WordPressサイトを運用している事業者から「セキュリティプラグインは入れたほうがいいと聞くが、どれを選べばいいか分からない」「ハッキングや改ざんのニュースは聞くが自社サイトでは何をすればいいのか不安」「無料版で十分なのか、有料版に上げるべきか判断材料がない」といった声をよく耳にする。WordPressは世界のCMSシェア60%以上を占める最大のターゲットであり、IPA(情報処理推進機構)の発表でもCMSの脆弱性を突いた改ざん事例が継続的に報告されている(出典 IPA Webサイトのセキュリティ対策)。
本記事では、運用保守の現場視点で評価した代表的なWordPressセキュリティプラグインを10種類選び、無料/有料の機能差・WAF(Webアプリケーションファイアウォール)の有無・マルウェアスキャン・ログイン保護・国産/海外といった実務的な比較軸でまとめた。WordPressサイトを長期運用する事業者・運用担当者の選定材料として活用していただきたい。
WordPressセキュリティプラグインで重視すべきチェックポイント
セキュリティプラグインは「とりあえず入れる」では役に立たない。運用フェーズで以下の項目が機能してこそ、実際の改ざん・乗っ取り対策になる。
- WAF(Webアプリケーションファイアウォール)の有無と更新頻度
- マルウェアスキャンの自動実行・通知機能
- ログイン保護(IPブロック・2要素認証・ログイン試行回数制限)
- ログイン画面URLの変更(標準の/wp-login.phpを隠蔽)
- ファイル変更検知(WordPress本体・テーマ・プラグインの改ざん検知)
- 無料版での実用性(有料アップグレードしないと使い物にならないか)
- 日本語サポート・国産WAFの有無
- プラグイン同士の競合の少なさ(他プラグインとの相性)
特にWAFとマルウェアスキャンは「事後対応」ではなく「事前防御」として機能する核心機能。WordPress本体やプラグインの脆弱性が公表される前に未知の攻撃を遮断できるかどうかが、事業継続性を左右する。
WordPressセキュリティプラグインおすすめ10選
Wordfence Security
参照元 https://www.wordfence.com/
- 世界500万サイト以上で稼働、WordPress特化型セキュリティの代表格
- WAF・マルウェアスキャン・ログイン保護を無料版で全網羅
- Wordfence Threat Intelligence(脅威情報)が日々更新され最新の攻撃に対応
WordfenceはDefiant Inc.が提供するWordPress特化型のセキュリティプラグインで、世界500万サイト以上で稼働する業界の標準解。WAF(Webアプリケーションファイアウォール)・マルウェアスキャン・ログイン保護・国別ブロックなど、エンタープライズ級の機能を無料版で利用できる。
Wordfence Threat Intelligenceチームが日々最新の脆弱性情報を収集し、WAFルールに反映するため、未公開の脆弱性(ゼロデイ攻撃)にも対応しやすい設計(運用保守の現場では「まず入れるならWordfence」という標準ポジションで、無料版でも十分な防御力を持つ)。
料金体系
| プラン | 年額 | 主な内容 |
|---|---|---|
| Free版 | 無料 | WAF・マルウェアスキャン・ログイン保護 |
| Premium | $119〜 | リアルタイム脅威情報・国別ブロック・優先サポート |
| Care/Response | $490〜/$950〜 | 専門家対応・インシデント対応 |
WordPress.org公式ディレクトリから入手可能。
- プラグイン名
- Wordfence Security
- 提供元
- Defiant Inc.
