WordPressのおすすめセキュリティ系プラグインを比較した結果【Cocoon】

この記事は約22分で読めます。
今回の疑問点
  • WordPressにおすすめのセキュリティ系プラグインは?(Cocoon使用時)
  • Wordfence Security – Firewall & Malware ScanとAll In One WP Security & Firewall(AIOWPS)、どちらが良い?
  • XO SecurityとSiteGuard WP Plugin、どちらが良い?
  • Invisible reCaptcha for WordPressとAkismet Anti-Spam、どちらが良い?
  • UpdraftPlus(アップドラフトプラス)とBackWPup、どちらが良いい?

という人のために、おすすめのセキュリティ系プラグインの紹介、各プラグインの比較した結果を解説します。

1.前提条件・事前準備・参考記事

WordPressのセキュリティに関しては、以下を参考にしてください。

2.おすすめのWordPressセキュリティ系プラグイン

2-1.最適なWordPressセキュリティ系プラグインの組み合わせ

この記事の結論です。
WordPressのセキュリティにおすすめするプラグインの組み合わせは、以下になります。
Wordfenceをセキュリティの主軸とし、他のプラグインで補完します。
テーマはCocoonを使用した場合です。

  • Wordfence Security – Firewall & Malware Scan:総合セキュリティ
  • XO Security(またはSiteGuard WP Plugin):ログインセキュリティ、ワンタイムパスワード(2段階認証)遅延対策、等
  • BBQ: Block Bad Queries:データベース不正操作対策
  • Invisible reCaptcha for WordPress:スパム対策
  • UpdraftPlus(アップドラフトプラス):バックアップ

2-2.おすすめプラグインの対抗馬

2-2-1.総合セキュリティ

総合セキュリティのプラグインは、主に以下の4つがあります。

  • Wordfence Security – Firewall & Malware Scan
  • All In One WP Security & Firewall
  • iThemes Security
  • Sucuri Security

Wordfenceが群を抜いて優秀なので、Wordfence以外の出番はありません。
Wordfenceの設定方法などは、以下を参考にしてください。
Wordfenceの(アン)インストール方法と最適な設定方法
WordfenceとGoogle認証システムで2段階認証(2FA)を設定する方法
Wordfence Securityの全ての設定方法を3万文字で解説
Wordfenceの使い方、画面の見方を6万文字で解説
ログイン(2段階認証)エラー対策【Invisible reCaptcha、Wordfenceの2FA、ConoHa WING】

2-2-2.ログインセキュリティ

ログインセキュリティのプラグインは、以下の3つがあります。

  • XO Security
  • SiteGuard WP Plugin
  • Login Security Solution

Wordfenceと組み合わせる場合、XO Security、SiteGuard WP Pluginの順に相性が良いです。

Login Security Solutionはブルートフォースアタック(総当たり攻撃)対策のプラグインです。
Wordfenceにも搭載されている機能のため、Wordfenceを主軸にする場合、Login Security Solutionは必要ありません。

XO Security、SiteGuard WP Pluginの設定方法などは、以下を参考にしてください。
XO Securityの設定方法
SiteGuard WP Pluginの設定方法

2-2-3.データベース不正操作対策

データベース不正操作対策のプラグインは、以下があります。

  • BBQ: Block Bad Queries(ブロックバッドクエリ)

BBQ: Block Bad Queries(ブロックバッドクエリ)は、Wordfenceの機能を補完します。
BBQには、SQLi(SQLインジェクション)、XSS(クロスサイトスクリプティング)の対策が含まれます。
SQLi、XSS対策は、総合セキュリティのAll In One WP Security & Firewallにも含まる機能ですが、BBQの方が強力です。

BBQの設定方法などは、以下を参考にしてください。
BBQ(Block Bad Queries:ブロックバッドクエリ)の設定方法

SQLi(SQLインジェクション)とは?<用語解説>

SQLiとは、データベースシステムを不正に操作するサイバー攻撃のこと。
検索フォーム等の入力欄からデータベースを操作する言語を送信して、データベースを操作する。

XSS(クロスサイトスクリプティング)とは?<用語解説>

XSSとは、悪意のある不正なスクリプトをサイトに埋め込むサイバー攻撃のこと。
掲示板やコメント欄等に不正スクリプトを送信し、読者のブラウザにスクリプトを実行させる。

