Blog

WordPressに入れておきたい、セキュリティ系プラグインなどのまとめ

2014/03/17

横田です。このサイトもWordPressで構築しておりますが、最近はWordPressのセキュリティ関連が注目されています。セキュリティについては、完全に防御できることはありえませんが、いくつかのテクニックを覚えておいたり、WordPressのセキュリティを高めるプラグインを入れれば、自分のWordPressが多少はセキュアになると思います。

というわけで、今回はWordPressのセキュリティを高めるテクニックやプラグインをご紹介します。

《プラグインを入れる前に、まずはこれを読んでください》

ノンプログラマーのための WordPressセキュリティ入門

色々とセキュリティ系のプラグインを入れる前に「プラグインを入れる前に覚えておくこと」や「そも々なんのためにプラグインを入れているのか?」を考える必要があります。これらを知るには宮内 隆行さんが作成された「ノンプログラマーのための WordPressセキュリティ入門」を読むことをオススメします。

この資料は、元々WordFes Nagoya 2013での発表資料です。ちょうど私も別のセッションに出ていて、たま々この発表を聞いていたのですが、私のような非エンジニアでもWordPressのセキュリティについて非常にわかりやすく勉強できました。

Crazy Bone (狂骨)

20131014a

このプラグインは、自分のWordPressのログイン履歴を管理してくれるツールです。実際に自分のサイトにどこからログインをされようとしているのかをわかります。また、別のIPアドレスからログインがあった場合、警告まで出してくれます。

ちなみになぜ「狂骨」というおどろおどろしい名前かというと、作者のブログによると京極堂シリーズのタイトルからのようですね。個人的にはこのシリーズの中では「魍魎の匣」と「絡新婦の理」がオススメです。

[解説]
WordPressのログイン履歴を表示するプラグイン「Crazy Bone」 | SaaSes Staff Blog

WordPressへの不正アクセスログを記録して見せてくれるプラグイン Crazy Bone - 頭ん中

Force Email Login

20130414c

先ほどご紹介したノンプログラマーのための WordPressセキュリティ入門の宮内 隆行さんが作成したプラグイン。このプラグインは、ログイン方法をユーザ名ではなくメールアドレスでログインできるようにするものです。ログイン時のIDをメールアドレスにすることで、無差別攻撃を成功しにくくします。

[解説]
WordPressへのログイン方法をユーザー名ではなくメールアドレスにしてなんちゃってブルートフォースアタック対策 | firegoby

Google Authenticator

Googleの2段階認証をWordpressで利用できるようにする方法です。

[解説]
Google AuthenticatorプラグインでWordPressブログを2段階認証に設定する方法 | 海外SEO情報ブログ

Automatic Updater(自動アップデーター)

WordPressで確実なセキュリティ対策は最新版のWordPressやプラグインを利用することですが、それほど頻繁にWordPressのダッシュボードにアクセスしない人は、ついついアップデートをわすれてしまう事もあると思います。そんな人にオススメなのがこの「Automatic Updater(自動アップデーター)」です。このプラグインは自動的にWordPress本体やプラグインをアップデートしてくれます。また、アップデートした後にはメールで通知もしてくれます。自分のWordPressを常に最新版に保つために、インストールをおすすめします。

[解説]
Automatic Updater | わーどぷれすっ!

Throws SPAM Away

コメントに日本語が使用されていないものや任意のIPアドレスからの投稿を無視するプラグインです。海外からのスパムを防ぐのに有効でしょう。

《.htaccessを利用して制限をかける》

プラグインではありませんが「.htaccess」を利用してIPアドレスやBasic認証による制限もできます。特にダッシュボードにIPアドレスの制限をかけると、ダッシュボードにアクセスできる人を制限できるので安心です。これらの方法は下記のサイトに詳細が掲載されていますのでご覧下さい。

[解説]

WordPressの管理画面に制限をかける(ver3.5.1) | Gatespace's Blog

-Blog