- WAF
- 無料版で標準装備
- マルウェアスキャン
- 無料版で対応
- 無料版
- あり(実用十分)
Sucuri Security
- GoDaddy傘下のセキュリティ専門ベンダーが提供、CDN型WAFが特徴
- 無料版でファイル整合性監視・セキュリティ監査ログ・ハック対策
- 有料版はサーバー前段のクラウドWAFでDDoS対策まで含む
SucuriはGoDaddy傘下のセキュリティ専門ベンダーが提供するセキュリティスイートで、無料プラグインでファイル整合性監視・セキュリティ監査ログ・既知のハッキング対策を提供する。最大の特徴は有料プランで提供されるクラウド型WAF(Webサイトサーバーの前段に配置されてトラフィックをフィルタリング)で、DDoS対策・ハック後の復旧サービスまでセットで提供される。
セキュリティリサーチで世界的に名の知れたブランドで、被害発生後のクリーンアップ実績も豊富(マルウェア感染後の復旧まで含めた「事故対応込みのセキュリティ」を求める中堅以上の事業者に向く選択肢)。
料金体系
| プラン | 年額 | 主な内容 |
|---|---|---|
| Free(プラグイン) | 無料 | ファイル整合性監視・監査ログ |
| Basic Platform | $199.99〜 | CDN型WAF・マルウェア駆除 |
| Pro Platform | $299.99〜 | 上記+優先対応・複数サイト |
WordPress.org公式ディレクトリから無料版入手可能。
- プラグイン名
- Sucuri Security
- 提供元
- Sucuri Inc.(GoDaddy傘下)
- WAF
- 有料版でクラウド型WAF
- マルウェアスキャン
- 無料版で外部スキャン
- 無料版
- あり(プラグインのみ)
Solid Security(旧iThemes Security)
参照元 https://solidwp.com/security/
- StellarWPが提供、旧iThemes Securityのリブランド版で長年の実績
- 30以上の対策項目をワンクリック有効化、初心者でも設定しやすい
- 2要素認証・パスフレーズ強制・ログイン試行制限・ファイル変更検知
Solid SecurityはStellarWP社が提供するWordPressセキュリティプラグインで、元々iThemes Securityとして10年以上の歴史を持つ老舗。30以上のセキュリティ対策項目(2要素認証・ログインURL変更・データベースバックアップ・ファイル変更検知など)をワンクリックで有効化できる「Quick Setup」機能が特徴。
同社のSolid BackupsやSolid Centralと統合された運用設計で、エンタープライズ向けに長年使われてきた信頼性が強み(「設定項目が多くて何を有効化すべきか分からない」という運用担当者には、ワンクリックでの基本設定が時短に繋がる)。
料金体系
| プラン | 年額 | 主な内容 |
|---|---|---|
| Basic(無料) | 無料 | 基本セキュリティ機能 |
| Solid Security Pro | $99〜 | 2要素認証・ファイル変更通知・パスワードポリシー |
WordPress.org公式ディレクトリから無料版入手可能。
- プラグイン名
- Solid Security(旧iThemes Security)
- 提供元
- StellarWP
- WAF
- 非搭載(ホスト側WAFと併用推奨)
- マルウェアスキャン
- 有料版でファイル変更検知
- 無料版
- あり
All In One WP Security & Firewall
参照元 https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
- 完全無料で全機能を使える数少ないオールインワン型セキュリティプラグイン
- ファイアウォール・ログイン保護・データベースセキュリティ・ファイルシステム保護を網羅
- セキュリティスコア表示で対策状況を可視化、初心者にも分かりやすいUI
All In One WP Security & FirewallはTipsAndTricks-HQが開発する完全無料のセキュリティプラグインで、ファイアウォール・ログイン保護・データベースセキュリティ・ファイルシステム保護・スパム対策を1プラグインで網羅する。最大の特徴は「無料で全機能利用可能」という点で、有料アドオンに切り替える必要がない。
セキュリティ対策の実装状況をスコア(0〜500点)で可視化し、何が対策済みで何が未対策かを直感的に把握できる(コストをかけずに基本セキュリティを揃えたい個人事業主・小規模サイトには現実的な選択肢で、スコア表示があるので「何を対策すればいいか分からない」初心者にも優しい)。
