スクリ

WordPressのセキュリティプラグインとしてSucuriが最適かどうか、Sucuriのレビューをお探しですか？

Sucuriは、マルウェア、不審なリダイレクト、破損したファイルなどの脅威についてあなたのサイトをスキャンすることができる人気のセキュリティプラットフォームです。万が一ハッキングされた場合は、Sucuriチームが追加費用なしでサイトの復旧をお手伝いします。

このSucuriのレビューでは、WordPressサイトに適したセキュリティプラグインかどうかを見ていきます。

Sucuriとは？

Sucuriは、クラウドベースのWebアプリケーションファイアウォール（WAF）を提供する人気のセキュリティプラグインだ。

有効化すると、すべてのトラフィックはホスティングサーバーに到達する前にSucuriのファイアウォールを通過します。つまり、悪意のあるトラフィックがWordPressサイトに到達する前にブロックされます。

また、ブログ、サイト、オンラインストアの悪質なコードやセキュリティ脅威を定期的にスキャンすることもできます。問題を発見した場合は、メールやSlackなどのチャンネルを通じて通知されるので、訪問者やSEOに影響が出る前に問題を解決することができます。

Sucuriは悪意のあるトラフィックをブロックするため、サーバーへの負担も軽減できます。おまけに、サイトのパフォーマンスが向上し、ホスティングサービスの費用も節約できます。

始めたばかりであったり、予算に限りがある場合は、WordPressの公式サイトから無料のSucuri Securityプラグインをダウンロードすることができる。

このプラグインを使用すると、マルウェアをスキャンしたり、サイトがGoogleなどのサイトのブラックリストに載っているかどうかをチェックしたり、サイトのファイルの整合性を監視することができます。

ただし、SucuriのWordPressファイアウォールを使用したい場合は、プレミアムプランにアップグレードする必要があります。

Sucuriのレビュー：WordPressのセキュリティ・プラグインとして最適か？

適切なWordPressセキュリティプラグインを選択することで、ハッカーや悪意のあるコードなど、セキュリティ上の脅威からサイトをすべて保護することができます。これにより、WordPressのSEOを保護しながら、訪問者やカスタマイザーの安全を守ることができます。

このことを念頭に置いて、Sucuriがあなたにとって適切なセキュリティ・プラグインかどうかを見てみよう。

1.セットアップと使用が簡単

Sucuriは使いやすく設計されている。まずは、他のWordPressプラグインと同じようにインストールして有効化してください。

有効化したら、Sucuri Security ” ダッシュボードにアクセスして、SucuriがWordPressコードに直ちに問題を検出したかどうかを確認します。

初期設定はほとんどのサイトで有効なので、Sucuriのダッシュボードで「Hardening」タブを選択して有効化してください。

これらのオプションは、ハッカーが攻撃でよく使用する主要エリアをロックします。とはいえ、使いたいオプションの’Apply Hardening’をクリックするだけです。

さらに、SucuriのWAFはクラウドベースなので、サーバー上で動作することはありません。つまり、ファイアウォールのメンテナンスや更新を心配する必要がありません。

代わりに、APIキーを追加し、ドメイン名のDNS設定を行うだけです。

これにより、ファイアウォールはWordPressホスティングサービスサーバーに到達する前に悪意のあるトラフィックをキャッチし始めます。

2.SSL証明書

Sucuriは、ファイアウォールサーバー用のSSL証明書を自動的に作成します。この証明書はLet’s Encryptからプロバイダーとして提供され、WAFを有効化すると同時にドメインに追加されます。

プロフェッショナルまたはビジネスプランにアップグレードすると、カスタムSSL証明書をアップロードするオプション設定もあります。

3.マルウェアスキャナー

マルウェアや悪質なコードは長い間気づかれない可能性があり、Googleのような大手検索エンジンにブラックリストに登録される可能性が高まります。オンラインショップを運営している場合や、オンラインでクレジットカード決済を行っている場合、ハッキングされたサイトは顧客を危険にさらすことになります。

Sucuriには、WordPressサイトにマルウェア、悪意のあるJavaScriptやiframe、不審なリダイレクト、フィッシングページ、DDoSスクリプトなどがないかチェックするビルトインセキュリティスキャナーが搭載されています。