2-2-4.スパム対策

スパム対策のプラグインは、以下の3つがあります。

  • Invisible reCaptcha for WordPress
  • Akismet Anti-Spam (アンチスパム)
  • IP Geo Block

スパムを検知する「Google reCAPTCHA」が優秀なので、「Google reCAPTCHA」を上手く設置できるInvisible reCaptcha for WordPressを選択します。
Akismet Anti-Spamは、スパムを検知してゴミ箱に自動的に移動させますが、スパム自体は受け付けるのでおすすめできません。
IP Geo Blockは、国別にIPアドレスをブロックしたい場合に有効ですが、使うならWordfenceの有料版をおすすめします。

Invisible reCaptcha for WordPressの設定方法などは、以下を参考にしてください。
Invisible reCaptcha for WordPressの設定方法【Google reCATCHA】

2-2-5.バックアップ

バックアップのプラグインは、以下の3つがあります。

  • UpdraftPlus(アップドラフトプラス)
  • BackWPup
  • All-in-ONE Migration

サイトをバックアップする際は、復元が簡単にできるかが重要です。
UpdraftPlusは、管理画面からワンクリックで復元できます。
BackWPupは、復元にFTPを使います。サーバーのphpMyAdminphを使う場合もあります。
All-in-ONE Migrationは、32MB(裏技で512MB)までが無料です。

手間、保存容量を考えると、UpdraftPlusが良いです。それ以外のプラグインは必要ありません。

3.セキュリティ系プラグインの比較

3-1.総合セキュリティ:「Wordfence」vs「All In One WP Security & Firewall」

WordfenceとAll In One WP Security & Firewallの違いは、以下になります。

比較項目WordfenceAll In One WP
Security Firewall
プラグイン自動更新
アラートメール通知
IP取得方法選択可能
WordPressのバージョンを隠す
Uploadsディレクトリでのコード(PHP)を無効にする
(バックドア対策)
スキャンスピート変更(低スペックサーバー用)
アクセス等の活動を記録する
ファイアウォールを設置する
世界中の他サイトに攻撃したIPアドレスをブロックする
ホワイトリストを設定する(自分だけブロックを回避する)
ブルートフォースアタック(総当り攻撃)を保護する
強力なパスワードを強制する
ログインエラーメッセージを一律に表示する
ユーザーをadmin名で登録させない
ユーザーID表示を隠す
アクセス過多を防ぐ(DDoS攻撃対策)
スキャンする
プラグインの設定の保存・読み込みが可能
2段階認証を設定する
ログインページ変更
他ユーザーを強制ログアウトする
アカウントの活動を記録する
ユーザー登録時にキャプチャを表示する
人間に見えない登録フォーム設置(bot用の罠)
データベースをバックアップする
WP初期ファイルのアクセスを禁止する
トレースと追跡を無効にする
(XSS(クロスサイトスクリプティング)対策)
ログインページURLを変更する
ログインフォームに画像認証を追加する
コメントスパム対策をする
コンテンツコピーを防止する

3-1-1.必要な機能があるか

機能はAll In One WP Security & Firewallの方が多いです。
しかし、必要のない機能も多く、他のプラグインがカバーしている項目ばかりです。
競合する機能はエラーを誘発させる場合があるため、結果として貧弱なセキュリティ環境になる恐れがあります。

WordPressでセキュリティを考えるなら、虚弱性(セキュリティホール、セキュリティの穴)を無くすことが重要です。
その点、Wordfenceとその他のプラグインは、機能が被らないためエラーが少ないです。

3-1-2.Wordfenceの魅力

Wordfenceの魅力は、2つあります。
1つ目は、世界中の他サイトに攻撃したIPアドレスのパターンをルール化し、ブロックすること。
Wordfenceのユーザーは、セキュリティネットワークに参加します。
すると、世界のどこかで行われた攻撃者からのIPアドレスを、自分のサイトもブロックするようになります。
ユーザーが増え、時間が経つほどに、Wordfenceの防御力は高まります。