料金体系
| プラン | 料金 | 主な内容 |
|---|---|---|
| Free版 | 完全無料 | 全機能利用可能・有料版なし |
WordPress.org公式ディレクトリから入手可能。
- プラグイン名
- All In One WP Security & Firewall
- 提供元
- TipsAndTricks-HQ, Peter, Ruhul, Ivy
- WAF
- 基本ファイアウォール機能あり
- マルウェアスキャン
- ファイル変更検知
- 無料版
- あり(全機能無料)
Jetpack Security
参照元 https://jetpack.com/features/security/
- WordPress.com公式(Automattic社)が提供するセキュリティスイート
- リアルタイムバックアップ・マルウェアスキャン・スパム対策(Akismet)統合
- ブルートフォース攻撃対策・ダウンタイム監視・WordPress公式エコシステム
Jetpack SecurityはWordPress.comの開発元であるAutomattic社が提供するセキュリティスイートで、リアルタイムバックアップ(旧VaultPress)・マルウェアスキャン・スパム対策(Akismet)・ブルートフォース攻撃対策を統合している。WordPress公式エコシステムに揃えたい運用担当者には自然な選択。
WordPressの開発元自身による運用という信頼性が他にない強みで、長期運用を前提とするメディアサイトとの相性が良い(Jetpackプラグインの一機能として動作するため、Jetpackの他機能(統計・SEO・CDN)と統合管理できる)。
料金体系
| プラン | 月額 | 主な内容 |
|---|---|---|
| Security | $11.95〜 | バックアップ・マルウェアスキャン・スパム |
| Complete | $59.95〜 | セキュリティ+成長+パフォーマンス全機能 |
有料のみ。Jetpackプラグインに同梱。
- プラグイン名
- Jetpack Security
- 提供元
- Automattic Inc.
- WAF
- ブルートフォース対策
- マルウェアスキャン
- 標準装備
- 無料版
- なし(Jetpack無料機能のみ)
SiteGuard WP Plugin
参照元 https://www.jp-secure.com/siteguard_wp_plugin/
- EGセキュアソリューションズ(日本製)が提供する完全無料の国産プラグイン
- ログイン画面URL変更・画像認証・ログインアラートを日本語UIで提供
- ロリポップ・さくら・ConoHa等の主要レンタルサーバーで標準装備
SiteGuard WP PluginはEGセキュアソリューションズ株式会社が提供する国産の完全無料セキュリティプラグインで、日本のWordPress運用現場で広く使われている定番ツール。ロリポップ・さくらインターネット・ConoHa WINGなど主要な国内レンタルサーバーでは新規WordPressインストール時に標準で組み込まれる。
ログインページURL変更(標準の/wp-login.phpを別URL化)・画像認証・ログインロック・ログインアラート・コメントスパム対策・更新通知を日本語UIで提供(海外製プラグインの英語UIに苦手意識がある運用担当者には、国産・日本語対応・無料という3拍子揃った安心感がある)。
料金体系
| プラン | 料金 | 主な内容 |
|---|---|---|
| Free版 | 完全無料 | 全機能利用可能・国産・日本語UI |
WordPress.org公式ディレクトリから入手可能。
- プラグイン名
- SiteGuard WP Plugin
- 提供元
- EGセキュアソリューションズ株式会社(日本)
- WAF
- 非搭載(同社のSiteGuard Lite別製品)
- マルウェアスキャン
- 非搭載
- 無料版
- あり(全機能無料・国産)
WP Cerber Security
- WP Cerber LLCが提供、ログインフォームへのブルートフォース攻撃対策に強み
- マルウェアスキャナー・ファイル整合性チェック・自動修復機能
- カスタマイズ可能なログインURLとカスタムCAPTCHA、IP制御の細かさが特徴
WP Cerber SecurityはWP Cerber LLCが提供するWordPressセキュリティプラグインで、ログインフォームへのブルートフォース攻撃対策・カスタムCAPTCHA・IP制御に特化した設計。マルウェアスキャナー・ファイル整合性チェック・感染ファイルの自動修復機能まで含む包括的な防御を提供する。
