この記事は、いちからWordPress(ワードプレス)を使ってサイト運営をはじめる初心者の方のために、現状導入必須レベルと思われるプラグインと、それぞれのプラグインのオススメ設定を詳しく解説しています。また、こちらの記事は情報が少ない「WordPressマルチサイト運営を前提」とした項目も載せています。参考にしてください。
初期設定まとめ
オススメ初期設定(ToDoリスト)はこちらでまとめていますので、あわせてご覧ください。
特にCocoon利用者は専用の項目もあります
セキュリティ系
WordPress初心者やサイト運営をはじめたばかりで「とりあえずセキュリティ対策」したいけれど「そこまでガッツリでなく様子見程度」で構わないというライト層が、このページを読んでいる方の中ではおそらく一番多いであろうということから、ここでの【採用】基準は後述のWordPressセキュリティ『サックリ路線』を参考にしています。
【採用】 BBQ Firewall
設定不要:インストール・有効化するだけでOK
Nginx(エンジンエックス)サーバー対応
.htaccessファイル改変なし
ファイアウォール・SQLインジェクション(データベース不正操作)対策・XSS(ページ脆弱性攻撃)対策
Wordfenceとの併用想定も公式が明言しており競合せず無駄がない上に軽量で設定不要と三拍子揃っている
マルチサイト対応?
BBQ公式FAQ
マルチサイトネットワーク全体での包括的利用は無理だが、ネットワーク上の個別サイトで有効・利用可
[…] the plugin can be activated on any given site on a Multisite network, but network-wide activation is not supported at this time.
【採用】 XO Security
設定必要:サイトごと(マルチサイト対応)
登録不要
マルチサイト対応とはいえ細かい設定はサイトごとだが「ログインページの変更」は「すべてのサイトで共通 (推奨)」を選択することで「メインサイトの設定を継承」することができる。その場合ネットワーク下の各サイトでは「ログイン」の項目は設定する必要がない
Apache・LiteSpeed・Nginx・IIS対応
.htaccessファイル改変なし
ログイン系セキュリティ対策・スパムコメント対策・メンテナンス(モード)画面の表示・投稿ユーザー情報の秘匿・WordPressバージョン情報の削除・readme.htmlファイルの削除・2要素認証(2FA)機能
XML-RPCを無効化しない対策も可能
XO Securityの方でも2要素認証(2FA)機能が追加されました。これが無料提供され続けていくとなると、主にライト層(後述セキュリティ:サックリ路線)の大幅強化に繋がりそうです(2FA自体がサックリと矛盾するかもしれませんが、可能な選択肢が増えるのは良いことでしょう)
Wordfenceを導入しているガッツリ勢は既にそちらで無料提供されているので変わりないかもしれませんが、XO Securityの2FAでは権限別にユーザーやタスクごとの設定ができるなど、より使い易い可能性もあります。2FAというだけで非常に強力なセキュリティ対策であることに変わりないので、あとは自分に合う方を選びましょう
あわせてREST API関連機能の廃止がアナウンスされています。現状ではまだ使えていますが、今後使えなくなる可能性があります
前回の2FAアップデートから舌の根も乾かぬ内(それほど早く)に、新しいアップデートがあったので記事の内容を更新しました(詳しくは以下の通り)
- 投稿者ベースを変更する機能を追加
- CAPTCHAタイプを選択するオプションを追加
- コメントのボット判定をより厳しく
