Sucuri Securityとは？使い方・SiteCheckやWordfenceとの違いまで徹底解説

定評のあるWebサイト向けセキュリティサービスSucuri（スクリ）。実は、WordPress向けにセキュリティ・プラグインを無料提供しています。

本稿では、Sucuri Securityプラグインの概要や使い方、類似サービスのSiteCheckやWordfenceとの違いまで徹底解説します。

Sucuriとは？

Sucuriとは、アメリカ企業が運営するウェブサイト向けのセキュリティサービスです。

マルウェア除去、WAF（Webアプリケーションファイアウォール）、DDoS対策、CDNによる高速化などを組み合わせた、総合的なクラウド型セキュリティプラットフォームを提供しています。

また、ファイアウォールとCDNのみのプランや、Web上で利用できるSucuri SiteCheckといった外部ツールも提供しています。

Sucuri

Sucuri Security（プラグイン）とは？

Sucuri Securityは、Sucuriが公式に提供するWordPress専用の無料セキュリティプラグインです。

サイトの改ざん検知やマルウェアスキャン、セキュリティログの記録、脆弱な設定の強化など、複数のセキュリティ機能を1つにまとめた総合ツールです。

インストールするだけで、外部からの攻撃やファイルの異常などを自動的に監視・通知してくれるため、セキュリティ対策に不安がある初心者でも安心して導入できます。

なお、Sucuriプラグインの公式URL（/sucuri-scanner/）は、初期リリース時の名称に由来しており、現在の正式名称とは異なっています。

Sucuri Security

Sucuri Securityの主な機能

Sucuri Securityプラグインでは、以下のような機能が無料で利用でき、サイトの安全性を高めることができます。

• セキュリティ活動の監査：管理画面でのログインや投稿の更新など、操作履歴を自動で記録
• ファイル整合性のチェック：WordPressのコアファイルに改ざんがないかを定期的に検査
• マルウェアスキャン：外部からサイト全体をスキャンして、マルウェアや不審なコードが含まれていないかチェック
• ブロックリスト監視：Googleなどの検索エンジンやウイルス対策ベンダーによるブロックリストに、サイトが登録されていないかを自動で監視
• セキュリティ強化：ファイル編集の無効化やエラーメッセージの非表示など、一般的な攻撃を防ぐための推奨設定を一括で適用
• 侵害後の対応支援：サイトが攻撃された場合に備え、パスワードの一括リセットやセキュリティキーの再生成などの回復支援機能を提供

Sucuri Securityの使い方

インストール方法

WordPress管理画面の「プラグイン」→「プラグインを追加」で「Sucuri」を検索。「Sucuri Security」をインストール・有効化します。

以下のリンクからダウンロードしてインストールすることもできます。

Sucuri Security

インストール後、管理画面の左側にメニューが表示されます。

Vulnerability Scanning（脆弱性スキャン）

この機能は、サイト内のWordPress本体・プラグイン・テーマに既知のセキュリティ問題がないかをチェックします。ページを開くと自動的にスキャンが開始されます。

スキャン結果の例

今回は、インストール直後のWordPressサイトを使用しましたが、赤文字で「Core WordPress Files Were Modified（WordPressのコアファイルが変更された）」と表示されました。

表示されたファイル一覧を確認しましたが、特に問題はありませんでした。検出されたファイルは以下の通りです。

• .user.ini：セキュリティやPHP設定で使われるファイル。auto_prepend_file がなければ問題なし。
• text-replace.html：エックスサーバーでWordPressをインストールした際に生成されるファイル。
• wp-admin/install.php：WordPressの初期インストール時に生成されるファイル。

検出ファイルの操作

検出されたファイルに対しては、以下の操作が可能です。

• 問題があると思われるファイルを選択
• I understand that this operation cannot be reverted.（操作が元に戻せないことを理解しています）にチェック
• Action：Mark as Fixed（解決済みにする）、Restore File（オリジナルのWPファイルに復元）、Delete File（削除）を選択
• Submit：選択した操作を確定