2つ目は、2段階認証があること。
2段階認証機能を持つプラグインは他にもありますが、Wordfenceを選択すれば、プラグインを1つ削減できます。
プラグインの個数を減らすことは、セキュリティ、サイトを軽くする、という観点から有効です。

3-1-3.Wordfenceの参考記事

Wordfenceの設定方法などは、以下を参考にしてください。
Wordfenceの(アン)インストール方法と最適な設定方法
WordfenceとGoogle認証システムで2段階認証(2FA)を設定する方法
Wordfence Securityの全ての設定方法を3万文字で解説
Wordfenceの使い方、画面の見方を6万文字で解説
ログイン(2段階認証)エラー対策【Invisible reCaptcha、Wordfenceの2FA、ConoHa WING】

3-2.ログインセキュリティ:「XO Security」vs「SiteGuard WP Plugin」

XO SecurityとSiteGuard WP Pluginの違いは、以下になります。

比較項目XO SecuritySiteGuard WP Plugin
作成者個人法人
アップデート対応遅い速い
ログイン履歴
ログイン試行回数制限
ワンタイムパスワード対策
フェールワンス(正しい入力でも1回失敗)
管理ページアクセス制限
ログインURLへのリダイレクト制限
ログインページの変更
ログインアラート
ログインエラーメッセージの変更
ログイン ID の種類の選択
ログイン CAPTCHA(画像認証)
コメント CAPTCHA(画像認証)
XML-RPC の無効化
XML-RPC ピンバックの無効化
REST API の無効化
REST API URL の変更
投稿者アーカイブの無効化
コメント投稿者クラスの無効化
IP アドレス取得方法7個から選択4個から選択

3-2-1.個人か法人か

XO Securityは、個人で作成されており、アップデート対応までに時間がかかるようです。
あまりにも長い間アップデートされないのであれば(1~2年)、SiteGuard WP Pluginを主軸にした方が良いです。
SiteGuard WP Pluginのアップデートは比較的早いです。

3-2-2.フェールワンス(正しい入力でも1回失敗)機能があるか

SiteGuard WP Pluginには、フェールワンス機能があります。XO Securityにはありません。
フェールワンスとは、正しいパスワードを入力しても、わざと1回失敗する機能です。
サイト攻撃者に、「あれ、間違えたかな?」と思わせ、正しいパスワードを一度だけスルーさせられます。
ただし、自分も毎回、2回パスワード入力が必要になります。
利便性が失われるので、不必要と思われる機能です。

3-2-3.ワンタイムパスワード対策、他の機能があるか

XO Securityの最大の特徴は、「ワンタイムパスワードの制限時間内(約30秒)を時間切れにする」機能があること。
XO Security以外にワンタイムパスワードの制限時間切れができるプラグインは無いので、唯一無二と言えます。

その他、コメント入力時に画像認証、REST APIの無効化などがあります。
フェールワンスが必要ないのであれば、SiteGuard WP PluginよりもXO Securityの方が優秀です。

3-2-4.Wordfenceの補助機能としてのXO Security

総合セキュリティプラグイン「Wordfence」を主軸とした場合、補助としてXO Securityができることは、以下になります。

  • ワンタイムパスワード対策
  • ログインページ変更
  • ログインIDをユーザー名のみにする

XO Securityは、Wordfenceには無い機能を備えています。
競合する機能はXO Security側でOFFにすれば、エラーの心配もありません。
ですので、通常はXO Securityを使い、XO Securityの更新期間が2年以上など開きがあるようであれば、SiteGuard WP Pluginに切り替えると良いでしょう。

3-2-5.XO Security、SiteGuard WP Pluginの参考記事

XO Security、SiteGuard WP Pluginの設定方法などは、以下を参考にしてください。
XO Securityの設定方法
SiteGuard WP Pluginの設定方法

3-3.スパム対策:「Google reCaptcha」vs「Akismet」vs「IP Geo Block」

3-3-1.Google reCaptcha(Invisible reCaptcha for WordPress)

総合セキュリティプラグイン「Wordfence」を主軸とした場合、補助として活用したいのは「Google reCaptcha」です。
Google reCaptchaを上手く活用できるプラグインが、「Invisible reCaptcha for WordPress」になります。