前回の2FAアップデートにも驚かされたが、今回も凄い。まず下でも述べていた通り「投稿者ベースの編集」は多機能なXO Securityでも唯一できないこと(泣きどころ)でEdit Author Slugが入り込む余地を許していたが、投稿者ベースの編集までできるとなると本格的にEdit Author Slugの立つ瀬がなくなってくる。しかもXO Securityはパーマリンクのカテゴリー・タグベース編集スペースの真下に、まるでデフォルト機能のように鎮座させるという無駄がない演出ぶり。CAPTCHAタイプを選べるという謎の遊び心も心憎い
「コメントの判定厳重化」も以前の追記で書いていたもの。まるで記事を監視されているのではないかというレベルのタイミングとユーザーニーズの把握ぶり。かゆいところに手が届くというのはこういうことか。コメントセキュリティ強化に関しては、いったいどれだけ強化されているのかによってまだAkismet等専門家の立場はあるだろうが、急速にWPセキュリティ部門で力をつけているXO Securityが和製Wordfenceになる、いや国産のきめ細やかなクオリティでそれを超える日も近いかもしれない。前回の2FAと同様、唯一レベルの泣きどころを徹底的に埋めてくる。連続神アプデ
XOアプデ公式情報はこちら
〈オススメ設定〉
デフォルトからあえて変えるもの(★各サイトで設定|☆要検討)
★ログイン > 試行回数制限
└ 「12時間の間に」「4回」まで許可※1
ログイン > ログインページの変更
マルチサイトの場合メインサイトのみ
└ 「任意の(忘れない)文字列」を入力※3
★ログイン > ログインIDの種類
└ 「ユーザー名のみ」
★ログイン > ログインエラーメッセージ
└ 「簡略化」
☆ログイン > Two-factor authentication
└ 2要素認証(2FA)機能を希望する場合は「オン」
2FAを求めるユーザーの権限やタスクの種類を別途設定できる
※設定は別途各ユーザーのプロフィール編集画面上でおこなう
★ログイン > CAPTCHA
└ 「ひらがな」日本語話者以外も使うなら「英数字」
☆コメント > CAPTCHA
他プラグインでスパム対策する場合は不要
└ 「英数字」日本語オンリーなら「ひらがな」も可
☆コメント > スパムコメント
他プラグインでスパム対策する場合は不要
└ 「スパムとして保存する」もし一切の余地も残さないのであれば「ブロックする」
★XML-RPC > XML-RPCピンバックの無効化
└ 「XML-RPCピンバックの無効化」のみを「オン」
★REST API > REST API の無効化
└ 「オン」にして以下2つのみを選択
└ /wp/v2/users
└ /wp/v2/users/(?P<id>[\d]+)
★秘匿
└ 以下の項目を「オン」
└ 「投稿者スラッグの編集」※2
└ 「投稿者ベースの編集」
└ 「コメント投稿者クラスの削除」
└ 「oEmbed ユーザー名の削除」
└ 「バージョン情報の削除」
└ 「readme.htmlの削除」
各ユーザープロフィール設定
└ その後「投稿者スラッグ」を個別に設定※2
冒頭の試行回数制限・ブロック時の応答遅延・失敗時の応答遅延など、サーバーによってはこのあたりのセキュリティ面は独自に対応しているケースもあるので、これを機にいちど自分が契約しているサーバーの具合を確認してみるといい
例)mixhost「ログイン失敗時サーバー応答速度低下」
セキュリティとは直接関係ないが、プラグインEdit Author Slugでは「投稿者スラッグ」だけでなく「投稿者ベース」も編集できる。もしEdit Author Slugで「投稿者ベース」も編集する人はXO Securityの「投稿者スラッグの編集」は「オン」にせずEdit Author Slugに任せてもいいだろう
※2024.3アップデートでXO Securityでも「投稿者ベースの編集」ができるようになった。これにより現状は「投稿者スラッグ・ベース両方」をXO Securityに任せEdit Author Slugは使わない方向性がお勧め
「投稿者スラッグ」のみを編集する場合
XO SecurityをオンEdit Author Slugは使用しない
「投稿者ベース」も編集する場合
XO SecurityはオフEdit Author Slugで両方設定
投稿者ベースとは?