今回は全て問題なしと判断し、「Mark as Fixed」で送信しました。

その他の表示項目

ページを下にスクロールすると、次の情報も表示されます。

• Site is Clean（サイトは安全です）：既知のマルウェアや改ざんは検出されなかった
• Not blocklisted（ブロックリストに登録されていません）：複数のセキュリティ機関でのブラックリスト登録なし
• WordPress Security Recommendations（WordPressセキュリティ推奨）：セキュリティ強化のための改善提案を表示

Sucuri SiteCheckとの違い

Vulnerability ScanningはWordPressプラグインとして提供され、管理画面内から実行でき、WordPressのバージョンやテーマ・プラグインの脆弱性などサイト内部の構成やファイルを直接スキャンします。

精度が高い一方で、利用にはプラグインのインストールが必要です。

一方、Sucuri SiteCheckは外部Webツールとして提供され、ブラウザでURLを入力するだけで利用でき、外部から見える範囲のマルウェア感染や改ざんを検出します。導入は容易ですが、検出範囲は公開領域に限定されます。

併用することで、外と中の両面から監視できるため、発見精度が向上します。

Sucuri SiteCheck

Firewall Management（ファイアウォールの管理）

こちらの項目では、Sucuriの外部ファイアウォール（有料）を設定できます。

すでにサーバー側のWAF＋セキュリティプラグインのWAFを導入している場合は、必要性が低くなりますのでご注意ください。

このページでは、以下のような設定ができます。ただし、事前にSucuriのWAF（有料）に申し込み、APIキーを入力しないと設定ができません。

• Setting：ファイアウォール全体の設定ページ。APIキーの入力など
• Audit Logs：ファイアウォールが記録したアクセス履歴やセキュリティイベントの一覧
• IP Access：特定IPアドレスを許可（ホワイトリスト）または拒否（ブラックリスト）する設定
• Clear Cache：Sucuriのキャッシュ（CDNキャッシュ）を削除する機能

Sucuri Firewallの概要と料金

Sucuri Firewallは、クラウド上で動作するWAF（Web Application Firewall）かつIDS（侵入検知／防御システム）です。

リバースプロキシとして機能し、すべてのトラフィックをSucuriのネットワーク経由で検査します。不正アクセスをサーバーに到達する前に遮断します。

下記は、Firewall with CDN Plansの料金です。この他にも、包括的なセキュリティ対策を提供しているSucuri Platform Plan（年額$299.99〜$999.99）でもファイアウォールを利用できます。

Sucuri Firewall

Events Reporting（イベント報告）

Sucuri Securityが、サイト内やアクセス履歴から記録した情報を表示してくれる機能です。

• Audit Logs：ログイン試行や設定変更など、サイトで発生した全イベントの履歴を記録。改ざんや不正アクセスの痕跡確認に使える
• iFrames：サイト内の<iframe>タグ一覧を表示。外部コンテンツ埋め込み状況を確認し、不審な埋め込みを検出できる
• Links：外部リンクの一覧を表示。正規以外の不審なリンクが混入していないかを確認できる
• Scripts：読み込まれているJavaScriptの一覧を表示。不正スクリプトや改ざんを早期に発見できる

Headers Management（ヘッダー管理）

サイトのレスポンスヘッダー（HTTPヘッダー）を通じて、ブラウザや外部サービスへの挙動・制限を制御できます。

こちらのページでは、タブがありませんが、下にスクロールすると、複数の項目が表示されます。なお、初期設定では全ての項目が無効となっています。

専門知識が必要なため、中級者以上の方向けとなっています。

• Cache Control Header Options：ブラウザやCDNにコンテンツをどのくらいの期間キャッシュさせるかを指定する設定。更新反映速度や表示速度に影響する
• CORS Options：異なるドメイン間でのリソース共有（Cross-Origin Resource Sharing）を許可・制限する設定。APIや外部スクリプト利用時の安全性を確保する
• Content Security Policy (CSP) Options：サイトで読み込めるスクリプト・画像・スタイルなどの配信元を制限する設定

