あなたのサイトに最適なWordPressファイアウォール・プラグインをお探しですか?
WordPressのファイアウォールプラグインは、ハッキング、総当たり攻撃、分散型サービス拒否(DDoS)攻撃からサイトを保護します。
この投稿では、最高のWordPressファイアウォールプラグインを比較します。
WordPressファイアウォール・プラグインとは?
WordPressファイアウォールプラグイン(ウェブアプリケーションファイアウォールまたはWAFとも呼ばれる)は、サイトとすべての受信トラフィックの間のシールドとして機能します。
これらのWebアプリケーションファイアウォールは、あなたのサイトのトラフィックを監視し、WordPressサイトに到達する前に、多くの一般的なセキュリティ脅威をブロックします。
WordPressのセキュリティを大幅に向上させるだけでなく、これらのWebアプリケーションファイアウォールは、多くの場合、サイトを高速化し、パフォーマンスを向上させます。
WordPressのファイアウォール・プラグインには、一般的に2つのタイプがあります。
DNSレベルのウェブサイトファイアウォール– これらのファイアウォールは、クラウドプロキシサーバーを介してあなたのウェブサイトのトラフィックをルーティングします。これにより、本物のトラフィックのみをWebサーバーに送信することができます。
アプリケーション・レベル・ファイアウォール– これらのファイアウォール・プラグインは、トラフィックがサーバーに到達した後、ほとんどのWordPressスクリプトをロードする前にトラフィックを検査します。この方法は、サーバーの負荷を軽減する上でDNSレベルのファイアウォールほど効率的ではありません。
私たちの経験では、DNSレベルのファイアウォールは、主に2つのエリアにおいてより効率的である:
- 何千ものサイトをトラッキングし、傾向を比較し、ボットネットや既知の悪質なIPを探し、ユーザーが通常リクエストしないようなページへのトラフィックをブロックすることで、新たな脅威をいち早くキャッチします。
- DNSレベルのWebサイトファイアウォールは、WordPressホスティングサーバーの負荷を大幅に軽減し、Webサイトがダウンしないようにします。
それでは、サイトを保護するのに最適なWordPressファイアウォール・プラグインを紹介しよう。
1.Sucuri
Sucuriは、WordPress向けサイトセキュリティのリーディングカンパニーです。DNSレベルのファイアウォール、侵入、ブルートフォース防止、マルウェアやブラックリストの除去サービスを提供しています。
あなたのサイトのトラフィックはすべてCloudProxyサーバーを経由し、そこで各リクエストがスキャンされます。正当なトラフィックは通過を許可され、悪意のあるリクエストはすべてブロックされます。
また、Sucuriは、キャッシュの最適化、サイトの高速化、Anycast CDN(すべて含まれる)を通じてサーバーの負荷を軽減し、Webサイトのパフォーマンスを向上させます。SQLインジェクション、XSS、RCE、RFU、および既知のすべての攻撃からサイトを保護します。
WAFの設定は非常に簡単だ。あなたのドメインにDNSのAレコードを追加し、あなたのサイトの代わりにSucuriのCloudProxyを指定する必要があります。
WPBeginnerでは、WordPressのセキュリティを向上させるためにSucuriを使用しています。Sucuriがどのように3ヶ月で450,000件のWordPress攻撃をブロックしたかをご覧ください。
価格年額199.99ドルから。
グレードA+
2.マルケア
MalCareはWordPressセキュリティプラグインのもう一つのトップ製品であり、WordPressサイト用の最高のWebアプリケーションファイアウォールの一つです。エンドポイントセキュリティを提供し、サイトに到達する前に脅威を回避します。
MalCareはプラグインベースのファイアウォールなので、インストールがとても簡単です。コンフィギュレーション設定を調整する必要のあるDNSベースのファイアウォールとは異なり、MalCareは数回のクリックでインストールできます。
ほとんどの無料ウェブアプリケーションファイアウォールは、脅威を検出するための一般的なルールを備えているため、多くの攻撃を通過させてしまいます。しかし、MalCareは、最悪の攻撃をブロックするための特別なルールを備えたリアルタイムのWordPressファイアウォールを提供します。
さらに、MalCareには、ブルートフォースボット、スクレイパーボット、スパムボットなどがサイトを攻撃するのを防ぐ、優れたボット保護機能があります。
価格年額99ドルから。基本機能を含む無料プランもある。
グレードA+
3.クラウドフレア
Cloudflareは、基本的なDDoS防御も含む無料のCDNサービスでよく知られている。
無料プランでは、一般的なインターネットの脅威やハッキングの試みに対する基本的な保護が提供される。しかし、手動でブロックするために作成できるカスタマイザー・ルールには制限があります。
注:WPBeginnerでは、Cloudflareのエンタープライズプランを使用しています。私たちがSucuriからCloudflareに乗り換えた理由については、私たちのケーススタディをご覧ください。
CloudflareはDNSレベルのファイアウォールでもあり、お客様のトラフィックはCloudflareのサイトを経由します。これにより、サイトのパフォーマンスが向上し、トラフィックが異常に多い場合のダウンタイムが短縮されます。
Proプランには、レイヤー3攻撃に対するDDoS保護のみが含まれています。高度なDDoSレイヤー5および7攻撃に対する防御には、少なくとも同社のビジネスプランが必要です。
Cloudflareには、CDN、キャッシュ、より大規模なサーバーネットワークなどの長所があります。
欠点は、アプリケーションレベルのセキュリティスキャン、マルウェア保護、ブラックリストの削除、セキュリティ通知やアラートが提供されていないことだ。
