2022 年に比較された上位 6 つの WordPress セキュリティ スキャン プラグイン

あなたのサイトはおそらくハッキングされています。

いいえ、あなただけではありません。

侵害された WordPress サイトは、最近のインフルエンザと同じくらい一般的です.

100% 確実にする唯一の方法は、WordPress のセキュリティ スキャンを行うことです。

残念ながら安全です!

聞き覚えのあるものがあれば教えてください:

• WordPress サイトがハッキングされているのではないかと心配しています。
• 最高の WordPress セキュリティ スキャン プラグインを探しています。
• 自分に適したマルウェア スキャナがわからない

大丈夫です！

私たちは助けるためにここにいます。 MalCare は、毎日 250,000 以上のサイトをハッカーやマルウェアから保護するのに役立っています。

この記事では、次のことを行います。

• さまざまな種類の WordPress セキュリティ スキャン プラグインについて説明します。
• どれがあなたにとって最適な選択肢かを理解する;
• そして、WordPress の完全なセキュリティ スキャンに関する最善の推奨事項を提供します。

私たちは、WordPress 業界のいくつかの有名企業から信頼されています。

そのため、Cloudways と WP Buffs のソリューションを見つけることができれば、あなたのウェブサイトの WordPress セキュリティ スキャンを実行するための適切なプラグインも見つけることができます.

始める前に、いくつかのことを整理しましょう:

• WordPress の動作がおかしくなることがあります。
• だからといって、あなたのサイトがハッキングされたわけではありません。

しかし、今すぐ確認する必要があります。

ここにいくつかの真実があります...

WordPress のセキュリティチェックで何ができるかについて、誤った情報の波が押し寄せています。明確にするために、スキャンはマルウェアと脆弱性のみを検出します。問題が自動的に修正されるわけではありません。

それでも、WordPress のセキュリティ スキャン用に見つけられる最高のプラグインが必要です。

TL;DR: ハッカーやマルウェアからビジネスを保護することに真剣に取り組んでいる場合は、ハイブリッド マルウェア スキャナーが最適なソリューションです。サーバーに負担をかけることなく、適切な深さを提供します。

いいですね？飛び込みましょう。

マルウェア スキャナで探すべきもの

すべての WordPress セキュリティ スキャンが同じように作成されるわけではありません。使用できるマルウェア スキャナーにはさまざまな種類があります。

幸いなことに、ほとんどの WordPress マルウェア スキャナーは無料です。

悪いニュースは、ほとんどの一般的なスキャナーは時間をかける価値がないということです。それらは次のいずれかです:

• コードの分析方法が単純すぎる。
• または非常に複雑なレポートを生成し、スキャン結果を誰も理解していません。

ですから、これを本当に簡単にしましょう。

次のようなマルウェア スキャナーを探します。

• すべての WordPress ファイルとデータベース テーブルをスキャン
• サイトの動作が遅くなることはありません
• マルウェアの出所を特定
• 簡単なマルウェア除去オプションを提供
• コードの悪意を理解し、正当な警告のみを発する

次のセクションで、おすすめのプラグインを紹介します。迅速な解決策が必要な場合は、私たちが言うときに信頼してください。私たちは安全に食べ、眠り、生き、呼吸します.時間を無駄にする必要がないように、推奨事項を提供するために必要なすべての考えを入れました。

その後、特定の条件下でのみ使用できる 2 つのプラグインをさらにリストしました (詳細は後述)。

最後に、選択してはならない 3 つの非常に人気のある WordPress セキュリティ スキャン プラグインをまとめました。

しかし、私たちがどのようにして推奨事項にたどり着いたかに本当に興味がある場合は、WP セキュリティ スキャン プラグインのリストの直後に、推奨事項を詳細に説明するセクションがあります。また、用語を使用する際の意味についての説明もあります:

• リモート マルウェア スキャナ
• サーバーベースのマルウェア スキャナー
• ハイブリッド マルウェア スキャナ

これらが専門用語のように思われる場合は、スキップして先に進み、これらの用語についてすべて読んでください。

涼しい？飛び込みましょう。

MalCare の WordPress セキュリティ スキャンの使用:推奨プラグイン

まだインストールしていない場合は、MalCare をインストールして、WordPress のハッキングされた Web サイトを今すぐクリーンアップしてください。 MalCare には、推奨基準のすべてのボックスをチェックする非常に強力なマルウェア スキャナーがあります。

• すべての WordPress ファイルとデータベース テーブルをスキャン
• サイトの動作が遅くなることはありません
• マルウェアの出所を特定
• 簡単なマルウェア除去オプションを提供
• コードの悪意を理解し、正当な警告のみを発する

セキュリティ スキャナーを使用して Web サイト上のマルウェアを検出する方法は次のとおりです。

ステップ 1:MalCare にサインアップする

私たちのサイトから MalCare プラグインにサインアップしてください。

ステップ 2:サイトをスキャンする

MalCare を使用してサイトを自動的にスキャンする:

ステップ 3:ワンクリックでサイトをクリーンアップ

[自動クリーニング] をクリックして、すぐにクリーニングします:

最高の部分は?

MalCare の WordPress セキュリティ スキャンは 100% 無料です!

250,000 の他のサイトに参加して、今すぐ MalCare をインストールしてください。

最も人気のある 2 つの WordPress セキュリティ スキャン プラグイン 条件付きで推奨すること

これら 2 つの推奨事項について、率直かつ明確にお伝えしたいと思います。

以下の他のプラグインよりも優れています。ただし、WordPress のセキュリティのしくみに精通している場合にのみ使用してください。そうでない場合、これらはあなたにぴったりではありません。代わりに MalCare を使用してください。

しかし、マルウェア レポートを分析して、誤警報と実際のマルウェアの違いを判断できる場合は、どちらかまたはこれらのスキャナーをインストールしてください。

ワードフェンス

Wordfence は、WordPress のセキュリティで最も人気のあるオプションの 1 つです。

Wordfence にもマルウェア スキャンの処理方法にいくつかの問題がありますが、この巨大な機能にもメリットがあります。

• サーバーベースのスキャン機能
• マルウェア シグネチャの更新とスキャン
• スキャンの深さ、頻度、タイミングを完全に制御
• すべてのデータベースとファイルでマルウェアをスキャン
• ウェブサイトの評判チェック

2 番目のオプションとして Wordfence をお勧めします。すでに Wordfence を使用している場合は、非常に安全かもしれません。ただし、Wordfence が検出および認識できない脅威があり、手動での解決が必要な誤警報が多すぎます。

さらに、WordPress サイトに負荷をかけ、データベースを肥大化させます。簡単に言えば、しばらくするとサイトの動作が非常に遅くなります。

私たちはWordfenceに敬意を払っていますが、MalCareはいつでも私たちの本の中でより良い選択肢です.金銭的な投資を行う前に、Wordfence を 2 位に選んだ理由について少しお読みください。

スクリプロ

両方のタイプのマルウェア スキャナーを使用するセキュリティ プラグインがあります。たとえば、Sucuri は、SiteCheck と呼ばれるクラウドベースのスキャナーを無料で提供しており、SiteCheck を補完するプレミアム バージョンを備えたプラグイン ベースのサーバー スキャナーを提供しています。

通常、Sucuri SiteCheck はホームページにリクエストを送信して、コンテンツを既知の署名と照合します。これは、コメントだけでなく、任意のコンテンツである可能性があります。また、Googlebot をエミュレートして、Google トラフィックのみに対応するマルウェアがあるかどうかを理解しようとします。

Sucuri SiteCheck の仕組みは次のとおりです。

• ホームページにアクセスして、すべてのリンク、JavaScript ファイル、iframe をクロールする
• これらのリンクのうち 8 ～ 10 個を確認し、さまざまなユーザー エージェントとリファラーを使用してアクセスしてください
• すべての JavaScript ファイルと iframe を抽出してスキャン
• 既知のマルウェア シグネチャのデータベースに対してマルウェアのリンクを確認する
• さまざまなリファラーとユーザー エージェントの結果を比較して、隠れたマルウェアをチェックする
• Googlebot としてホームページに再度アクセスし、このプロセスを繰り返します
• Google や Norton などのブラックリスト機関に対してブラックリストのステータスを確認する