Google reCaptchaの特徴は、以下になります。

  • 保護:コメント欄、ログインフォーム、問い合わせフォーム等。
  • スパム処理方法:スパムコメントをブロックし、そもそもスパムコメントを受け付けない。
  • 商用利用:無料で、利用可能(アフィリエイト、物販可能)。
  • バッジ表示:必要(強制)。
  • アカウント登録:Googleで会員登録が必要。

Google reCaptchaの最大の魅力は、攻撃するbotを自動で弾いてくれる点です。
攻撃者のIPアドレス、攻撃手法は日々更新されるため、世界最強のAIを持つGoogleに任せてしまえるのが良いですね。

プラグイン「Invisible reCaptcha for WordPress」は、Google reCaptchaの効果を最大限高めてくれます。
コメント欄だけでなく、ログインフォーム、問い合わせフォーム(プラグイン「Contact Form 7」)も保護します。

Invisible reCaptcha for WordPressの設定方法などは、以下を参考にしてください。
Invisible reCaptcha for WordPressの設定方法【Google reCATCHA】

3-3-2.Akismet Anti-Spam (アンチスパム)

Akismet Anti-Spam (アンチスパム)は、スパムコメント対策をする際に必須のプラグインだと、多くのサイトで紹介されています。
WordPressインストール時に、インストール済みプラグインに入っている場合もあり、なんだか良さそうです。
しかしAkismetは、おすすめできません。

Akismetの特徴は、以下になります。

  • 保護:コメント欄のみ。
  • スパム処理方法:スパムコメントを自動的にフォルダ分けする(結局スパムコメント自体は受け付ける。)。
  • 商用利用:不可(アフィリエイト、物販不可)。有償なら商用利用OK。
  • バッジ表示:なし。
  • アカウント登録:Akismetのサイトで会員登録が必要。

Akismetは、コメントを受け取ってから、必要のないコメントを削除する、という仕様です。
つまり、スパムコメントを膨大に受け取る可能性が残ります。
しかも保護できるのは、コメント欄のみです。

また、商用利用もできません。(有料なら商用利用可能)
さらにスパムコメントの増加に従い、サイトが重くなります。

Akismetしか無い時代は必須でしたが、Google reCaptchaが登場した現在、使う理由はありません。

3-3-3.IP Geo Block

IP Geo Blockは、ログイン画面やコメント投稿への海外からのアクセスをブロックします。
Wordfenceで有料の機能です。
海外からのアクセスを必要としておらず、海外からのスパムが多い場合に有効です。

IP Geo Blockの特徴は、以下になります。

  • ゼロディ攻撃を防ぐ。
  • 以下の項目のコードを、国ごとにブロックする。
    • コメント投稿
    • XML-RPC
    • ログイン・フォーム(IPアドレス当たりのログイン試行可能回数)
    • 管理領域( wp-admin )
    • 管理領域 (admin-ajax.php、admin-post.php)
    • プラグイン領域 ( plugins )
    • テーマ領域 ( themes )
    • その他の重要ファイル ( wp-config.php 等 )
  • ブロックの記録を確認できる。 

デメリットとして、以下があります。

  • 最終更新が2018年で止まっている。
  • WordPress5.5以降の互換性が検証されていない。
  • 既知の不具合(自分を遮断してしまう)が存在するにもかかわらず、修正されていない。
  • プラグイン自体のセキュリティホールが蓄積している恐れがある。
  • 個人で運営しているため、対応が十分にされない可能性が高い。

以下のような不具合がいくつか確認されます。

管理画面にアクセスすると、「Sorry, your request cannot be accepted.」というエラーが出てログインできなくなる場外があります。
対策としては、FFFTPで「wp-contentフォルダ」の中の「IP-geo-api」、及び「pluginsフォルダ」の中の「IP Geo Block」を削除すると、再度ログインが可能になります。

