世の中にはさまざまなセキュリティ対策用WordPressプラグインがあります。あまりにもたくさんありすぎて、どれを使えばいいか迷ってしまうほどです。
この記事では、セキュリティ対策対策の目的やレベル別で、おススメのプラグインとその使い方を紹介します。初心者の方でもカンタンに導入・設定できるものばかり選んでいるので、ぜひ検討してみてください。
サイトへの不正ログインを防止するプラグイン
最も重要なセキュリティ対策がこれ。WordPressは世界中で利用されている人気のCMSですが、裏を返せばそれだけ狙われやすいということでもあります。
サイトに不正ログインをされてしまうと、サイトの内容を知らずに書き換えられてしまったり、管理者なのにログインできなくされてしまう危険性があります。
最低限の対策をしたいなら「Login rebuilder」
とりあえず最低限の対策をしたいなら、Login rebuilderがおススメ。
何も対策をしていないWordPressサイトは、サイトのURLの末尾に「wp-login.php」を付け加えることで、誰でもログイン画面にアクセスすることができてしまいます。ログイン画面にアクセスできてもパスワードを知らなければログインすることはできないのですが、とはいえパスワードを総当たりで試していくプログラムなどを使われたら突破されてしまう可能性もあります。
そこで、不正ログインを防止するための対策として、ログイン画面URLの変更が有効ということです。この対策をするだけでも、不正ログインの危険性がグンと減ります。
プラグイン「Login rebuilder」は、WordPressのログイン画面URLを変更するだけのコンパクトなプラグインです。
プラグインの新規追加画面で「Login rebuilder」と検索すると出てくるので、「今すぐインストール」からインストールして有効化します。
有効化すると、ダッシュボードの「設定」の項目の中に「ログインページ」という副項目が増えています。ここにアクセスすると、ログインページの設定画面が表示されます。
いろいろな設定がありますが、基本的には変更するのは「新しいログインファイル」と「ステータス」のみでOKです。その他の項目は触れなくても構いません。
「新しいログインファイル」の部分に入力したファイル名が、ログインURL末尾の「wp-login.php」の代わりになります。必ずファイル名の末尾は「.php」になるようにしてください。例えば、新しいログインファイルを「sample.php」にしたら、ログインURLはhttp://(サイトURL)/sample.phpになるというわけです。
サイト名やユーザー名など、推測されやすいものは避けましょう。ランダムな文字列を入れ込むのがおススメです。
さらに、「ステータス」を必ず「稼働中」にチェックしてください。これを稼働中にしておかないと、ログインURLが変更されません。
ここまでできたら、ページ下部の「変更を保存」ボタンをクリックすると、変更が反映されます。
セキュリティをガッチリ固めたいなら「SiteGuard WP Plugin」
ログインページのURL変更だけでなく、もっとガッチリ守りを固めたい方にオススメしたいのがSiteGuard WP Plugin」です。
ログインURL変更はもちろん、ログインやコメントの際に画像認証を設けたり、ログインに一定回数失敗したIPアドレスをロックする機能や、サイトにログインがあったときにメールで通知する機能など、ログインに関するさまざまな機能を実装できます。
こちらのプラグインも、ダッシュボードの「プラグイン>プラグインを追加」から検索することでインストールできます。
有効化すると、ダッシュボードのサイドバーの下の方に「SiteGuard」という項目が増えます。「ダッシュボード」からそれぞれの機能が現在稼働しているかどうかを確認できます。
いろいろな機能がありますね! 各機能の名前をクリックすると、機能のオン・オフの切り替えや、詳細な設定の変更ができます。
このプラグインを使う場合も最低限、ログインページ変更を行うことをおススメします。その他にオススメの設定はログインロック、および更新通知のONですが、このあたりはお好みに合わせて変更してください。
スパムコメントをはじくプラグイン
そもそもコメント機能を利用していないなら対策する必要はありませんが、コメント欄を解放している場合は対策が必要です。
スパム対策プラグインとしてよく名前を挙げられるのが「Akismet anti-spam」です。とても有用なプラグインではありますが設定がややこしいので、初心者にはあまりおススメしません。また、広告を掲載しているサイトや商品を買わせる目的のあるサイト(いわゆる商用サイト)での利用は有料のため、同人誌の通販などを行っていたり、お仕事の受付を行っているサイトでの利用が有料となる可能性があります。
当サイトでは、商用サイトでも無料で使えて設定もカンタンなThrows SPAM awayをおススメしています。
日本語が含まれていないコメントはすべてはじく「Throws SPAM away」
日本語サイトにおける最も簡単なスパム対策がこれ。コメントに日本語が含まれていないものはすべてはじいてしまうというものです。
WordPressサイトに投稿されるスパムコメントはほとんどが英語、ロシア語などの外国語であるため、これ一つでほとんどすべてのスパムコメントをはじくことができます。
ただし、スパムではない海外からのコメントもすべてはじくことになってしまうし、日本語で書かれていたらスパムでも通してしまうので、ご注意ください。NGワードを設定して、NGワードを含む投稿をはじく設定をすることで、ある程度日本語スパムも避けることができます。
こちらのプラグインも、ダッシュボードのプラグイン追加から検索することでインストールできます。
インストールしたら有効化するだけでOK。いちいち設定を行う必要はありません。とってもカンタン!
もっとスパム対策の精度を上げたい方は、ダッシュボードのサイドバー下部に「Throws SPAM away」という項目が追加されていますので、そこから設定を変更してください。基本的には初期設定のままでOKですが、NGワードを追加したり、URLを含む投稿をはじくように設定することもできます。
セキュリティ対策をしっかり行いましょう
趣味で運営しているサイトだとしても、ネットを介した悪意はいつどこからやってくるかわからないものです。
手遅れになってしまう前に、最低限でいいのでセキュリティ対策を行いましょう!