https://example.com/author/username/
↑投稿者アーカイブを表示した際のURLの中で「username」となっている箇所が「投稿者スラッグ」そして「author」となっている部分が「投稿者ベース」(カテゴリーやタグの「category」や「tag」のようなもの。デフォルトは「author」)
このように設定したログイン画面が404となってしまいアクセスできない場合がある。検証した結果、これはマルチサイト等でメインサイトを設定した後に他のサイトでログイン設定を弄った際に生じているようだった。シングルサイト運営など込み入ったことをしていなければ問題ないだろうが、もしマルチサイト運営で同様の問題が生じた人は「まずメインサイト以外から設定」をしていき、それが終わったらその後にメインサイトのログイン設定をして保存してみよう。特に「いちどメインサイトのログインページの変更をオフにして保存→再度オンにして任意のURL(同じでもOK)を入力して保存」することで復旧することが多い(XO Securityの設定を変更したり、マルチサイトにおいて新しいサイトをつくりログイン設定をしたりする際は、都度最後の締めにメインサイトのログインページの変更オフ→保存→オン→保存をし直す癖をつけると良い)
※設定編集中はロックアウトされないように注意。ブラウザのシークレットモードなどを利用して、片方をログイン&設定編集用、もう片方を検証用等とするといい。万が一されてしまいログインできなくなったら、FTP等でサーバーに接続してプラグインの名前を少しでも変えてあげることで該当プラグインが強制無効化するのでXO Securityを無効化→ログイン→再度有効化すれば問題ない
XO Securityの設定についてはこちらが詳しい
名言「セキュリティ対策とユーザビリティ(利便性)はトレードオフ」
【準採用】 Akismet Anti-spam
コメント周りのセキュリティが他プラグインで不足な場合【採用】
設定必要:サイトごと(APIキー設定のみでOK)
登録必要:初回のみ
同じAPIキーを複数サイト・サイトネットワークで共通して利用できるので一度登録・取得すればOK
スパムコメント対策(デフォルトインストール済)
デフォルトインストールプラグインなので今後も開発の遅れ等は微塵もないであろうという安心感は地味に有難い
コメント機能を利用しないなら不要
設定 > APIキー
└ APIキー以外の項目はデフォルト設定のままで基本OK(マルチサイトの場合はサイトごとに設定)
【準採用】 Wordfence Security
セキュリティ『ガッツリ路線』の人は迷わず【採用】
設定必要:サイトネットワークで設定(マルチサイト対応)
登録必要:サイトネットワークごと
無料・有料問わず、それぞれのサイトネットワークがそれぞれのライセンス(APIキー)を要する。サイトネットワークごとの設定なので、マルチサイトはまとめてひとつのライセンスで管理可能。ただし、同じメールアドレスで取得できるキーの数に上限はなく、ひとつのメールアドレスでいくつも取得・設定・管理できる(出典)
.htaccessファイル改変あり
WordPressの番人的存在
ファイアウォール・自動マルウェア(ウイルス)スキャン・セキュリティレポート・スパムコメントブロック・IPブロック・ライブトラフィック・エンドポイント保護・ログイン系セキュリティ対策・国別ブロッキング(アクセス禁止)機能[有料:ログインページのみ可]・2段階認証機能[無料]
XML-RPCを無効化しない対策も可能
その筋の専門家によるWPセキュリティまとめ
Wordfenceの導入手順はこちらが詳しい
Wordfenceの細かな設定はこちらが詳しい
Wordfenceのアンインストールの参考
公式によるアンインストールマニュアル
【不採用】 Edit Author Slug
「投稿者ベース」の編集もするのなら「投稿者スラッグ」変更枠で【採用】
設定必要:ユーザーごと
登録不要
投稿者スラッグの秘匿・投稿者ベースの編集
【不採用】 SiteGuard WP Plugin
機能が「XO Security」と被っておりどちらかひとつでいい
設定必要:サイトごと(マルチサイト不対応)
登録不要
.htaccessファイル改変あり
ログイン系セキュリティ対策
WordPressセキュリティプラグイン使い分け