カスタムログインURL設定・国別IPブロック・WordPress REST APIアクセス制限など、WAFほど重くないがログイン保護を厳重にしたいサイトに向く(運用保守の現場では「Wordfenceは重すぎるが、SiteGuardだけでは物足りない」中間ニーズに応える選択肢として位置付けられる)。
料金体系
| プラン | 年額 | 主な内容 |
|---|---|---|
| Free版 | 無料 | ログイン保護・IP制御・基本スキャン |
| Pro | $99〜 | マルウェア自動修復・優先サポート・複数サイト |
WordPress.org公式ディレクトリから無料版入手可能。
- プラグイン名
- WP Cerber Security
- 提供元
- WP Cerber LLC
- WAF
- 軽量ファイアウォール
- マルウェアスキャン
- 無料版で対応
- 無料版
- あり
MalCare
- BlogVault系列、SaaS型でサーバー負荷をかけずにマルウェア検知
- ワンクリックでマルウェア駆除、ハッカー対策のインテリジェントスキャン
- WAF・ボット対策・ログイン保護・国別ブロックを統合提供
MalCareはBlogVault系列(BlogVault Inc.)が提供するSaaS型のセキュリティプラグインで、サーバー負荷をかけずに独自クラウドでマルウェア検知を実行する設計が特徴。ワンクリックでマルウェアを駆除する自動修復機能・WAF・ボット対策・ログイン保護を統合提供する。
従来のセキュリティプラグインの「サイトが重くなる」課題を解消する設計で、表示速度を犠牲にせずセキュリティを強化したいサイトに向く(同系列のBlogVaultバックアップと併用すると、バックアップ+セキュリティの統合運用が可能)。
料金体系
| プラン | 年額 | 主な内容 |
|---|---|---|
| Personal | $99〜 | 1サイト・WAF・自動駆除 |
| Business | $849〜 | 20サイトまで・優先対応 |
有料のみ。無料スキャンプラグインあり。
- プラグイン名
- MalCare
- 提供元
- BlogVault Inc.
- WAF
- 標準装備
- マルウェアスキャン
- SaaS型クラウドスキャン
- 無料版
- 無料スキャンのみ(駆除は有料)
WPS Hide Login
参照元 https://wordpress.org/plugins/wps-hide-login/
- WordPressのログインURL(/wp-login.php)を任意のURLに変更する軽量プラグイン
- 1機能特化で動作が極めて軽量、他のセキュリティプラグインと併用しやすい
- 世界100万サイト以上で稼働、シンプルさで支持を集める
WPS Hide LoginはWPServeur, NicolasKulkaが開発するシングルパーパス型のセキュリティプラグインで、WordPressのログインURL(標準の/wp-login.php)を任意のURL(例:/secret-login)に変更する1機能のみに特化している。世界100万サイト以上で稼働する人気プラグインで、軽量さとシンプルさが評価されている。
多機能プラグインだとサーバー負荷が増えるため、ログインURL変更だけ単機能で実装したい運用担当者に向く(Wordfence・SiteGuard等の多機能プラグインと併用しても競合しにくく、足りない機能だけ追加する「組み合わせ型のセキュリティ」を構築できる)。
料金体系
| プラン | 料金 | 主な内容 |
|---|---|---|
| Free版 | 完全無料 | ログインURL変更のみ |
WordPress.org公式ディレクトリから入手可能。
- プラグイン名
- WPS Hide Login
- 提供元
- WPServeur, NicolasKulka, tabrisrp
- WAF
- 非搭載
- マルウェアスキャン
- 非搭載
- 無料版
- あり(全機能無料)
Limit Login Attempts Reloaded
参照元 https://www.limitloginattempts.com/
- ログイン試行回数の制限に特化、ブルートフォース攻撃対策の決定版
- 世界200万サイト以上で稼働、IP単位・ユーザー名単位のブロック設定
- 無料版でも実用十分、reCAPTCHA連携・ブラックリスト共有機能
