Antispam & Malware Scan』とは

ミカコ

あ、この３つのプラグインは、Kさんのおすすめの中に全部入ってますね！

わたしが入れているもの以外に必須！というモノはないでしょうか？

Kさん

ぜひ、『Cerber Security, Antispam & Malware Scan』を数日入れて動かしてみて下さい。

不正アクセス検知、プラグインの脆弱性、PHPの脆弱性を狙った攻撃など非常にたくさん目視できると思います。

WP-cerberとSiteguardだけはしっかり設定しておいて、不正アクセスは即BANにすると無難です。

WP-cerberが入っていて設定もできていれば、Edit author Slugはなくても大丈夫です。

ログインID見ようとしたアクセス元を即BANできますm(_ _)m

ミカコ

なるほど…おー、『Cerber Security, Antispam & Malware Scan』は色んな所で評価が高いプラグインですね！

今入れてみます…！しかし、コレ説明が全部英語なんですね（汗）

　Kさん

そうですね、設定の仕方はこのPDFの中に書きました！はいどうぞ！（ドン！）

WordPress Security 2（Kさん作成セキュリティマニュアル２）

ミカコ

わ、このPDFもドキドキすることが書いてある…！

何から何まですみませんっ！！

これならできそうです！プラグイン、この通りに設定してみます！

今の所、競合なく動くことを確認できていて、そこそこ使い勝手が良いのはWP-Cerberです!

こちらのサイトも参考になるかと思います

参考 WordPressサイトのセキュリティを強固に出来る機能を備えた「Cerber Security＆Antispam」WordPress活用術

『Akismet Anti-Spam』は、必要なプラグインなの？

ミカコ

Kさん、あと、Akismet Anti-Spamは、デフォルトで入っていたのでメルアドを登録してAPIキーを取得しましたが、これはやはり必要なプラグインですか？（１冊目のPDFにも説明がありますね！）

　Kさん

Akismetを入れておくといいのは、スパムに関する集合知が形成されるのが早いので、ロボットによる攻撃や大規模なスパム攻撃があっても早く防いでくれるというメリットがあります。

重くなるという人もいますが、重くなる人はそれだけスパム攻撃が多くなっていて、Akismetにより守られていると考えたほうが良いかもです。

ミカコ

えっ！それめっちゃ働いてくれてるってことですね！
知らなかった…！Akismetさんありがとう！

Google Authenticatorを使ってWordPressを２段階認証に設定できる

Twitterでアンケートをとったときに、「ワンタイムパスを入れてます」というリプもいただきました！

ミカコ

Kさん、ワンタイムパスもやはり有効なセキュリティ対策ですか？

　Kさん

ワンタイムパスは入れておいてもいいと思います！

ただし、日頃ログインしっぱなしで作業する場合は、あんまりいらないかもです。

ログイン試行はされますので、セキュリティの壁を一つ増やすのには良いかなと思います！

お出かけ先で作業する時、他人のパソコンや公共の端末で作業するならば、ワンタイムパス必須ですね。

ミカコ

なるほど！

人によって、WordPressの使い方によってもセキュリティ対策が変わってくるのですね！

ワンタイムパス・２段階認証を取り入れたい方はこちらの記事が参考になります。

参考 Google AuthenticatorプラグインでWordPressブログを2段階認証に設定する方法 | 海外SEO情報ブログ海外SEO情報ブログ

まとめ：WordPressは、自分のブログに合ったセキュリティ対策を講じる必要あり！

セキュリティを高めるプラグインを入れて対策はしなくてはなりませんが、サイト表示のスピードも遅くなったらいやですよね。

Kさんから、セキュリティについての色々なプラグインの紹介・設定の仕方をこちらのPDFでいただきました。

『WP Security for Bigginers PDF』（Kさん作成の初心者向けセキュリティマニュアル）
『WordPress Security 2』（Kさん作成セキュリティマニュアル２）

Kさんおすすめのプラグインはこちらで、他のプラグインと競合しないはずとのこと。

『Cerber Security, Antispam & Malware Scan』

ただ、全て英語なので設定の仕方は上記２冊めのPDFを参考にして下さい。

参考までに、わたしが入れているプラグインはこちらになります。
（下記３つにKさんおすすめをプラスしました）

『Siteguard WP Plugin 』

『Edit Author Slug』（Cerber Security~を入れて設定すれば削除して大丈夫です）

『Akismet Anti-Spam』

自分のWordPressに合わせて、必要なプラグインを使いセキュリティを高めましょう！

【おしまい】