WordPressのセキュリティ対策を考えていくと、いくつもの情報に、いくつものプラグイン、それに様々な「機能」「必要性」「重要度」「手間」「容量」「環境」等々が複雑にからまり、混乱してしまうでしょう。最善解がひとつあり、ワンクリックで済めば良いのですが、個人やケースによりニーズも異なれば求める最善解も微妙に異なってくるので、開発側もかなり努力してくれているのですが、なかなかそうシンプルにいかないのが現状のようです。ここでは様々な情報を総合して、あなたの状況にあわせて2通りの「WPセキュリティ解」を示したいと思います。
セキュリティ系プラグイン比較
- Wordfence(WF)
- XO Security(XO)
- SiteGuard WP(SG)
- Edit Author Slug(EA)
- BBQ Firewall(BB)
まずは上記5つのプラグインを要点を絞って比較してみます。以下の比較表をご覧ください。
| 機能 | WF | XO | SG | EA | BB |
| ファイアウォール | O | X | X | X | O |
| ログインURL変更 | X | O | O | X | X |
| 投稿者スラッグ変更 | X | O | X | O | X |
| 投稿者ベース変更 | X | O | X | O | X |
| 2段階認証機能 | O | O | X | X | X |
| .htaccess改変 | O | X | O | X | X |
| マルチサイト対応 | O | O | X | O | O |
執筆時の最新情報をもとにしています。「.htaccess改変」は一般的にはない方が好ましいでしょうから「X」の方が優勢ということになります。「マルチサイト対応」は必ずしもマルチサイトネットワークで一括管理できるという意味ではなく、サイト個別設定でマルチサイトでも特段支障はないというものも「O」に含まれています。
WPセキュリティ解1:『ガッツリ路線』
Wordfence
BBQ Firewall
XO Security
Akismet
手間を惜しまず全力でセキュリティ対策したい人向けのプランです。Wordfenceにほぼ一任する方向性ですが、BBQ FirewallはWordfenceと競合せずセキュリティを更に強化できる上に手間が掛からないので採用します。
問題はWordfenceですが、Wordfenceの問題点はよく言われるその「(動作の)重さ」よりも、あまりに設定が細かく手間が掛かる(気がする)ことで生じる利用者側の「(気の)重さ」でしょう。
動作が重くページ表示速度やサイト高速化を妨げるという懸念がありますが、一方でそれはスキャン程度のごく一部の時間で体感しないレベルだという情報もあります。
それよりもむしろ、Wordfenceなしでも普通に運営されている立派なサイトがあるなかで、自分のサイトに果たしてWordfenceは本当に必要なのか、もし無くてもなにも支障がない未来なら、多少懸念があっても惜しみたいレベルの手間だ、と考える人が多そうです。サイトひとつならまだしも、複数を運営している人は余計にそうでしょう。
例えば非常に強力な「2段階認証」ですが、これを導入するにはお手持ちの携帯等に別途アプリをインストールして設定する必要があります。毎回のログインで2段階認証をしなければならないのも、手間に違いありません。ハッカーだけでなく、自分の手も遠のいてしまうかも。
ちなみに、上記2つのプラグインにXO Securityを加える人もいるかもしれません。XO Securityは主にログイン関係のセキュリティ対策で、Wordfence(特に2段階認証)が十分強力であるため割愛していますが、XO Securityは後述の通り必須レベルのプラグインをいくつも節約できるほど多機能で、そのなかに特段使いたい機能があるという人は追加するのも有りでしょう。
また後述の追記の通り、それはXO Securityに限らず、各プラグインが特化した機能の追加に関しては各個のニーズによるところも大きく、一概にはいえません。例えばコメント周りのセキュリティはWordfenceやXO Securityでもありますが、サイトの状況によっては専門家であるAkismetを追加するのもありです。
各機能にフォーカスしたオススメプラグインや兼ね合いを早見表にまとめましたので参考にしながら、自分の状況や需要と照らし合わせて別途どのプラグインを加えるのがいいか検討してみてください。
WPセキュリティ解2:『サックリ路線』
BBQ Firewall
XO Security
これもよく紹介される組み合わせで、セキュリティ面を放置はしたくないけど、そこまで手間もかけたくない、とりあえず様子をみたいというライト層や個人で複数サイトを運営している方などが対象です。