Hardening & Prevention（防御強化と予防）

WordPress本体やサーバーの防御強化（Hardening）と予防（Prevention）機能の設定ページです。

• Hardening Options：WordPressの重要ディレクトリやファイルへの直接アクセスや実行を制限し、不正利用を防ぐセキュリティ強化設定の一覧（後述します）
• Allow Blocked PHP Files：特定フォルダでのPHP実行を禁止するセキュリティ機能の例外設定で、必要なテーマやプラグインの動作を壊さないために使うものです

Hardening Options（防御強化オプション）

こちらのオプションは設定項目が多いため、一覧で解説します。

• Enable Website Firewall Protection：Sucuriの有料WAFを有効化して、サイバー攻撃を遮断する機能
• Verify WordPress Version：WordPressが最新バージョンかを確認し、既知の脆弱性を悪用されないよう常に更新を促す機能
• Remove WordPress Version：WordPressのバージョン情報がHTMLのメタタグなどから外部に漏れていないかチェック
• Block PHP Files in Uploads Directory：wp-content/uploads 内でのPHPファイル実行を禁止する設定（画像生成プラグインは例外登録が必要）
• Block PHP Files in WP-CONTENT Directory：wp-contentディレクトリ内でのPHPファイル実行を禁止し、不正コードの実行を防ぐ機能（一部のプラグインやテーマでは例外設定が必要）
• Block PHP Files in WP-INCLUDES Directory：wp-includes ディレクトリでのPHP実行を禁止する設定（通常は実行不要なので有効化推奨）
• Avoid Information Leakage：readme.html などの不要ファイルを削除し、バージョン情報などの漏えいを防ぐ設定
• Verify Default Admin Account：管理者ユーザー名が admin のままになっていないか確認し、攻撃対象の特定を防ぐ設定
• Disable Plugin and Theme Editor：管理画面からテーマやプラグインのコードを直接編集できないようにする設定（wp-config.phpで解除可能）
• Activate Automatic Secret Keys Updater：WordPressの認証用シークレットキーを定期的に更新し、全ユーザーを強制ログアウトさせてセッション悪用を防ぐ設定

Post-Hack Actions（ハッキング後の措置）

サイトがハッキングやマルウェア感染などの被害を受けた後に行うべき緊急対応ツールをまとめた機能です。

被害を最小化し、不正アクセス経路を閉じ、正常な状態へ復旧することを目的としています。

• Update Secret Keys：wp-config.phpにある8つのセキュリティキーを再生成し、既存のログインセッションやCookieをすべて無効化。不正ログイン中のユーザーを強制ログアウト
• Automatic Secret Keys Updater：セキュリティキーを定期的に自動更新する機能
• Reset User Password：指定ユーザーのパスワードを即時変更し、セッションを終了。新しいパスワード設定リンクをメール送信する
• Reset Installed Plugins：インストール済みのプラグインをすべて再インストールし、改ざんされた可能性のあるファイルを初期状態に戻す。ただし、有料プラグインは自動再インストールされない
• Available Plugin and Theme Updates：プラグインやテーマのアップデート状況を確認し、脆弱性修正が含まれる場合は即時更新を推奨

Last Logins（最終ログイン）

WordPressへのログイン関連イベントの履歴と、現在のログイン状況を確認できるページです。

• All Users：すべてのユーザーアカウントの最近のログイン履歴を表示
• Admins：管理者権限アカウントの最近のログイン履歴だけを表示
• Logged-in Users：現在ログイン中のユーザー一覧を表示
• Failed Logins：ログイン失敗（パスワード誤りなど）の履歴を表示