つまり、マルウェアがブラウザで何もレンダリングしない場合、Sucuri SiteCheck はそれを認識できません。 Sucuri SiteCheck の本当の誇りと喜びは、署名照合データベースです。

現在、シグネチャ マッチングは履歴データに基づいており、新しいマルウェアを認識できません。これは大きな問題です。

また、HTML に影響を与えるマルウェアのみを検出します。マルウェアの大部分は HTML に現れないため、これには欠陥があります。実際、ほとんどのマルウェアは、WordPress のファイルまたはデータベースに現れます。

要するに、Sucuri SiteCheck は、本質的に少しでも複雑な主要なマルウェアのほとんどすべてを検出できません。また、アクションを実行してハッキングされたファイルを修復することもありません。

まったくお勧めしない WordPress セキュリティ スキャン プラグインのトップ 3

それは正しい。私たちはそれを言いました。

これらのプラグインはお勧めしません。

いいえ、それらがどれほど人気が​​あるかは気にしません。彼らが人気があるという事実は、彼らが粗悪な仕事をしているため、事態をさらに悪化させます.

Sucuri サイトチェック

Sucuri は、WordPress セキュリティ ニッチの最大の名前の 1 つです。ただし、無料版 (Sucuri SiteCheck) は非常に制限されています。

Sucuri SiteCheck が処理できるスキャンは、サーバーベースのスキャナーが付属するプレミアム バージョンによって補完されます。ただし、Sucuri を既に購入している場合にのみ、Sucuri の使用をお勧めします。実際には、彼らのスキャナーは限られており、かなりの誤報を引き起こします.

また、エンジニアと一緒に Sucuri をテストしました。このメガブランドが実際にどれだけ失望させられたかに私たちはショックを受けました.

Sucuri SiteCheck で期待できることは次のとおりです。

• 一般的な既知のマルウェアのクイック スキャン
• クイック スキャン用の署名スキャン
• Googlebot をエミュレートして、特定のトリガーで隠れたマルウェアを検出します
• SSL 証明書の監視
• 自動および手動スキャン

Sucuri SiteCheck を唯一のセキュリティ対策として使用することはお勧めしません。 Sucuri SiteCheck がほぼすべての複雑なマルウェアを見逃す可能性は非常に高いです。さらに、Google セーフ ブラウジングと同じ原理で動作しているにもかかわらず、ほとんど追いついていません。

iThemes セキュリティ プロ

iThemes Security は単にライセンスを取得し、Sucuri Sitecheck の API を使用して既知のマルウェアをスキャンします。マルウェアをスキャンする独自の技術はありません。

プラグイン スキャナーであると、スキャンの深さが大きくなります。ただし、プラグインはリモート スキャナーを使用してマルウェアを検出し、Wordfence などのサーバー スキャナーや MalCare などのハイブリッド スキャナーの利点はありません。

プッシュが押し寄せてきます.iThemes Security ProよりもSucuriをお勧めします.Sucuriはまったくお勧めしません.

もう十分だ!

Google セーフ ブラウジング

Google によると、2017 年 9 月の時点で、30 億を超えるインターネット デバイスが Google セーフ ブラウジングによって保護されています。

Google セーフ ブラウジングは、マルウェアやフィッシング コンテンツを含む Web リソースの URL のリストを提供する、Google が提供するブラックリスト サービスです。もちろん、これにはリモート スキャナーと独自の透明性レポートも付属しています。

すべてのリモート スキャナーと同様に、Google セーフ ブラウジングはその範囲が限定されており、ウェブサイトのコンテンツに現れるマルウェアのみをブラックリストに登録します。

Google Chrome、Safari、Firefox、Vivaldi、GNOME などの一般的なブラウザはすべて、Google セーフ ブラウジングが提供するブラックリストを使用しています。