他、WordPressテーマ「Cocoon」の場合、テーマに備わっているアクセス集計が機能しなくなる場合があります。

不具合が修正されない以上、IP Geo Blockは使わない方が良さそうです。
海外からのアクセスを防ぐなら、素直にWordfenceの有料版を購入しましょう。

ゼロデイ攻撃とは?<用語解説>

ゼロデイ攻撃とは、新たな脆弱性(セキュリティホール)が発見された時に、問題の公表や修正プログラムが提供される前に行われるサイバー攻撃のこと。

3-4.バックアップ:「UpdraftPlus」vs「BackWPup」vs「All-in-ONE Migration」

不足の事態があった際、サイトを復旧(復元)するためには、定期的にバックアップが必要です。
復元したい場合は、以下があります。

  • 小さいトラブル:テンプレートの修正を少し間違えたので、少し前に戻りたい。など。
  • 大きいトラブル:サーバー障害などでデータが消えたので、サイト丸ごと復旧したい。など。

バックアップソフトに求める条件は、以下になります。
ただし、サイトの運営状況により、不必要な項目もあります。

  • 無料。
  • 日本語対応。
  • 自動的に、定期的にバックアップする。
  • 自動的に、必要量を超えたバックアップデータを削除する。(管理の手間をかけない)
  • バックアップ先は、クラウドストレージ。容量は多い方が良い(10GB以上)。
  • バックアップデータが軽い。
  • 復元方法が簡単。
  • サイトにログインできなくなっても、サイトの外から復元ができる。
  • バックアップスケジュールを指定できる。
  • 設定ファイル(wp-config.phpや.htaccess)もバックアップする。
  • マルチサイトのバックアップを安全にできる。

3-4-1.UpdraftPlus(アップドラフトプラス)

UpdraftPlusは、小~大のトラブルに全て対応できる、本命のプラグインです。
UpdraftPlusがあれば、他のバックアッププラグインは必要ありません。
(ただし、ConoHa WINGなどレンタルサーバーでもバックアップをしている場合。)

UpdraftPlusの特徴は、以下になります。

  • メリット
    • 無料。
    • 日本語対応。
    • 自動的に、定期的にバックアップする。
    • 自動的に、必要量を超えたバックアップデータを削除する。
    • バックアップ先は、クラウドストレージ。Google Driveを選択可能(15GB)。
    • バックアップデータが軽い(BackWPupの約1/90)。
    • 復元方法が簡単。ワンクリックで復元する。
  • デメリット
    • バックアップ時刻指定不可(有料なら可能)。自動バックアップ設定時刻にバックアップする。
    • サイトにログインできなくなっても、サイトの外から復元ができる。ただし、設定が面倒。
    • マルチサイトのバックアップはセキュリティ上危険(有料なら安全)。
    • 使っているドメイン以外に、データの移行ができない(有料なら可能)。
    • サブフォルダの作成や指定ができない(有料なら可能)。
    • 設定ファイル(wp-config.phpや.htaccess)はバックアップしない。
3-4-1-1.UpdraftPlusのメリット

UpdraftPlusの最大の魅力は、復元が簡単なこと。
ワンクリックで復元ができるので、プラグインやテーマのアップデートなどデータ変更の前に保存すれば、何かあってもすぐにサイトを元通りにできます。
基本的な条件である、無料、定期的にバックアップ、バックアップデータを外部に保存、なども満たしています。
サイトをマルチサイトにしない、設定ファイル(wp-config.phpや.htaccess)を変更しないのであれば、バックアッププラグインはUpdraftPlusだけで良いです。

3-4-1-2.UpdraftPlusのデメリット

UpdraftPlusのデメリットは4つ(実質1つ)あります。

1つ目は、自動バックアップの時刻が設定できないこと。
自動バックアップ設定時刻にバックアップするので、夜中の3時に指定する、などはできません。
バックアップ時はサーバーに負荷がかかるので、弱小サーバーだと日中に設定するのは危険かもしれません。

2つ目は、サイトにログインできない場合に、復旧が面倒になること。
UpdraftPlusは、サイトにログインできることが前提です。
もしサイトにログインできない状態で復元するなら、他のプラグイン同様、FTPソフト等の使用が必要になります。

ですが、仮にサイトがクラッシュしてログインできなくても、ConoHa WINGなら、14日以内であれば、サーバーから簡単に復元可能です。
UpdraftPlusは長期の保存をし(15日以降から1年分など。保存先はGoogle Driveの容量限界値15GBまで)、直近の復旧はサーバーに任せてしまえば、2つ目のデメリットは無くなります。