また、侵害の兆候（IOC）を探し、DNSレコードやSSL証明書の変更、セキュリティの誤設定を監視します。

その裏で、SucuriはSitecheck APIを使用して、お客様のサイトがGoogle、Norton、AVG、Phishtank、Operaなどの一般的なサービスによってブラックリストに登録されていないかどうかを自動的にチェックします。これを行うには、複数のセーフブラウジングAPIに対してサイトをスキャンします。

Sucuriは、WordPressのコアファイルの整合性も自動的にチェックします。問題が見つかった場合、悪意のあるコードを手動で削除するか、元のファイルに置き換えることができます。

4.サーバー・サイド・スキャン

ハッカーの中には、あなたのサイトをマルウェアに感染させようとしない者もいる。その代わりに、あなたの投稿にバナー広告を追加したり、アフィリエイトリンクを乗っ取ったりするようなアクションを実行したい場合があります。

このような微妙なハッキングは、特にブラックリストに載ることがないため、気づくのがより困難です。ありがたいことに、Sucuriはサーバーサイドスキャナーを提供しており、WordPress以外のファイルも含めてサイト上の個別ファイルを調べ、サーバー上に疑わしいものがないことを確認します。

5.ウェブアプリケーションファイアウォール

Sucuriは、HTTP/HTTPSウェブトラフィックをすべて検査し、疑わしいトラフィックがホスティングサーバーに到達する前にブロックするクラウドベースのWAFを提供しています。

ファイアウォールを使用するには、トラフィックがSucuriのサーバーを経由するようにDNS設定を変更するだけです。これだけで、SucuriのWAFは、悪意のあるリクエスト、DDoS攻撃、パスワードの推測、その他のセキュリティ脅威からサイトを保護し始めます。

6.SEOスパムスキャナー

キーワードスタッフィングやリンクインジェクションはSEOに悪影響を及ぼし、Googleなどのサイトのブラックリストに登録される可能性もあります。Sucuriは、SEOスパムの兆候がないかサイトをスキャンするので、SEOペナルティを受ける前に問題を修正することができます。

7.機械学習

Sucuriは、誤検出を防ぐために設計された堅牢な機械学習アルゴリズムを持っています。

また、悪意のある行動をよりよく理解し、WordPressブログやサイトのセキュリティを維持するために、サイトネットワーク全体の攻撃データを関連付けます。

8.セキュリティ・ヘッダ

HTTPセキュリティヘッダは、クリックジャッキング、クロスサイトスクリプティング、ブルートフォース攻撃などの一般的なセキュリティ脅威からサイトを保護することができます。

Sucuriを使えば、コードを書いたりWordPress開発者を雇ったりすることなく、HTTPセキュリティヘッダを追加できます。プラグインの設定で、使用したいヘッダーを設定するだけです。

プロフェッショナルまたはビジネスプランの場合、HSTSおよびHSTSフルのオプション設定もあります。

設定後、「変更を保存」をクリックするだけで、SucuriがWordPressに選択したHTTPセキュリティヘッダを追加します。

9.ジオ・ブロック

Sucuriは、特定の国からの訪問者をすべてブロックすることができます。これは、攻撃のほとんどが同じ場所から来る場合に便利です。

また、特定の場所にのみサイトを販売する場合は、Sucuriのジオロケーションターゲティングとブロックを使用することもできます。たとえば、米国にしか発送しないのであれば、他の国からのトラフィックをブロックすることも検討できます。

10.悪質なボットブロック

Sucuriは、サイトを攻撃しようとする悪意のあるボットやハッカーツールを検出すると、そのトラフィックを自動的にブロックします。これにより、ハッカーが大規模な自動キャンペーンを使用してサイトを見つけることを防ぎます。

11.ブロックリストの監視

検索エンジンは、ほとんどのサイトにとってトラフィックの主要な供給源です。とはいえ、Googleのようなサービスからインデックスを外されると、訪問者の大半を奪うことになりかねません。