また、Google は、ネットワーク上でホストされている脅威に関する電子メール アラートを自律システム オペレーターに送信することにより、インターネット サービス プロバイダーに情報を提供します。

これらはすべて、Google が成し遂げた目覚ましい進歩ですが、それぞれに欠点があります。

本当に透過的なマルウェア攻撃の概要については、Google セーフ ブラウジングで悪意のあるコードを見つけることができます。しかし、WordPress の完全なセキュリティ スキャンに関しては、Google はまだ不十分です。

リモート スキャナがマルウェアを検出する方法と、それらが十分でない理由

リモート スキャナーは、クラウド テクノロジーを使用して Web サイトをスキャンし、マルウェアを探します。

通常、リモート スキャナはサイトのホームページにリクエストを送信します。次に、HTML 要素、JavaScript ファイル、およびコンテンツをスキャンして、既知のマルウェア感染を探します。

これはどのように機能しますか?

ほとんどの WordPress セキュリティ スキャナー プラグインには、既知のマルウェア シグネチャのデータベースがあります。スキャナーは、Web サイトのブラウザーに表示されるコードをデータベースに対して実行し、既知の署名をチェックします。

リモート スキャナーを使用する最大の利点は、データベースの肥大化がほとんどなく、サーバーの負荷がほとんどないことです。

しかし、太陽とバラだけではありません。

リモート スキャナーは、Web サイトとサーバーへのアクセスが制限されています。ほとんどのリモート スキャナーは、ブラウザーに表示されるコードのみを調べます。実際には、最新のマルウェアのほとんどは複雑すぎてシグネチャ マッチングで見つけることができず、目に見えるものではありません。

強力なマルウェアは、ほとんどの場合、ファイルとデータベースに感染します。これらは、ブラウザからは見えないエンティティです。 As a result, a remote WordPress security scan will miss out on all this malware, until they start affecting the visible code and content.

Not cool.

But hey, at least it runs on their servers and not yours. So, the site’s loading speed is never affected.

How Server-Level Scanners Work And What They Are Good At

A plugin-based server scanner has unrestricted access to your website’s files and database.

As such, a server-level WP Security security scan is much more comprehensive than a remote scanner can ever hope to be.

Let’s talk a little bit about how much deeper a WordPress security scan by a server scanner can go:

Checking WordPress Core Files

There are loads of vulnerabilities in older versions of WordPress. So, it’s always a good policy to keep your WordPress version updated.

But in any case, if your site got hacked, it’s highly likely that the hacker left malware in your WordPress core files.

So, most plugins will first do a WordPress security scan of the core files.

The way they normally do this is by checking for differences between the WordPress core files on your site against the original one in the WordPress repository.

The problem is: managed hosting services and WordPress installations in languages other than English often have different core files. Our partner, Flywheel, modifies wp-settings.php for added functionality. This mismatch by the WordPress security scan can lead to a false alarm.

Checking Theme and Plugin Files

Nulled themes and plugins come with malware. Even regular plugins can have cross-scripting vulnerabilities in them, but most nulled themes and plugins will have malicious code in them.

So, it only makes sense for the WordPress security scan to check theme files.

For instance, Wordfence can look at public plugins and themes, and check them against the WP repository. In principle, it’s the same as checking the core files against a repository. While this can be a good place to start, it can also flag too many false alarms.

Why?

Here’s the thing:

Premium themes, custom themes, and child themes do not have standardized code that can be checked for integrity. They are usually heavily customized and in many cases, privately held. So, there may be nothing to check against in the first place.

That’s not the only problem.

All premium plugins only release a free version of their solution to the WordPress repository. The paid version will have the same folder structure and directories, but with different or modified files.

A false alarm can be triggered by something as trivial as a new line feed or differences in grammar or syntax.

In other words, most server scanners can’t tell if the change in the file was good or bad. As long as there is a change, it will freak out completely.

Signature Checking

Of course, so far we have painted a rather bleak picture of server scanners. We’ve seen how they can goof up to understand their gaps and what to expect from them. But that’s a partial view.