ファイアウォール関係を手間いらず高性能なBBQ Firewallに一任して、ログイン関係をXO Securityでかためます。XO Securityは2段階認証とまではいきませんが、CAPTCHA(画像認証)を実装できます。ログインの度に2段階認証は面倒だけど、画像認証なら構わない、という人は案外多いのではないでしょうか。
※アップデートでXO Securityでも2FAが実装されました
個人的にセキュリティ系プラグインのMVPはXO Securityです。もちろん2段階認証機能も無料となり圧倒的な総合力を誇るWordfenceや、軽い・手軽・競合なしと三拍子揃ったBBQ Firewallも素晴らしいですが、国産のXO Securityの頑張りは有難いです。
『XO Security』の有難さ1:国産クオリティ
CAPTCHA(画像認証)機能自体は珍しいものではありませんが、国産であるXO Securityには「ひらがな」があり、海外AIボットに対する防御力は大幅UPです。
『XO Security』の有難さ2:プラグイン節約
XO Securityを導入することで、必須レベルのプラグインを以下少なくとも3つも削減できます。プラグインは便利ですが、少しでもサイトを軽く高速にするためにも、多いよりも少ない、よりシンプルに越したことはありません。
- SiteGuard WP
- SiteGuardも国産であり「ログインURLの変更」等ができるが「.htaccessの改変」があり「マルチサイト不対応」など相対的に見劣りしてしまう
- Edit Author Slug
- 「投稿者スラッグ変更」はセキュリティ目的以外でも重宝している人が多そうな機能でありついでにできてしまうのは有難いが、一点XO Securityでは「投稿者ベース変更」はできないので多少差別化
※アップデートでXO Securityでも投稿者ベース編集が可能に
- 「投稿者スラッグ変更」はセキュリティ目的以外でも重宝している人が多そうな機能でありついでにできてしまうのは有難いが、一点XO Securityでは「投稿者ベース変更」はできないので多少差別化
- Akismet Anti-spam
- コメントまわりのセキュリティ強化もできてしまうとなると、よく言われている通り場合によってはデフォルトインストールのAkismetまで要らなくなってしまうかもしれないが、後述の通り強度では専門特化型のAkismetの方が上でありここも差別化
※アップデートでXO Securityのコメント周りが強化
- コメントまわりのセキュリティ強化もできてしまうとなると、よく言われている通り場合によってはデフォルトインストールのAkismetまで要らなくなってしまうかもしれないが、後述の通り強度では専門特化型のAkismetの方が上でありここも差別化
ただでさえ難しいセキュリティ系の問題に、各プラグインの機能重複・競合も重なり、そのなかで「盛り盛りのセキュリティ強化」と矛盾しがちな「サイトの軽量化・高速化」を同時に意識していくということで、正直真剣になればなるほどかなり頭を悩ませるところだと思いますが、そんなあなたにこの記事が少しでも参考になれば幸いです。
(追記) XO Security が破られた!?
XO Securityのアンチスパムコメントは万全ではない。非常に優秀なプラグインであることに変わりないが、スパマーも日々進化しておりまさにイタチごっこが続く世界においては、特化型でないプラグインは明らかに分が悪い。XO Securityの専門はどちらかというと不正ログイン対策であり、アンチスパムのスペシャリストが居るとすれば、その点においてはまだまだジェネラリストの域。
今回突破されたのは「CAPTCHA:英数字」でした。十分予測され得たことですが、これだけでは海外スパムに対しては特段効果的ではないようです。AI技術の発展を考えると腑に落ちます。とするとむしろ今後は、こうしたアンチスパムもAIを駆使した技術で対峙していかなければならない時代なのでしょう。
現状XO Securityのアンチスパムに期待しすぎるのは酷です。「スパム保護フィルター:日本語文字を含まない」も破られたという情報があり「スパム保護フィルター:スパムとして保存されているコメントのメールアドレス」や「ボット保護チェックボックス」も専用の機能と比べると心許ないです。「CAPTCHA:ひらがな」はまだ効果が期待できそうですが、本気を出されたらそれも時間の問題です。日本語以外のコメントも受け付けたい場合などは、既に他の強化策の検討は避けられません。
※その後の2024.3アップデートでXO Securityのコメント周りのセキュリティが強化された。どの程度の強化なのかはわからないが、実際に使っていってみながら問題ないようであればXO Security一本、問題あるようであればAkismet等専門プラグインの導入を検討してくと良い