検索エンジンがマルウェアを検出した場合、通常、ユーザーの安全を守るためにあなたのサイトをブラックリストに登録し、インデックスを削除します。とはいえ、あなたのサイトがブラックリストに載った場合、問題を解決してインデックスに戻るための対策を講じることができるよう、把握しておきたいものです。

Sucuriは、Sucuri、Google、Norton、AVG、Phish Tank、McAfee SiteAdvisorなどの大手企業が使用するブラックリストAPIを自動的にチェックします。あなたのサイトがこれらのAPIに表示された場合、Sucuriは自動的に通知します。

マルウェアを駆除した後、Sucuriはブラックリスト機関に連絡を取り、サイトのレビューを依頼することもできます。

12.ページを守る

ページによっては、他のページよりも重要であったり、脆弱であったりする場合があります。例えば、ログインページや重要なフォームを含むページをロックダウンすることで、フォームスパムに対抗することができます。

Sucuriを使えば、特定のページにパスワード、CAPTCHA、2要素認証を追加できます。

初期設定では、SucuriはWordPress管理ページへのアクセスも制限し、投稿者のIPのみがログインできるようにします。これにより、ユーザーのアカウントが侵害された場合でも、WordPressダッシュボードを保護することができます。

13.稼働時間モニタリング

ダウンタイムはビジネス、評判、ユーザー体験に影響を与えます。デジタルダウンロードや物理的な製品をオンラインで販売している場合、売上を逃してしまう可能性もあります。

頻繁なダウンタイムは、SEOにも影響を与え、検索エンジンのランキングを低下させます。

Sucuriは、メール、SMS、Slack、RSSフィード、または一般的なWebhookを使用してダウンタイムを通知します。お客様は、売上、トラフィック、SEOを失う前に問題を修正し、サイトをオンラインに戻すことができます。

14.サイト監査ログ

Sucuriは、サイト上で発生するすべてのことをトラッキングします。これには、ファイルの変更、新規投稿、新規ユーザー、最終ログイン、ログイン失敗、WordPressページや投稿への変更が含まれます。

これは、第三者があなたのアフィリエイトリンクを置き換えたり、あなたのサイトに独自のバナーを追加したりするような、より微妙なハッキングを特定するのに特に役立ちます。

15.モニタリングとアラート

セキュリティの問題は、あなたの評判、コンバージョン率、評価、その他多くのものを傷つける可能性があります。とはいえ、サイトに問題がある場合は、できるだけ早くそれを知る必要があります。

Sucuriは、WordPressのコアファイルに変更がないか監視し、悪意のあるスクリプトがサイトに追加された場合に通知します。また、サイトにインストール、有効化、無効化されたWordPressプラグインもトラッキングします。

さらに、Sucuriには完全なアラート管理システムが付属しています。Sucuri Security ” Settings（設定）ページにアクセスし、Alerts（アラート）タブに切り替えるだけです。

初期設定では、SucuriはWordPress管理者に通知しますが、連絡先リストにさらにメールアドレスを追加できます。

また、Sucuriのセキュリティアラートをカスタマイズすることもできます。たとえば、知りたいイベントや、1時間あたりのアラート受信数を選択できます。また、ブルートフォースアタック、投稿タイプ、アラートメールの件名の設定もカスタマイズできます。

プロからのアドバイスメールを設定した後は、スパムフォルダーではなく、受信トレイに確実に届くようにしましょう。そのため、メール到達率を向上させるためにSMTPサービスプロバイダーや SMTPプラグインを使用することをお勧めします。

また、SMS、Slack、RSS、またはカスタム投稿オプションとしてアラートを受信することもできます。

16.パフォーマンスを高める

Sucuriは、いくつかの重要な方法でサイトのパフォーマンスを向上させます。まず、SucuriはDDoS攻撃からリアルタイムで保護し、不審なアクティビティがサイトに到達する前にブロックします。これにより、サーバーの負荷が軽減され、サイトの速度が向上します。

また、コンテンツデリバリーネットワーク（CDN）も提供しており、これは世界中に配置されたサーバーのネットワークです。CDNは、訪問者に地理的に最も近いサーバーからキャッシュされた静的コンテンツを配信し、ページの読み込み時間を改善します。