Limit Login Attempts ReloadedはLimit Login Attempts Reloaded TeamがWordPressのデフォルト挙動(ログイン試行回数無制限)の脆弱性を補完するために開発したプラグインで、世界200万サイト以上で稼働する。指定回数のログイン失敗でIPアドレスを一時的にブロックし、ブルートフォース攻撃を遮断する。
無料版で実用十分な機能を持ち、reCAPTCHA連携・コミュニティ共有のブラックリスト・カスタムロックアウトメッセージなどを備える(WPS Hide Loginと組み合わせると「ログインURLを隠す+ログイン試行を制限する」二重の防御が無料で構築できる)。
料金体系
| プラン | 月額 | 主な内容 |
|---|---|---|
| Free版 | 無料 | ログイン試行回数制限・IPブロック |
| Premium | $3.5〜/月 | クラウドアプリ・優先サポート・大規模サイト |
WordPress.org公式ディレクトリから無料版入手可能。
- プラグイン名
- Limit Login Attempts Reloaded
- 提供元
- Limit Login Attempts Reloaded Team
- WAF
- 非搭載
- マルウェアスキャン
- 非搭載
- 無料版
- あり(実用十分)
WordPressセキュリティプラグインの選び方
10種類のプラグインを横並びで見ると、用途別に4つのグループに分類できる。自社のサイト規模・運用体制・予算と合わせて選ぶ材料となる。
| 用途 | 推奨プラグイン | 選定理由 |
|---|---|---|
| 無料で総合セキュリティ | Wordfence/All In One WP Security | WAF・スキャン・ログイン保護を無料網羅 |
| 国産・日本語UI重視 | SiteGuard WP Plugin | 国産・無料・日本語対応・主要サーバー標準装備 |
| エンタープライズ・SaaS型 | Sucuri/MalCare/Jetpack Security | クラウドWAF・自動駆除・公式運用 |
| 軽量・単機能組み合わせ | WPS Hide Login+Limit Login Attempts | 負荷を抑えて必要機能だけ追加 |
運用保守の現場で最も多いのは「Wordfence Free+SiteGuard WP Plugin」の組み合わせで、海外製の高機能WAFと国産の日本語UIを併用するパターン。月額予算に余裕があり、ECサイトやメディアサイトなど停止コストが大きいサイトでは、Sucuri PlatformやMalCareのような有料SaaS型に切り替えるのが運用上の安心感を高めるパターンとなる。
WordPressセキュリティプラグイン運用の注意点
セキュリティプラグインを「複数同時に」入れすぎない
WordfenceとSucuriとSolid Securityを全部入れる、といった重ねがけは推奨されない。各プラグインのファイアウォール処理が競合してエラーになる、表示速度が大幅に低下する、ログイン処理が機能しなくなるといった事故が起こりやすい。「総合型を1つ+単機能補完型を1〜2つ」が運用上の標準パターンとなる。
WordPress本体・テーマ・プラグインの更新を怠らない
セキュリティプラグインを入れても、WordPress本体やプラグインの更新を放置していたら本末転倒となる。WordPressサイトへの攻撃の大半は「公開済み脆弱性が放置されたサイト」を狙うものであり、IPAも更新の重要性を継続的に発信している。セキュリティプラグインは「すり抜けた攻撃の最後の防衛線」と位置付け、根本的な対策はアップデートの徹底にある。
ログインIDに「admin」を使わない
初期セットアップ時にログインIDを「admin」のまま運用しているサイトは、ブルートフォース攻撃の標的として狙われやすい。Limit Login Attemptsで試行回数を制限しても、「admin」というIDが既知である以上、攻撃の試行回数が減ることは期待できない。新規構築時に推測されにくいユーザー名を設定し、既存サイトでは別のユーザーを作って権限移譲した上で「admin」を削除する運用を推奨する。
最後に
WordPressセキュリティプラグインは「とりあえず入れる」ではなく、自社のサイト規模・運用体制・予算に合わせて選定し、複数を組み合わせて運用設計してこそ、本来の防御力を発揮する。本記事で紹介した10プラグインはそれぞれ異なる強みを持つため、迷ったら無料の「Wordfence Free+SiteGuard WP Plugin」を導入し、月額予算とエンタープライズ要件が必要になった段階でSucuriやMalCareに移行するのが現実的なステップとなる。