プラグイン数の節約は前述しましたが、今回の通り健全なサイト運営には「餅は餅屋」という意識も忘れてはならないようです。それを前提にした上で可能な限り節約していきつつ時には割り切るバランス感覚が問われます。そのためにもまずは以下各プラグインの専門領域(餅屋)早見表をつくりました。ニーズと照らし合わせご覧ください。
| 機能 | プラグイン |
| セキュリティ全般 | Wordfence 鉄壁を目指す人には推奨 |
| ファイアウォール | BBQ Firewall Wordfenceと併用可・更に強化 |
| ログインURL変更 | XO Security 多機能・マルチサイト対応 |
| 投稿者スラッグ変更 | XO Security |
| 投稿者ベース変更 | XO Security アプデでXOでも編集可能に |
| 2段階認証機能 | Wordfence・XO Security 別途スマホ等でアプリが必要 |
| アンチコメントスパム | Akismet XO Security等で不十分な場合 |
バックアップ系
【採用】 BackWPup
設定必要:サイトネットワークで設定(マルチサイト対応)
登録不要
ワンクリックもしくは自動でサーバー上のデータ「ファイル」と「データベース」をバックアップ
すべてを一気にバックアップすることもできるが「ファイル」と「データベース」は重さ(容量)や緊急度の違いからバックアップ推奨頻度が異なるためここでは「ジョブ」を分けて設定する
《自動バックアップオススメ設定》
ファイル:毎週(アクセスが少ない深夜に)
データベース:毎日(アクセスが少ない深夜に)
〈オススメ設定〉
下記以外はデフォルトのまま
一般 > ジョブ名
└ ファイル:「FILE」
└ データベース:「DB」
一般 > ジョブタスク
└ ファイル:「ファイルのバックアップ」をオン
└ データベース:「データベースのバックアップ」と「インストール済みプラグイン一覧」をオン
一般 > アーカイブ形式
└ ファイル・データベース:「Zip」
一般 > ジョブの宛先
└ ファイル・データベース:「フォルダーへバックアップ」
一般 > ログファイル(メールの送信元)
└ ファイル・データベース:「サイトネットワーク名」等を盛り込むとわかりやすい
スケジュール > ジョブの開始方法
└ ファイル・データベース:「WordPressのcron」
スケジュール > スケジューラー
└ ファイル:「毎週」をチェック
自動的に毎週日曜日の午前3時(アクセスの少ない深夜帯)に実行されるようになる
└ データベース:「毎日」をチェック
自動的に毎日午前3時(アクセスの少ない深夜帯)に実行されるようになる
宛先:フォルダー > バックアップを格納するフォルダー
└ ファイル:末尾に「file」と加える
└ データベース:末尾に「db」と加える
宛先:フォルダー > ファイルを削除
└ ファイル:「3」(毎週×直近3週間分)
└ データベース:「15」(毎日×約半月分)
DBバックアップ > バックアップファイルの圧縮
└ 「GZip」をチェック(データベースのみ)
プラグイン > プラグイン一覧のファイル名
└ 「サイトネットワーク名」等を盛り込むとわかりやすい(もともと軽いテキストファイルなのでファイルの圧縮はしなくていい)
設定に関して詳しくはこちらを参照
BackWPupの詳しい解説はこちら
SEO系
【不採用】 All in One SEO
Cocoon利用の場合は不要(参考)
多機能で著名なSEO対策プラグインであり情報も多いですが、Cocoonのような既にSEO対策が意識されているテーマの場合、必ずしも無理して実装することはありません。
以下の記事の通りセットアップを済ませたなら、まずはとにかく大切に記事を書いていきサイトを動かしていきましょう。その過程ではじめて、本当に必要なら必要、もしくは要らなかったと気付くはずです。それからでも遅くはありません。もうあなたはスタートラインには立っているのですから。
SEOは一朝一夕で成るものではありません。確かにプラグインは便利で効率化をはかれますが(たとえ仮にプラグインに頼らずとも)真摯に向き合い続けて価値のある記事やサイトをひとつひとつ生み出していれば、必ず次第に評価され十分なSEO的効果を得られるでしょう。誰かが必要としているような、誰かに紹介したくなるような、そんな価値ある情報・記事を提供し続けることこそが、最強のSEO対策です。
プラグインは便利な分まさに諸刃の剣。慎重に使いたいですね
コメント