先日、LIG社のメディアにWordPressのセキュリティプラグインに関しての記事を寄稿いたしました。

WordPressの5つの主要セキュリティプラグインを詳細に比較してみた

ご好評をいただいたので、こちらでも紹介したいと思います。

なお、記事は少々長いので、分割して５つの記事とさせていただきます。

なお、検証に使ったバージョンは以下のとおりです。

WordPress本体バージョン　3.9.1

検証に利用したセキュリティplugin（※すべて無料利用できる範囲の機能に限定、有料機能による検証は未検証）
iThemes Security (formerly Better WP Security)　ver.4.2.15

1. iThemes Securityについて

基本はダッシュボードからそれぞれのSecurity Status配下のFix itボタンを押して、対策したい項目にチェックを入れるだけの便利なプラグインです。

iThemes Securityの長所

DashBoard->Security Status->High Priority（高危険度脆弱性対策）の設定のみで一旦の設定は事足りるイメージではあります。

File Change Detection（ファイル改ざん検知）機能は、WordPressの脆弱性を突いた攻撃の中でも多いファイル改ざんを検知し、通知してくれる機能です。これは設定しておいて損はないと思いますので必ずチェックを入れて設定しておきましょう、また、Files and Folders Listは検知除外ディレクトリやファイルを設定できますが、下記のような、

• wp-includes/
• .htaccess
• wp-config.php
• wp-admin/
• wp-admin/index.php
• wp-admin/js/
• wp-content/
• wp-content/themes/
• wp-content/plugins/

ファイルとディレクトリだけは除外せずに検知対象に加えておきましょう。

iThemes Securityの短所

個別のSQLインジェクションやXSSなどに対する検知機能はiThemes Securityで検知は可能ですが、攻撃対策を細かく設定できないため、物足りません。

全体として、設定による不備を補う機能が多いため、アプリケーション側の設定はミドルウェアの設定を実施して対策する必要があります。

iThemes Securityはこんな方におすすめ

iThemes Securityはサーバ設定やミドルウェアについての設定が苦手な人向けのセキュリティプラグインではありません。ダッシュボードに一覧で対策可能な項目や現状態が表示されることは秀逸ではありますが、アプリケーションに対する攻撃が多いWordPressにおいては機能不足を感じます。

ということで、以下のような方におすすめです。

• セキュリティプラグインを選定中のついで利用の方
• レンタルサーバのデフォルト設定でWordPressを利用している方
• 多人数でwp-login.phpへログインする方