このトピックについては、WordPressブログにCDNが必要な理由についてのインフォグラフィックをご覧ください。

Sucuriには、コンテンツをキャッシュし、ボタンをクリックするだけでgzip圧縮を有効化するビルトインオプションも用意されています。

17.オンラインストアを守る

オンラインストアを運営している場合、Sucuriはカスタマイザーの安全を守るのに役立ちます。まず、Magecart、クレジットカードのスキマー、不正な決済ページに顧客を誘導するリダイレクトなど、一般的な脅威についてサイトをスキャンできます。

PCIコンプライアンスを達成するには、サイトアプリケーションファイアウォールを使用して、サーバー、カスタマイザー、カード会員データを保護する必要があります。Sucuriはレベル1のPCI準拠サービスプロバイダーであるため、コンプライアンスを達成し、カスタマイザーの安全を守ることができます。

オンライン広告を使って製品やサービスを宣伝していますか？GoogleやFacebookなどのサイトでは、お客様のサイトでマルウェアが検出された場合、広告を停止することがあります。Sucuriは、広告が停止される前に、お客様のストアから悪意のあるコードを特定して削除することで、このような事態を防ぐことができます。

18.ハッキングされたサイトのクリーンアップ

ハッキングされたWordPressサイトをクリーンアップするのは簡単ではありません。マルウェアは、いくつかのファイルに影響を与えたり、コンテンツにリンクを注入したり、WordPressの管理エリアから締め出したりします。

ありがたいことに、Sucuriのサブスクリプションの一部として、サイトクリーンアップとマルウェア除去サービスも利用できます。サイトがハッキングされた場合、Sucuriは一連の自動化ツールとスクリプトを使用してマルウェアを削除し、さらに訓練を受けたアナリストチームが手動でレビューを行います。

このサービスの一環として、Sucuriはお客様のファイルシステムとデータベースから悪意のあるコードを安全に削除し、サイトを復元します。また、WordPressのSEOを損なう危険性のあるSEOスパムキーワードやリンクインジェクションも削除します。

ハッキングによってウェブサイトがすでにオフラインになっている場合、Sucuriはウェブサイトのファイルとデータベースをローカルでクリーンアップできます。

また、被害を受けたサイトにバックドアをインストールするハッカーもいる。これらのバックドアが適切に修正されない場合、サイトが再びハッキングされる危険性があります。

Sucuriは、ハッキングされたWordPressサイトのバックドアも特定して修正します。このようにして、将来の攻撃からサイトを保護することができます。

各プランには無制限のクリーンアップが含まれており、追加費用はかかりません。サポートチケットを申し込むだけで、Sucuriがサイトの分析と修正を開始します。

クリーンアップの過程で、Sucruiは、変更を加える前に安全なバックアップを作成し、これらの変更の完全な記録を保持します。また、調査結果の完全なレポートをプロバイダーが提供しますので、サイトをクリーンアップするためにどのようなステップを踏んだかを正確に知ることができます。

19.地域社会と専門家の支援

Sucuriの初期設定は、ほとんどのビジネスサイト、オンラインストア、個人ブログで十分に機能するはずです。つまり、多くの場合、使用したいオプションを有効化するだけで、Sucuriはあなたのサイトをあらゆる種類のセキュリティ脅威から保護します。

しかし、セキュリティはさまざまなエリアをカバーする大きなテーマです。そのことを念頭に置いて、あなたのサイトを安全に保つためには、特別な助けが必要かもしれません。

Sucuriには、ウェビナー、テクニカルハブ、ステップバイステップのガイドなど、24時間いつでもアクセスできるオンラインリソースが多数あります。

これらのガイドでは、WordPressでXML-RPCを無効化する方法や、WooCommerceサイトをハッカーから保護する方法など、さまざまなトピックを取り上げています。

Sucuriのブログもある。

ここでは、WordPressのログインURLを保護する方法や、WordPressの脆弱性を修正する方法など、あらゆるテーマの情報を見つけることができます。

1対1のサポートをご希望の場合は、すべてのSucuriプレミアムプランに24時間365日のサポートが含まれています。チケットを送信するだけで、Sucuriチームのメンバーができるだけ早く返信します。