また、ファイルの変更やその他の一般的なWordPressのセキュリティ脅威について、WordPressサイトを監視することもできません。しかし、これはWordPressセキュリティスキャナプラグインを使用することによって修正することができます。
詳細については、SucuriとCloudflareの比較をご覧ください。
価格:無料、有料プランはProプランが月20ドルから、Businessプランが月200ドルから。
グレードA
4.ワードフェンスセキュリティ
Wordfenceは、ビルトインのサイトアプリケーションファイアウォールを備えた人気のWordPressセキュリティプラグインです。WordPress サイトのマルウェア、ファイル変更、SQL インジェクションなどを監視します。また、DDoS攻撃やブルートフォース攻撃からサイトを保護します。
Wordfenceはアプリケーションレベルのファイアウォールであり、サーバー上でファイアウォールが起動し、悪質なトラフィックがサーバーに到達した後、サイトをロードする前にブロックされることを意味します。
これは攻撃をブロックする最も効率的な方法ではありません。大量の不正なリクエストは、サーバーの負荷を増加させます。アプリケーションレベルのファイアウォールであるため、Wordfenceにはコンテンツデリバリーネットワーク(CDN)が付属していません。
Wordfenceには、オンデマンドセキュリティスキャンとスケジュールスキャンがあります。また、WordPress の管理エリアから直接、トラフィックを手動で監視し、不審な IP をブロックすることもできます。
Wordfence についてさらに詳しく知りたい方は、WordPress に Wordfence セキュリティをインストール・設定する方法をご覧ください。
洗練されたアプリケーションレベルのファイアウォールを利用するには、プレミアム・バージョンが必要だ。
価格基本プラグインは無料です。プレミアムバージョンの価格は、個別サイトライセンスで119ドル/年からです。
グレード:B+。
5.ジェットパック
Jetpackは、WordPressのセキュリティとバックアップを含む一連の機能が付属しています人気のWordPressプラグインです。Wordfenceと同様に、Jetpackは、それがあなたのWordPressホスティングサーバーに到達した後に悪いトラフィックがブロックされることを意味するアプリケーションレベルのファイアウォールです。
無料プランでは、非常に基本的なブルートフォースプロテクションとダウンタイムモニタリングを提供しています。毎日の自動バックアップと自動スパムフィルター機能を解除するには、少なくともパーソナルプランにアップグレードする必要があります。
しかし、Sucuriのようなプロバイダーが提供する自動マルウェアスキャンとセキュリティ修正を真に解除するには、Jetpackのプロフェッショナルプランを利用する必要があります。
Jetpackは多くの機能を提供しているため、価格タグは非常に手頃なオプションになります。しかし、真のセキュリティファイアウォールを求めるのであれば、SucuriやMalCareを利用した方が良いだろう。
価格基本プラグインは無料。月額4.95ドルからのプレミアムセキュリティバンドルにアップグレードすることもできます。
グレード:B
6.防弾セキュリティ
BulletProof Securityは、もう一つの人気のあるセキュリティとWordPressファイアウォールプラグインです。アプリケーションレベルのファイアウォール、ログインセキュリティ、データベースのバックアップ、メンテナンスモード、そしてサイトを保護するためのいくつかのセキュリティ調整がビルトインされています。
BulletProof securityはユーザーエクスペリエンスがあまり良くなく、多くの初心者は何をすればいいのか理解するのが難しいかもしれません。しかし、WordPressの.htaccessファイルを自動的に更新し、ファイアウォール保護を有効化するセットアップウィザードが付属しています。
サイト上の悪質なコードをチェックするためのファイルスキャナーはありません。プラグインの有料バージョンは、WordPressのアップロードフォルダ内の侵入や悪意のあるファイルを監視するための追加機能を提供しています。
価格: 基本プラグインは無料。プロバージョンは69.95ドルで、サイト数無制限、生涯サポート付き。
グレード:C
結論
これらの人気のあるWordPressファイアウォールプラグインをすべて慎重に比較した結果、Sucuriは間違いなくあなたのWordPressサイトのために得ることができる最高のファイアウォール保護であると信じています。
最も包括的なセキュリティ機能を備えた最高のDNSレベルのファイアウォールであり、完全な安心感を与えてくれる。さらに、CDNから得られるパフォーマンスの向上は非常に印象的です。
MalCareは、その価格と価値を考えると、我々のリストの中で僅差で2位だろう。
この投稿が、あなたのサイトに最適なWordPressファイアウォール・プラグインを見つける手助けになれば幸いです。初心者のための究極のステップバイステップWordPressセキュリティガイド、またはエキスパートが選ぶ最高のWordPressアクティビティログとトラッキングプラグインもご覧ください。
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Mrteesurez
Most of us in the start used to use Jetpack because they used to recommend it, even till now some of my websites are still using it. I have decided to use Cloudflare based on your recommendation in some of your post as you have switched to Cloudflare. Thanks.