In reality, server scanners are quite powerful, and they perform several checks before they raise the alarm. One such check is signature checking.

This is an extension of what remote scanners do. Only, a server scanner can do a WP security scan that checks for malicious signatures in files and database tables, as well as the browser-visible content of the website.

So, what exactly is a signature and why do scanners check for them?

A signature is a piece of code that is synonymous with the backbone of the malware. For each malware, there is a unique signature. Think of it as a thumbprint, but for malicious code.

The way signature matching works is something like this:

• Load all known signatures on the website database
• Keep sending database queries to check for matching signatures
• Save the results of each database query in the database

This sounds like a great process, right?

The only problem is:

There are only a finite number of signatures known to most malware scanners. As a result, it’s easy to miss signatures in a WordPress security scan.

Next, your database will get bloated. Most managed WordPress hosting providers will charge you based on the resources consumed by your site.

Even worse is the fact that signature scanning is a very resource-intensive operation. It can be a real pain to find, collect and curate malicious signatures in PHP. JavaScript is even more difficult to process.

This is not the worst part.

The worst part is that a server scanner will use a ton of your server’s resources to try and find signatures. And then, even if the scanner finds the signature, it’s really difficult to tell if the code really is malicious because a lot of functions used by malware are also used in regular code!

Not to mention, signature matching is utterly useless for new, complex, or obfuscated malware!

When signature matching fails, you need far more powerful algorithms to find the malware in your WordPress security scan. But a server scanner depends on your website’s available resources and it can rarely run complex algorithms to understand what code is truly malicious.

Keyword Searches

Keywords can certainly help narrow down the search for known malware.

Most common malware will use commonly used pieces of code such as:

• eval
• base64_decode
• gzinflate
• preg_replace
• str_replace

But the problem is:those keywords are present in normal code also. The mere presence of the keyword proves absolutely nothing.

And then there are malware where you don’t find these keywords at all.

Again, you need a WordPress security scan that goes beyond these methods for real protection. Sadly, this is the best that most server scanners can do because you are probably on shared hosting servers.

Final Verdict:

Server scanners can offer a much deeper WordPress security scan than any remote scanner out there. But is that necessarily a good thing?

Short answer: No.

Server-level scanners operate on your website’s server. If they operate at full capacity, you will burn through a chunk of your allocated server resources. This means that your actual users will find your site slow and unresponsive at times.

This is not the only problem with server-level scanners.

Most WordPress security scan plugins will use very simplistic algorithms to detect malware. This is because they are bound by the limitations of your server’s computational capabilities.

Most shared hosting plans do not offer great computing power. As a result, your scan will be deeper, but it still operates on the same principles as a remote scanner.

Like remote scanners, a full WordPress security scan by most server scanners will rely on looking at:

• Core file differences
• Theme file differences
• Plugin file differences
• Signature matching against known malware
• Malicious string patterns in the database
• Backdoors and malware using keyword searches

These are all very rudimentary ways to look for malware. Most modern malware is hidden across multiple files and databases, and encrypted to look like a random string of harmless code, until a PHP script decodes the string to execute malicious code.

Needless to say, a WordPress security scan using these plugins will yield a bunch of false positives. And in many cases, all these scan results get stored in a custom database. Over time, this database will become incredibly bulky and will slow your site down even more.

What Hybrid Scanners Can Offer And Why We Highly Recommend Them

A hybrid scanner can offer the WordPress security scan depth of a server scanner and still operate remotely.

Here’s how a hybrid scanner works:

ステップ 1: The scanner syncs your website with its own servers and creates a copy of it. This copy includes all files and the entire database.

ステップ 2: The scanner now does a full WordPress security scan of all its files and database tables on its own server.

Step 3: It pinpoints the exact location of the malware infection on your site. It does not matter if it’s unknown malware or extremely complex malware. The scanner can run a powerful algorithm to understand exactly what code is malicious.

Since the entire WordPress security scan happens on dedicated servers, hybrid scanners can run more complex algorithms than other types of scanners .

These servers are powerful enough to run machine learning algorithms and complex code testing software that can analyze any anomalies on your site and understand if that anomaly is malware or simply custom code.

