ワードプレス(WordPress)のセキュリティ対策プラグイン Sucuri Securityの設定方法と使い方を解説します。
- Sucuri Securityの使い方と詳細な設定方法がわかります
Sucuri Securityで実現できること
Sucuri SecurityはWordPressのファイルに変更(改竄)があった場合にメールで通知してくれる機能や、マルウェアスキャンを提供するプラグインです。
SQLインジェクションやブルートフォース攻撃を防ぐウェブアプリケーションファイアウォール機能(WAF)は有料です。
有料版はクラウドベースでCDN機能が付いているため、1年間229ドル~と高価です。
小規模なサイトや個人ブログではオーバースペックです。
Sucuri Security 無料で使える機能
Sucuri Securityの”無料”で利用できる機能は次の通りです。
- WordPressコアファイルの改ざんを監視
- Webサイト(ブログ)のマルウェアと変更点のスキャン
無料版ではファイル変更の監視が主な機能です。
Sucuri Security 有料版の機能
Sucuri Securityの有料版の主な機能です。
- クラウドベースのWAF(ファイアウォール)
- CDN(ページ表示レスポンスが向上)
有料版の各機能の詳細と料金は下記の公式サイトを参考にしてください↓
https://sucuri.net/website-firewall/
Sucuri Securityのインストール方法
Sucuri SecurityをWordPressにインストールする方法を解説します。
- WordPressのダッシュボード(管理者画面)の「プラグイン」をクリックします
- 「新規プラグインを追加」をクリックします
- 検索ボックスに”Sucuri Security”と入力すると下に検索結果が表示されます
- ”Sucuri Security”の「今すぐインストール」ボタンをクリックします
↑Sucuri Securityのインストールが完了すると有効化ボタンが表示されるのでクリックします。
↑プラグインを有効化すると上記メッセージが表示されます。
↑これでSucuri Securityのインストールと有効化は完了です。
Sucuri Securityの設定
プラグインを有効化するとダッシュボード(管理画面)の中に「Sucuri Security」が表示されます↓
Sucuri Securityプラグインの設定画面はダッシュボード(管理画面)の「Sucuri Security」をクリックします。
Sucuri Securityの設定項目
Sucuri Securityには下記4項目があります。
- Dashboard (ダッシュボード)
- Firewall (WAF ※有料)
- Last Logins (ログイン履歴)
- Settings (設定)
画面は全て英語です。
Dashboard (ダッシュボード)
↑ダッシュボード画面には、WordPressで提供されるコアファイルと一致しないファイルが表示されます。
監査ログにはWebサイト(ブログ)の変更点、画像の追加等の全てのアクションが表示されます。
Firewall (WAF ※有料)
↑ファイアウォール(WAF)機能は無料で利用はできません。
有料のAPIキーを入力する画面が表示されるだけです。
タブ名 | 説明 | 無料 |
---|---|---|
Settings (設定) | APIキー(有料)を入力するとクラウドベースのWAFを利用できる | × |
Audit Logs (監査ログ) | 攻撃のログを記録 | × |
IP Access (IP アクセス) | 指定したIPアドレスをブロック | 〇 |
Clear Cache (キャッシュをクリア) | Webキャッシュをクリア | × |
Last Logins (ログイン履歴)
↑Last Logins(ログイン履歴)はすべて無料で利用できます。
タブ名 | 説明 | 無料 |
---|---|---|
All Users (すべてのユーザー) | 全ユーザーのログインリスト | 〇 |
Admins (管理者) | 管理者権限を持つユーザーのログインリスト | 〇 |
Logged-insers (ログインユーザー) | 現在ログインしているユーザー | 〇 |
Failed Logins (ログイン失敗) | ブルートフォース攻撃(パスワードアタック)のログ | 〇 |
Settings (設定)
タブ名 | 各機能と説明 | 無料 |