Rafael Ninvalle
Hey guys. Amazing article. I’m facing some security issues right now on my site and this has helped me understand some of the differences among the offerings.
Just a quick typo….one of your paragraphs says:
“Because it’s an application level firewall, WordPress does not come with a content delivery network (CDN).”
Should that say “WordFence” instead of “WordPress”?
Hope I was helpful!
Chao!
Rafa
WPBeginner Support
Thank you, the typo should now be fixed
管理者
Muhammad Ikram
Please explain what is meant by bad traffic ? Thanks
WPBeginner Support
Traffic from spam bots and not actual users is the most common bad traffic for what we mean
管理者
Christina
As you said on the first comment Wordfence provide free firewall but when I check my site on sucuri site checker then it shows firewall is not activated.
Is there any other free firewall plugin?
Tim
The sucuri site checker does NOT check for the Wordfence firewall (it checks for the sucuri solution), so that is exactly what to expect.
Christian
Pls we need help concerning free firewall plugins. Not all website owners can afford these plugins
WPBeginner Support
Hi Christian,
Wordfence is available as a free plugin, as well. The paid version gives you extra features and support.
管理者
Liam
Great article, but I could I ask you to do this again from a global perspective. What you have written I can see for example is US or Europe focused.
Let me explain our issue, we are with Sucuri, which they are great but, as an Australian company the nearest Sucuri WAF is Japan or West Coast US. So that means all traffic has to go from Australia (where most our visitors are) to Japan or the US then back to Australia and we are averaging 1.5 second times for this.
Your blog post didnt take into account anywhere the server locations of any of the services. Do you think you could redo factoring in the WAF locations?
WPBeginner Support
Hey Liam,
You are right, the location of the data center can affect performance. You can look into Cloudflare, they do have data centers in Australia.
管理者
bjoern
Hello, what about using, for example, Sucuri and Wordfence together?
Does this make problems? Should there always be just one of those in use?
Thank you
Carsten Dohmann
I always use iThemes Security or Wordfence in combination with htaccess.
Do you know Ninja Firewall?
It sounds to me like sucuri “Full standalone web application firewall. Works before WordPress is loaded.”
Does anyone tested it?
Jason Egan
I have used Itheme security pro for years and love it! Recently we have added sucuri to some of our sites as well and it’s fantastic!
Fritz
Yes, I have to agree with Jason, I am also using Itheme security and it is also, in my opinion very good.
Tyrone
Hi,
Hopefully you can assist me. I downloaded Image Mapper in hope to be able to map a graphic in Wordpress. Sadly to say after mapping our the image with 8 links, it didn’t work. So, i asking if there is a good mapping program which will work well with Wordpress.
Sincerely,
Tyrone
D Gariepy
I currently use Cloudflare Pro and Wordfence Pro in combination and have great success keeping my sites safe. I have used SiteLock in the past (in fact have 3 sites under contract for another month). SiteLock’s customer service wasn’t great at all. One sales rep kept trying to upsell me on the firewall because of our SSL but never sent cost proposals after many requests. Nor did he explain why the firewall needed to be updated after selling us the first one. The firewall seems ok, but not without minor flaws. I also didn’t notice any speed increase at all with SiteLock.
Lou
I have had the same problems with SiteLock in the upselling each time I had to contact them. SiteLock did not run well with my server. It has been a headache. I also had to pay for SSL Comondo separate. I will now try Scuri for $300 a year. YIKES! Hope it works for me.
Gene
How about including and comparing few free WP firewall plugins? Many small bloggers don’t have the budget to pay monthly or annually for this software. Also there are many free options that do an excellent job protecting WP sites.
Filip
Is it ok to have 2 instead of one? What about Jackpack and Wordfence (free edition). i have them both together on my blog, is that ok?
WPBeginner Support
Hi Flip,
You can use both, however you need to monitor how keeping them both activated on your site affects your page speed.
管理者