The best part?

A hybrid scanner works as part of a network of sites. In other words, the more sites it protects, the more malware it encounters, and consequently the strength and acuity of its WordPress security test keeps growing.

If you run a WordPress security check of the same depth and complexity on your site, it will slow down quite a bit. You may even end up depleting all your allocated server resources!

Like any other scanner, hybrid scanners work based on signals of compromise or being hacked.

A signal can be something as small and seemingly insignificant as a file being edited at the wrong time.

NOTE: A single signal is simply a red flag, and not significant enough to trigger an alarm on its own. A scanner will then work through a list of several other predefined signals, before an alarm is raised. On top of that, the learning algorithm also kicks in to offer a faster, deeper WordPress security scan.

This system ensures that there are few to no false alarms.

Let’s give you a simple example:

There are many plugins that update their files without updating the version. A simple mismatch like this can confuse most server scanners and result in a false alarm.

Imagine for a second that you’re managing 20 websites like most agencies do. It’s so tiresome to look at false alarms after a while that you’ll start ignoring all threats to your website.

True story. Happens everyday.

Using a hybrid scanner to do a WordPress security check essentially means that you only have to react to a threat that actually threatens your website.

On a side note, hybrid scanners come with instant malware removal as well. This is an indirect outcome of the advanced WordPress security scan.

Just another reason to choose a hybrid scanner!

Let’s dive into which plugin you should choose for your WordPress security scan.

What Happens After the Scan

After a WordPress security scan, you get a report that leaves you with a few options:

<オール>

Your site contains no malware and in this case, you should simply leave the scanner plugin installed for regular scans.

Your site has no malware, but your scanner raised false positives. Hire a security professional for threat assessment or buy a plugin that doesn’t raise false alarms.

Your site is infected and your scanner missed it. If you’re seeing symptoms of a malware attack, get a better plugin pronto.

Your site is infected and now you need to clean your site. Make sure you have a malware removal tool as well and start cleaning your site.

In either case, we recommend using MalCare’s full suite of security tools. As you have already seen, MalCare has a one-click malware removal tool that removes even complex, unknown malware in an instant.

Now, the WordPress security scan by MalCare is 100% free. But if you want to clean your website, you need to buy the premium version. Not to worry, it’s pretty affordable at only $99/year.

NOTE: There are manual ways of cleaning your website, but we do not recommend them. Manual cleanups are extremely risky and can wreck your site completely if you’re not careful. Also, we cannot guarantee that a manual cleanup will even work.

Once your site is thoroughly cleaned, we also recommend using MalCare’s WordPress hardening options to beef up your security. You should turn on the firewall for bot protection as well.

As an additional precaution, we highly recommend that you take regular backups of your entire site. This way, if your site goes down for any reason at all in the future, you can restore your site to a previous version instantly.

The Impact of Malware if Left Untreated

One of the major questions that we get all the time is – why does it matter if my website gets hacked? Unless it completely defaces the website, why should I even care?

Short answer: you really should care because a hacked website can severely damage your business, even if it isn’t visibly defacing your website.

A WordPress hacked website can damage your adwords account, traffic, revenue, and brand value. In other words, malware siphons your hard-earned money from your website.

This is even more true for WooCommerce site owners. On an ecommerce site, you can literally see a decline in your sales and traffic right from your dashboard.

One of the most dreaded outcomes of a malware attack is the Google blacklist. Getting slapped with a URL blacklist by Google can tank your traffic by almost 95% in a matter of hours!

Think about it.

Do you still think that you should leave malware on your site?

What’s Next?

If you haven’t already, install MalCare for a quick WordPress security scan and an even quicker automatic cleanup.

One of the most important reasons we see for a website being hacked is that the owner knows nothing about WordPress security. Nor should they; that’s why we’re here. We create epic content on different security threats and vulnerabilities. So, the best thing you can do now is read more of our content.

Also, drop any questions that you may have on Twitter. Our engineers will find a way to resolve your problems.

That’s all for this one.

Until next time!