WPBeginnerでの使い方

WPBeginnerでは、CDNとWAFとしてSucuriを使用し、スパマーやその他のセキュリティ脅威からサイトを保護しています。Sucuriのファイアウォールは、SiteGroundサーバーからキャッシュされたコンテンツを取得する前に、不正なリクエストをすべてブロックするため、サーバーの負荷も大幅に軽減されます。

また、Sucuriスキャナーを使用して3時間ごとにサイトを監視し、マルウェア、悪意のあるJavaScript、悪意のあるiframe、不審なリダイレクト、スパム的なリンクインジェクションなどがないことを確認しています。

実際、有効化した当初、Sucuriは最初の3ヶ月間で450,000を超えるWordPress攻撃をブロックしてくれました。これには、29,676件のDDoS攻撃と29,690件のバックドア攻撃が含まれています。

Sucuriの価格とプラン

始めたばかりで予算が限られている場合は、WordPressの公式リポジトリからSucuriプラグインをダウンロードすることができます。この無料プラグインは、WordPressサイトのセキュリティ脆弱性をスキャンし、発見した問題を通知してくれる。

ただし、WAFを含むより高度な機能を利用したい場合は、有料プランにアップグレードする必要があります。

3つのプランから選ぶことができる：

• ベーシック。年間199.99ドルで、Sucuriは12時間ごとにサイトをスキャンし、24時間ごとにSSLとDNSの変更をチェックします。また、SucuriのWAF、侵入検知システム、DDoS攻撃緩和、ブルートフォースプロテクションも利用できる。つまり、ベーシックは、サイトを監視したい中小企業のサイトやブロガーに最適なプランで、時折マルウェアのクリーンアップも必要です。
• プロ 年間299.99ドルで、Sucuriがお客様のサイトを6時間に1回、マルウェアやその他の問題がないかスキャンします。また、オリジンサーバーのSSL証明書のサポートも受けられる。つまり、Proは、最小限のダウンタイムでSSL証明書を移行したい中小企業には良い設定です。
• ビジネス向け。 年間499.99ドルのこのプランでは、Sucuriのすべての機能に無制限にアクセスできます。また、30分ごとにマルウェア、セキュリティ異常、変更、その他のセキュリティ問題がないか、サイトをスキャンします。頻繁なスキャンを提供するため、Businessは、カスタマのクレジットカード情報や個人を特定できる情報などの機密データを扱うサイトに最適です。そのため、Businessはオンライン・マーケットや店舗、企業サイトに最適です。

結論SucuriはあなたにぴったりのWordPressセキュリティプラグインですか？

機能、サポートオプション、料金プランを見た結果、Sucuriは市場で最高のWordPressセキュリティプラグインの1つであると確信している。

彼らはあなたのWordPressのセキュリティを強化し、一般的な脅威のためにあなたのサイトをスキャンすることができ、基本的なSucuriプラグインプラグインを提供しています。無料なので、無料のビジネスツールを探しているなら、良い選択だ。

しかし、有料プランにアップグレードすれば、悪意のある攻撃やコードがサーバーに到達する前にブロックするWAFを手に入れることができます。さらに、万が一何か問題が発生した場合は、セキュリティ専門家チームを利用することができ、サイトをクリーンアップして軌道に乗せることができます。

中小企業のサイトやブログを運営するのであれば、Basicが最適だ。基本的なセキュリティ機能を備え、無制限のマルウェアクリーンアップが付属し、12時間ごとにサイトをスキャンします。

より頻繁なスキャンが必要な場合は、Proが6時間に1回、あなたのサイトにマルウェアやその他の問題がないかスキャンします。

最後に、トラフィックの多いサイトをお持ちの場合、訪問者の情報をたくさん記録している場合、またはリスクを最小限に抑えながらオンラインでビジネスを成長させたい場合、Sucuri Businessは30分ごとにサイトをスキャンします。

このSucuriのレビューが、あなたにとって適切な成長スイートかどうかを判断するのにお役に立てば幸いです。また、ブログのトラフィックを増やす方法についてのガイド、または専門家が選んだビジネスサイトに必須のWordPressプラグインもご覧ください。

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.