みなさん、Wordpress楽しんでいますか?
聞き慣れないワードと格闘しながら、Wordpressをインストールできたときは嬉しいですよね^^
WordPressでサイトを運営していると欠かせないのが「プラグイン」。
慣れてくると「あれもしたい!これもしたい!」とプラグインもいつの間にか増えてくるもの。
WordPressのオススメのプラグインをググると「おすすめプラグイン◯選!」とたくさんのサイトが出てきますが「結局、何が必要なのかわからない!」となっている方も多いのでは?
今回は、Wordpressを使い始めてから15年以上の僕が体験した実話と、Wordpressを始めたばかりの方に「絶対入れて!絶対!すぐさま!」と痛感したプラグインご紹介します!
WordPressを始めたばかりの方はもちろん、運用中の方もチェックしてみてください!
プラグインが発端でマルウェアに感染した話
WordPressのプラグインは、WordPress単体ではできないことをできるようにしてくれる拡張機能のようなものです。
「このプラグインは便利だよ!!!」と聞けば、あれもこれもそれもと導入したくなるのですが、大量にプラグインを導入していくと、「誰かが勧めてたから入れたけど、これなんだっけ?」と管理も大変になりますし、Wordpressに何か問題が発生した場合、問題になっている箇所を見つけるのが非常に困難になります。
なので、Wordpressを始めたばかりの頃は「そのときに必要な最低限プラグインを導入する」ことから始めるのがオススメです。
また、セキュリティの問題上、Wordpress本体もプラグインも常に最新版にしておくことも大切です。
先日、うちのサーバー内で、他の作業者がとあるプラグインをインストールしたところ、おなじサーバー内に設置してあったサイトが全てマルウェアに感染しました。もちろんこのブログも。
経緯を聞くと「公式じゃないところからダウンロードしたファイル」だったそう。
WordPressの導入だけでもヒィヒィだったのに、自分のブログがマルウェアに感染して、こんなコードを仕込まれていたら・・・ぞっとしますよね?
15年以上WEB屋をやっていますが白目剥きました。
マルウェアに感染したことでWordPressにログインできなくなるのはよくある話。
また、マルウェアに感染するとWordpressに登録してある自分のメールアドレスから大量のスパムメールを送信されたり、借りているレンタルサーバーにも多大な迷惑がかかります。(実際、マルウェアに感染したときはサーバーを凍結されました)
自分のメールアドレスから大量のスパムメールが送られてると思うとゾッとしませんか?
WordPressと同時にインストールしてほしいオススメプラグイン!
そんなわけで、今回はWordpressを始めたばかりの方にも比較的設定が簡単なセキュリティプラグインを3つ厳選しました。
病気と同じでなってからでは遅い!
1. Wordfence Security
まず1つ目は「Wordfence Security」です。
「Wordfence Security」は不正アクセスなどを自動で学習し、怪しい輩からの攻撃を防御してくれるプラグインです。小難しい設定をしなくてもインストールした後は自動的にマルウェアやファイアウォールからサイトを守ってくれます。
マルウェアのスキャンだけではなく、ログイン時の二段階認証など超優秀なセキュリティプラグインですが、残念ながら日本語化されておらず設定画面が英語です。
英語での設定に辟易してセキュリティ対策が後回しになっては本末転倒。
英語が苦手な方は、以下のXMLRPCやログイン画面の設定は2つ目のプラグインで行ってください。
Wordfence Securityによる管理画面の二段階認証の設定は省略します。
WordPressのバージョンを隠す
マルウェアやハッカーはWordpressのバージョンに応じた攻撃をしてくるので、WordPressのバージョンを隠す設定だけはしておきましょう。
- All Options > General Wordfence Options > Hide WordPress version にチェック
XMLRPCへのアクセスをブロックする
「XMLRPC」という、スマホのアプリでの更新や自動トラックバックの機能を行うファイルありますが、特にハッカーに狙われやすいファイルの1つです。
「Wordfence Security」でXMLRPCへのアクセスをブロックする場合は、
- Firewall Options > Advanced Firewall Options > Immediately block IPs that access these URLs
に「/xmlrpc.php」と入力して保存をすればOKです。

2. SiteGuard WP Plugin
2つ目は「SiteGuard WP Plugin」です。
こちらのプラグインは日本語なので安心です。
「SiteGuard WP Plugin」も、管理画面へのログインを制御したり、ログインページのURLを変更したりすることができるプラグインです。(エックスサーバーなど一部のサーバーでは、自動インストールするとインストールされています。)
「SiteGuard WP Plugin」をインストールしたら、
- 管理ページアクセス制限
- ログインページ変更
- XMLRPC防御(XMLRPCを無効にする)
最低限この3つはONにしておきましょう。
3. Anti-Malware Security and Brute-Force Firewall
3つ目は「Anti-Malware Security and Brute-Force Firewall」です。
このプラグインは、すでにWordpressに異常が発生している場合や、明らかに改ざんされている場合、どのファイルに問題が発生しているかを診断してくれるプラグインです。
改ざんされた後に活躍するプラグインなので、上記の「Wordfence Security」と「SiteGuard WP Plugin」でセキュリティ対策をしているサイトであれば不要ですが、セキュリティ対策を怠っていた場合はAnti-Malware Securityでスキャンしてみるとをオススメします。

マルウェアに感染していることに気づいた際、デフォルトで同梱されている「WP Multibyte Patch」やど有名どころの「カスタムフィールドプラグイン」なプラグインも書き換えられていました。

WordPressを導入したらセキュリティ対策を!
.htaccessの設定や、ディレクトリのパーミッションなど、必要な対策はまだまだありますが、今回はWordpressをはじめたばかりの方にも導入しやすいプラグインを厳選してご紹介しました。
WordPressでブログを始めて一番の挫折ポイントは、思い通りにいかず「難しいプログラムみたいなアレ」に直面したときだと思います。
セキュリティ対策を行っていなかったことで、管理画面にログインできなくなったり、それまで一生懸命書いてきた記事が全て消えてしまったり・・・ということもよく起きます。
まずはセキュリティ対策をして、Wordpressを楽しんでくださいね!