ワードプレス(WordPress)のセキュリティ対策プラグイン MalCare WordPress Security Pluginの設定方法と使い方を解説します。
- MalCare WordPress Security Pluginの使い方と詳細な設定方法がわかります
MalCare WordPress Security Pluginで実現できること
MalCare WordPress Security PluginはWordpress向けのクラウドベースのマルウェアスキャンと駆除、ファイアウォールを提供しています。
なかでも、マルウェアスキャンに注力してるのが特長です。
無料版と有料版があり、無料版ではマルウェアのスキャンはできますが、駆除は有料版にアップグレードしないと使えません。
MalCare WordPress Security Pluginの主な機能
MalCare WordPress Security Pluginの無料で使える主な機能は次の通りです。
- マルウェアスキャン:毎日Webサイトをスキャン
- ファイアウォール機能:SQLインジェクションやXSS攻撃をブロック
- ログインページ保護:ログイン試行回数制限
MalCare WordPress Security Plugin Pro(有料版)で使える機能
MalCare WordPress Security Pluginの有料版の主な機能です。
- マルウェア駆除:マルウェアの場所をリストし、ワンクリックで削除
- 2段階認証(2要素認証):WordPressログイン画面にワンタイムパスワード入力機能を実装
- BOT保護:不正なトラフィックを削減し、サーバーのリソースを節約
- アクティビティログ:操作や行動を記録
有料版の各機能の詳細と料金は下記の公式サイトを参考にしてください↓
MalCare Premium
MalCare WordPress Security Pluginのインストール方法
MalCare WordPress Security PluginをWordPressにインストールする方法を解説します。
- WordPressのダッシュボード(管理者画面)の「プラグイン」をクリックします
- 「新規プラグインを追加」をクリックします
- 検索ボックスに”MalCare WordPress Security Plugin”と入力すると下に検索結果が表示されます
- ”MalCare WordPress Security Plugin”の「今すぐインストール」ボタンをクリックします
↑MalCare WordPress Security Pluginのインストールが完了すると有効化ボタンが表示されるのでクリックします。
↑これでMalCare WordPress Security Pluginのインストールと有効化は完了です。
メールアドレス登録とサイトの同期
↑プラグインを有効化すると、メールアドレス登録画面が表示されます。
メールアドレスを入力し、プライバシーポリシーの同意にチェックマークを入れ、submitボタンを押します。
登録したメールアドレス宛てに”メールアドレス確認メール”が届きます。
メール内の”Verify your email address”ボタンを押します。
↑Webサイト(ブログ)とMalCareサーバーとの同期が始まります。
サイトのスキャンが終わると、サイト状況が表示されます。
MalCare WordPress Security Pluginのサイト状況モニタリング画面
プラグインを有効化するとダッシュボード(管理画面)の中に「MalCare」が表示されます↓
MalCare WordPress Security Pluginプラグインのサイト状況モニタリング画面はダッシュボード(管理画面)の中の「MalCare」をクリックします。
MalCare WordPress Security Pluginはクラウドベースなので、WordPress側に設定画面はありません。MalCareサーバーへの外部リンクと、セキュリティ状況のモニター画面が表示されるだけです。
↑サイト状況モニタリング画面内のView Details等のリンクをクリックするとMalCareサーバー(外部サイト)の画面に遷移します。
MalCareサーバー側のダッシュボード画面
↑ダッシュボード画面ではアカウント(メールアドレスに紐づいている)の状況を確認できます。主に下記の操作ができます。
- サイトを追加
- クライアント新規追加(サイト状況閲覧ユーザー)
- チーム新規追加
- WordPress本体、プラグイン、テーマの自動更新スケジュール作成
MalCareサーバー側のサイト概要画面
↑アカウントに登録されている各Webサイト(ブログ)の概要と状況を確認できます。
