WordPress(ワードプレス)の推奨セキュリティ対策

WordPress(ワードプレス)の推奨セキュリティ対策

WordPress(ワードプレス)のセキュリティ対策どうされてますか?

というテーマで今回は実情とおすすめセキュリティ対策・プラグインを紹介したいと思います。

国内サーバーで採用が多いSiteGuard

日本だと一部のレンタルサーバーがデフォルトでインストールしているためSiteGuardプラグインを使っている場合が多いのではないでしょうか?

このプラグインは便利と言えばそうなのですが、WAFを有効化しているとWordPressで通常行える操作の多くが一度WAFで強制的にストップされ、都度レンタルサーバーの管理パネルから除外設定をしなければならないのが厄介です。

SiteGuardプラグインを削除し、サーバーのWAFも停止して後述のWordfence使うという方法もありです。

世界シェアNo.1 Wordfence

おすすめは無料でも基本的なセキュリティ対策を施せるWordfenceプラグイン。SiteGuardプラグインよりも誤検知が少なく、コアからテーマ、プラグインの更新があれば直ぐメール通知してくれる優れものです。マルウェアや感染対策のスキャン機能も無料で使えます。

SiteGuardに比べると設定項目が少ないので導入が簡単です。

不正ログイン対策 Jetpack

ファイアウォールやマルウェア感染対策はありませんが、不正ログイン対策機能があり実際の稼働状況を見てみると結構不正ログインの試みをブロックしています。WordPressは利用シェアも多いので様々な国から攻撃が来ますね。

Jetpackは機能多すぎて若干サイトを遅くする事があるので、これについては不要機能をOFFにする事で回避できます。

超高速ブログのセキュリティ対策

普通のブログなのにやや複雑な構成となってますがタイムライン形式にするとこうなります。

  • DNS
    CloudFlare
    DNSレベルで一般的な不正アクセスをブロック。
  • サーバー
    DDoS対策
    DNSを通過したら次はサーバーのDDoSフィルターにかけられます。
  • WordPress
    Wordfence
    そして最後にWordfenceがWordPressの不正アクセスや不正なファイル改変を監視します。

ログインにおいてはWordfenceとJetpackが両方動いていますが高速化パフォーマンスに影響しなかったのでそのまま2つのセキュリティ対策が稼働しています。

まとめ

セキュリティ対策に困ったらWordfenceを入れておけばとりあえずは無難です。画面が英語表記ですが中学英語程度の読解力があれば特に困ることはありません。

またWAFやセキュリティプラグインは2つ同時には中々動きませんし、推奨されてないのでいずれか一つというのが理想です。JetpackとWordfenceであれば2つ同時に使っても不具合はありません。

プラグイン設置・設定代行も提供してますのでお困りでしたらお気軽にご相談ください。

コメント