3つ目は、マルチサイト(サイトのネットワーク、複数サイト)で使う場合は、サイト乗っ取りの危険があること。
ほとんどのバックアッププラグインは、マルチサイトに適応していません。
もしマルチサイト未対応の状態でバックアップをすると、誰でもバックアップデータにアクセスできてしまいます。
マルチサイトでUpdraftPlusを使うなら、有料版を購入する必要があります。

ただ、そもそもマルチサイトの運営はセキュリティリスクが高まるため、マルチサイト自体がおすすめできません。
1つのサイトに何かあれば、全てのサイトに影響します。リスク分散の観点から、通常、サイトは独立させておきます。
またマルチサイト対応プラグインも数が少ないため、手間が楽になることもありません。
よって、マルチサイトでなければ、このセキュリティ上のデメリットも実質ありません。

ちなみに、マルチサイトで無料でバックアップをするなら、BackUpWordPress(バックアップワードプレス)があります。
ただ、オンラインストレージへの保存は不可、復元はFTPを使わなければいけないので面倒です。
マルチサイトを使っているなら、素直にUpdraftPlusの有料版を購入しましょう。

4つ目は、設定ファイル(wp-config.phpや.htaccess)をバックアップしないこと。
設定ファイルをバックアップするなら、有料版を購入するか、BackWPupにします。
しかし、そもそも設定ファイルを変更しないような運用をしていれば、この点はデメリットになりません。

3-4-1-3.UpdraftPlusの参考記事

UpdraftPlusの設定方法などは、以下を参考にしてください。
UpdraftPlus(アップドラフトプラス)の設定方法と使い方

3-4-2.BackWPup

BackWPupは、バックアップ時間を指定できるのが最大の魅力です。
しかし復元方法が少し面倒です。

BackWPupの特徴は、以下になります。

  • 無料。
  • 日本語対応。
  • 自動的に、定期的にバックアップする。
  • バックアップ先は、クラウドストレージ。Dropboxを選択可能(2GB)。
  • バックアップ時刻指定可能。
  • バックアップデータが重い(UpdraftPlusの約90倍)。
  • 復元方法が面倒。FTPソフト、サーバーのphpMyAdminphの操作が必要。
  • 必要ないバックアップデータは、手動で削除する。

BackWPupのデメリットは、3つあります。

1つ目は、復元に手間がかかること。
ちょっと前の状態に戻したい、という小トラブルには適しません。
当然、大トラブルがあった際の手間も、同じようにかかります。

2つ目は、クラウドストレージ容量が少ないこと。
無料で使えるDropbox(2GB)はすぐに容量オーバーになります。
Google Drive(15GB)は有料版になります。
さらに、バックアップデータ自体が重いです(容量が大きい)。

3つ目は、溜まったバックアップデータを手動で削除しなければいけないこと。
バックアップデータ保持数を指定できないため、定期的にバックアップデータの削除が必要です。
うっかり削除を忘れると、Dropboxの容量がオーバーし、バックアップ不可になりかねません。

以上から、UpdraftPlusが使えるのであれば、できるだけBackWPupは使わないようにするのがおすすめです。

3-4-3.All-in-ONE Migration

All-in-ONE Migrationは、バックアップもできますが、メインの使い方ははサイト移設です。
バックアップする場合は、テーマをアップデートする前に保険として使う、というような形になります。

All-in-ONE Migrationの特徴は、以下になります。

  • 無料。
  • 日本語対応。
  • バックアップ先は、クラウドストレージ。Google Driveを選択可能(15GB)。
  • バックアップは手動のみ。
  • バックアップ後の復元は、容量制限がかかる。通常32MB、裏技で512MBまで。

All-in-ONE Migrationは、簡易的なバックアップをしたい場合のみ有効です。
復元の容量に制限があるので(最大512mB)、初期サイトかテストサイトだけになります。

通常は、UpdraftPlusがあれば十分です。

4.まとめ

WordPressのセキュリティは、漏れなく、ダブりなく、お手軽なプラグインを選びましょう。
各プラグインの設定は、面倒がらずに、最初に設定しておきます。
特にWordfenceは見るべき項目が多いですが、頑張りましょう。
セキュリティをガチガチに固めておけば、その後のトラブルは激減するので、結果的にお得です。

タイトルとURLをコピーしました