サイト概要画面の項目
設定項目 | 説明 | 無料 |
---|---|---|
パフォーマンス(試用版) | ホームページ、CSS、Javascript、画像、フォントの最適化を実施。パフォーマンスレポートも表示できます | 〇 |
メモ | メモ機能 | 〇 |
バックアップ | 有料版のみの機能です | × |
セキュリティとファイアウォール | ファイアウォールの各機能のON/OFFや設定変更はできません。 ボット保護と2要素認証は有料版のみの機能です | △ |
更新状態 | プラグイン、テーマ、ワードプレス本体の更新状態モニタリング | 〇 |
アクティビティログ | 有料版のみの機能です | × |
報告 | サイトのセキュリティ状況をPDFファイルでダウンロードできます。 クライアントへの申し送り事項を作成できます | 〇 |
高度な監視(試用版) | SSL証明書のモニタリング、ドメイン監視、視覚監視、ページコンテンツ監視、PHPエラー監視 | 〇 |
Googleアナリティクス | Googleアナリティクスと接続可能 | 〇 |
フォームテスト(試用版) | Contact Form 7などの問い合わせフォームが問題なく利用できるかのテストを実施 | 〇 |
パフォーマンス(試用版)の最適化設定の個別機能毎のON/OFFとログイン保護のPHP実行などのセキュリティ機能設定は可能ですが、それ以外のファイアウォールやログイン保護の個別機能毎のON/OFFはできません。状況をモニタリングできるのみです。
パフォーマンス(試用版)の最適化設定
↑パフォーマンス(試用版)の最適化設定画面では、キャッシュ、Javascript、CSS、画像、フォントの最適化設定が可能です。
↑最適化の適用前と適用後のサイトのパフォーマンスが確認できます。
ログイン保護のセキュリティ強化設定
↑セキュリティ強化設定画面からはPHP実行ブロックやエディター無効、パスワードリセット等の機能が利用できます。
MalCare サイトのセキュリティ状況モニター画面
↑サイトの各セキュリティ状況をモニタリングできます。
実際にMalCare WordPress Security Pluginを使った感想とメリットデメリット
実際にMalCare WordPress Security Pluginを使ってみた感じたメリットとデメリットです。
MalCare WordPress Security Pluginのメリット
- 外部サーバ(クラウド)なので動作が軽い
- 設定が不要
- マルウェア検知が有益
MalCareの外部サーバーでセキュリティ機能が稼働するので、WordPress側のサーバーリソースを使用しません。
基本的な設定が不要なので、Webセキュリティの知識が無くても利用できます。
マルウェアを検知する機能に注力されています。
万が一、マルウェアに感染した場合は有料版にアップグレードすることでワンクリックで削除できるので被害拡大を防ぐことができます。
MalCare WordPress Security Pluginのデメリット
- モニタリングなどの画面がすべて英語
- 手動で日本時間に合わせる必要がある
- 無料版では2要素認証とボット保護が利用できない
全画面が英語表記で、サーバー時間がUTCになっているので、日本時間に設定する必要があります。
2要素認証と有害ボットからのアクセスをブロックする機能は有料版のみの機能です。
なので、有料版でないと、片手落ちのセキュリティ対策になってしまう点が大きなデメリットになります。
まとめ
MalCare WordPress Security Pluginはクラウドベースなので外部サーバーでセキュリティ機能が稼働することが特長です。
WordPress側の当プラグインはMalCare側のサーバーと接続するために利用されます。
パフォーマンス最適化機能を有効化すると自動的にWordPress側のサーバーにAirLiftがインストールされ有効化されます。
ちなみにパフォーマンス最適化を有効化しても実際のパフォーマンスに変化はありませんでした。
MalCareサーバ(クラウド)に接続して同期が完了すると必須のセキュリティ機能はすべて自動的に有効化されるので、基本的な設定は一切不要です。
なので、初心者には適していますが、2要素認証と有害ボットのブロックは有料版のみの機能なので、無料版では利用し難いです。
マルウェア検知機能が優れているのが最大の特長です。
Webサイト(ブログ)がマルウェアに感染した場合はメール通知が届くので、その時になってから有料版にアップグレードする運用では本末転倒なので、初めから有料版を使うか、他のセキュリティ対策プラグインを使うかの2択です。
個人ブログや小規模サイトの場合は他のセキュリティ対策プラグインを使うほうがよさそうです。