---|---|---|
General Setting | ・Sucuri Securityプラグインが利用しているディレクトリとファイル一覧 ・ログ分析ソフトウェアにログをエクスポート ・リバースプロキシのON/OFF ・IPアドレス検出機能のON/OFF ・HTTPヘッダーを選択 ・タイムゾーン変更 ・Sucuri Securityプラグイン設定のエクスポート/インポート ・設定のリセット | 〇 |
Scanner | ・Web サイト全体スキャンの項目毎のスケジュール変更/即実行 ・差分ユーティリティのON/OFF ・整合性チェックの無視をファイル毎に指定 ・スキャンしないファイルをまたはディレクトリを指定 | 〇 |
Hardening | ・強化オプションのON/OFF ・ブロックされたPHPファイルへのアクセスを許可 | △ |
Post-Hack | ハッキングされた後の施策(秘密鍵更新、パスワードリセット、プラグイン再インストール) | 〇 |
Alerts | ・各種アラートの受信用メールアドレスの設定 ・信頼できるIPアドレスからのアクションのアラート通知を停止 ・アラート通知の件名を変更 ・1時間あたりのアラート通知数の上限を変更 ・アクションごとのアラート通知をのON/OFF | 〇 |
Headers | キャッシュコントロールヘッダーのオプション | × |
API Service Communication | APIサービスの監視 | × |
Website info | Webサーバーの種類、PHPバージョン、.htaccessを表示 | 〇 |
実際にSucuri Securityを使った感想とメリットデメリット
実際にSucuri Securityを使ってみた感じたメリットとデメリットです。
Sucuri Securityのメリット
- WordPressファイルの変更(改竄)を監視できる
- アラート通知のトリガーアクションをカスタマイズできる
初期設定だと、WordPressの記事内容が変更(改竄)されたり、プラグインの更新や有効化時にメールアドレス宛にアラート通知が届きます。
それが煩雑と感じる場合は不要なトリガー通知を無効にできます。
無料版使える機能がファイル改ざんに特化しており、不正アクセスを防ぐには心細いので、他のセキュリティ対策プラグインと併用することでより安心できます。
Sucuri Securityのデメリット
- デフォルトではタイムスタンプが世界標準時になっている
- 監査などの企業向けの機能が多く、小規模なWebサイトや個人ブログには不向き
- デフォルトだと変更通知(アラートメール)が大量に届くので通知のOFFは必須
- 無料で使う場合は各アクションの監視証跡(ログ)を確認できることが主な機能
- 設定画面内やマニュアルが全て英語
画面表示のタイムスタンプが世界標準時になっているので、日本で使う場合は設定画面で⁺9時間にタイムゾーンを変更する必要があります。
Webサイトで何らかの変更があればアラートメールが届くので、1人で管理している小規模サイトや個人サイトには不向きです。
デフォルトだと記事作成時などは頻繁にアラートメールが届くので、不要なトリガーアクションを個別にOFFにする必要があります。
パスワードアタックでブロックされるトリガー条件が1時間にログイン失敗数が30回以上~と、30回未満等に厳しく制限できません。
しかも、”ブロックされたIPアドレスのリストが確認できない”ので、当プラグインの効果を実感し難いです。※アラートメールは届きます。
Webセキュリティの専門用語などが多く、全体的に敷居がやや高めです。
まとめ
Sucuri Securityの無料で利用できる機能だけを使うことで、不正アクセスに遭った場合はアラートメールが届くので気づきやすくはなりますが、不正アクセス自体を防ぐ機能が乏しいため、他のセキュリティ対策プラグインを併用する必要があります。
無料で利用できる機能はファイル改ざんの監視にやや特化しているので、それらの機能が必要な場合は重宝するかもしれませんが、個人ブログ等の小規模サイトでは利用するメリットは薄いです。
万が一不正アクセスに遭った場合、当プラグインにはWordPressの標準ファイルと整合性をチェックする機能があるので、改ざんされたファイルを特定するには使えるかもしれません。
どちらにせよ、不正アクセスを防ぐことが目的の場合は、パスワードの桁数を増やしたり、二段階認証を設けるほうが遥かに効果的なので、他のセキュリティ対策プラグインを導入することをおすすめします。