Setting（設定）

プラグイン全体の動作や監視方法、通知方法などを設定する中核の管理画面です。

各機能の設定や情報表示を一箇所に集約しているため、別の設定ページと一部重複している場合があります。

• General Settings：プラグインの基本動作に関する設定（例：監査ログの保存期間、タイムゾーン、言語など）
• Scanner：ファイルの改ざん検知やマルウェアスキャンの設定（スキャン間隔、対象範囲、除外パスなど）
• Alerts：ログイン試行やファイル改ざんなどの検知イベントが発生した際の通知方法や送信先メールアドレスを設定
• API Communication：Sucuriの外部APIサービスとの接続設定（有料WAFや外部スキャナーとの通信キーの登録など）
• Website Info：サイトの基本情報や環境情報（WordPressバージョン、PHPバージョン、サーバー情報など）を表示

General Settings（一般設定）

• Data Storage：セキュリティログやスキャンキャッシュなどを保存するディレクトリ設定。書き込み権限が必要で、非公開ディレクトリに変更可能
• Log Exporter：WordPress監査ログを外部のログ解析ツール（例：SIEM, OSSEC）で利用できるローカルファイルに出力する機能。公開ディレクトリは非推奨
• Reverse Proxy：リバースプロキシ使用時に、アクセス元IP取得方法を調整する設定。Sucuri FirewallやCDN利用時に必要になる場合あり
• IP Address Discoverer：サイトがSucuri Firewallの背後にある場合、訪問者の実IPを自動検出し反映する機能。DNSルックアップを行うため速度低下の可能性あり
• Timezone Override：プラグイン内で表示する日時のタイムゾーンを個別設定。監査ログの時刻ずれ修正に利用
• Import & Export Settings：設定のJSONデータを他サイトにエクスポート／インポートする機能。一部サイト固有設定は除外
• Reset Security Logs, Hardening and Settings：プラグインを初期化し、ローカルのセキュリティログ・ハードニング設定・プラグイン設定を削除する機能（API側のログは保持）

よくある質問（FAQ）

Sucuriプラグインは無料で使えますか？

はい、基本機能は無料で利用できます。ただし、高度な機能（有料WAFとの連携、サーバー側マルウェア除去など）は含まれません。

有料WAFを使うにはどうすればいいですか？

Sucuri公式サイトで有料プランに申し込み、発行されるAPIキーをプラグインの「API Communication」設定に入力します。導入時にはDNS設定の変更が必要です。

サーバーのセキュリティ設定と併用するには？

まず、レンタルサーバー側のセキュリティ機能（WAF、アクセス制限、XML-RPC制御、PHP実行制限など）を確認し、Sucuri Securityの機能と重複する部分を洗い出します。

重複している場合は、二重設定によるアクセスエラーや表示不具合を防ぐため、どちらか一方を無効化することが望ましいです。

特にWAFはサーバー側とSucuri（有料WAF）の両方で有効化すると予期せぬブロックが発生する場合があるため、優先する方を決めて設定してください。

他のセキュリティ・プラグインと併用できますか？

基本的には併用可能です。Sucuri Securityは「改ざん検知」「監査ログ」「マルウェアスキャン」などの監視系機能が中心です。

ログイン保護やスパム対策など、別の役割を持つセキュリティプラグインと組み合わせても問題ありません。

ただし、同じ機能を持つプラグイン同士（例：WAFやログイン制限）を同時に有効化すると競合が起きる場合がありますので、機能の重複を避けて設定してください。

Wordfenceプラグインとの違いは？

主な違いは「防御方法」と「動作場所」です。

• Sucuri：クラウド型WAF（有料）と外部スキャンを特徴とし、トラフィックをサーバーに到達する前に遮断できます。軽量で監視中心の機能構成です。
• Wordfence：プラグイン内にWAF機能を内蔵し、サーバーに到達したリクエストをPHPレベルでブロックします。機能は豊富ですが、アクセスが多いサイトではサーバー負荷が高くなる場合があります。

まとめ

SucuriのWordPressプラグインは、多機能かつ高性能なセキュリティ対策を無料で利用可能です。

特に、外部からの改ざん検知やマルウェアスキャンが自動で行えるため、サイト運営者の大きな安心材料になります。

セキュリティ対策にまだ不安がある方は、まずはこのプラグインを導入してみてはいかがでしょうか。