ワードプレスで複数のセキュリティープラグインを併用する場合の注意点に関しまして解説いたします。
代表的なワードプレスのセキュリティープラグイン
ワードプレスサイトによく導入されているセキュリティープラグインは下記のようなものとなります。
WordFence
WAF で悪意あるトラフィックをブロック。マルウェアスキャナーで感染を検知・修復。二要素認証 (2FA) とブルートフォース攻撃保護します
SiteGuard
インストールして有効化するだけで、基本的なログイン保護や管理画面への不用意なアクセスを防げる。ログインページのURLを変更、自動ロックアウト、画像認証 (CAPTCHA)、ログインアラート (メール通知) などで不正ログイン対策。
All-In-One Security (AIOS)
WAF機能を網羅、ファイアウォール (6G/8Gルール)、ログイン保護 (2FA、ユーザー列挙防止)。ファイル変更監視とコンテンツ保護 (スパム/ホットリンク防止)。セキュリティスコアリングで使いやすく、初心者向け。
Solid Security
元々 iThemes Security。ログイン強化 (2FA/パスワードポリシー) やブルートフォース防御、ファイル変更検知、脆弱性スキャンなど、多層的な防御が可能。脆弱性スキャン。ファイル変更検知とユーザー活動ログ。
MalCare Security
マルウェアスキャナー。WAFでWordPress特化の脅威ブロック。脆弱性検知、アクティビティログ、国別ブロック、ログイン保護
WP Doctor malware scanner pro
WAF で悪意あるトラフィックをブロック。マルウェアスキャナー、脆弱性検査、IPブロック、攻撃監視機能など
セキュリティープラグインには同じようなWAF機能が含まれています
WAFとはハッカーの攻撃を未然に防いだりハッキングをしにくくするための機能です。この機能があるプラグインは機能が多くの場合かぶっており、7割以上は同じです。また、ログイン保護はほぼすべてのプラグインにあります。
このようなかぶっている機能を複数のプラグインで有効にすると機能がかち合う可能性があり、ログインできなくなるなどの不具合を引き起こすことがございます。
また、セキュリティー関連の機能が複数回実行されますのでサイトの負荷や速度を低下する可能性があります。
この為、同じようなセキュリティー機能は複数のセキュリティープラグインが導入されていたとしても機能がかぶらないように設定していただくことをお勧めいたします。
マルウェアスキャン機能でお互いを誤検出
また、マルウェアスキャン機能のあるプラグインは、その検出パターンを同梱していたり、検出のプログラム自体がマルウェアに近いようなコードを含む場合があり、マルウェアスキャン機能がお互いに安全なコードであるのに誤検出し合うという事が起こることがございます。
この為、複数のマルウェア検査プラグインを動作させている場合は、その検出ファイルが確かにマルウェアかどうかを人間が判定しなければいけません。
安全なファイルの誤検出かどうかの判定方法としましては下記のような流れで判別できるかと存じます。
・検出されたマルウェアが別のマルウェア検出プラグインのフォルダ内に存在する
・上記の条件を満たし、その検出ファイルが正規の配布ファイルの同一バージョンのプラグインに含まれており、内容も同一
また、マルウェアスキャンが複数のプラグインで実行されるとサイトの負荷が大きくなりサイトの速度低下につながる可能性もございます。
この為、当社ではセキュリティープラグインは一般的なWAF機能があり、その他マルウェアスキャン機能(かつ検出率が高い)、脆弱性検査機能のある1つのプラグインにおまとめいただくことをお勧めいたします。
WordPress もしワードプレスのマルウェアが検出されたら、マルウェア検査駆除の専門家集団であるWPドクターが駆除の代行をいたします。お気軽にご相談・ご依頼お送りください。
