はじめに
Sucuri Securityはセキュリティ企業Sucuri(GoDaddy傘下)が提供する無料プラグインです。アクティビティログ・コアファイル整合性チェック・ブラックリスト監視などが無料で使えます。有料WAFを使わなくても基本的な監視が可能です。
症状・原因
- サイトがブラックリスト(Googleセーフブラウジング等)に登録されたか確認したい
- 管理画面へのログインや設定変更の履歴を記録しておきたい
- WordPressコアファイルが改ざんされていないか確認したい
- WAF(Webアプリケーションファイアウォール)を導入したい
解決手順
ステップ1:インストールと有効化
wp plugin install sucuri-scanner --activate有効化後、APIキーを生成します:
Sucuri Security → ダッシュボード →「APIキーを生成」
→ 登録メールアドレスを入力 → 無料APIキーが発行されるステップ2:コアファイルの整合性をチェックする
Sucuri Security →「WordPressの整合性」タブ
→ 変更されたコアファイルの一覧が表示される
→ 不審なファイルは「削除」または「修復」WP-CLIでも確認可能:
wp core verify-checksums
wp plugin verify-checksums --allステップ3:アクティビティログを確認する
Sucuri Security →「アクティビティログ」タブ
→ 管理者ログイン・設定変更・プラグイン操作の履歴を確認
→ 不審なIPアドレスからのアクセスをチェックログをファイルに保存する設定:
Sucuri Security → 設定 →「ログ」タブ
→ ログストレージ: データベース(推奨)またはファイル
→ ログ保存期間: 90日ステップ4:ブラックリスト監視を確認する
Sucuri Security →「ブラックリスト」タブ
→ Google セーフブラウジング: 確認
→ Norton セーフウェブ: 確認
→ McAfee SiteAdvisor: 確認
→ Sucuri マルウェアラボ: 確認すべて「クリーン」と表示されれば問題なし。ブラックリストに登録されている場合:
# マルウェアを駆除後、各サービスに審査依頼を送る
# Google: Search Console → セキュリティの問題 → 審査を要求
# Sucuri: ダッシュボード → マルウェア除去リクエスト(有料)ステップ5:セキュリティ強化設定を適用する
Sucuri Security → 強化 →「すべての強化を適用」個別に適用できる強化項目:
- ✓ WordPressバージョンを隠す
- ✓ readme.html を削除
- ✓ WordPress デフォルトの管理者ユーザーを無効化
- ✓ uploads ディレクトリへのPHPアクセスをブロック
- ✓ wp-includes ディレクトリへのアクセスを制限
# .htaccess に自動追記される内容(例)
<FilesMatch "\.php$">
Order allow,deny
Deny from all
</FilesMatch>ステップ6:メール通知を設定する
Sucuri Security → 設定 →「アラート」タブ
→ アラート送信先: security@example.com
→ アラートするイベント:
✓ 管理者ユーザーのログイン
✓ 新しい管理者ユーザーの追加
✓ プラグインの有効化/無効化
✓ 設定の変更
→ アラートの最大頻度: 1時間あたり5通注意事項
- Sucuri WAF(Webアプリケーションファイアウォール)はプラグインとは別の有料サービス(月額$9.99〜)です
- 無料版でもブラックリスト監視・整合性チェック・アクティビティログは使えます
- WordFenceやiThemes Securityと同時に使用すると競合することがあります
まとめ
Sucuri Securityは「コアファイル整合性チェック」「ブラックリスト監視」「アクティビティログ」が無料で使える監視特化型プラグインです。感染検知後の駆除はwp core download --forceとwp plugin verify-checksumsを組み合わせ、各ブラックリストサービスへ審査依頼を送ってください。