今回はWordPressのセキュリティを強化するプラグイン、Wordfence Securityの設定方法と使い方を解説します。
悩みWordPressのセキュリティ対策ってどうすればいいの?
悩みWordfence Securityの設定と使い方を教えてほしい。
ハセブロそんなお悩みや不安を解決して、記事作成やSEO対策などに集中できるようにしましょう!
本記事では、以下の流れでWordfence Securityの設定方法と使い方をやさしく解説しますね!
本記事の流れ
- Wordfence Securityとは?
- Wordfence Securityの特徴
- Wordfence Securityのインストールと有効化
- Wordfence Securityの設定方法
それでは始めましょう!
Wordfence Securityとは?
Wordfence SecurityはWordPressのセキュリティを強化するプラグインです。
有効インストール数はなんと4,000,000以上!
Wordfence は、世界で最も優れた WordPress セキュリティ研究チームとして広く認められています。当社のプラグインは包括的なセキュリティ機能を提供し、当社のチームの研究成果がプラグインを支え、当社が知られるセキュリティレベルを提供しています。
引用元:Wordfence – 最も人気のある WORDPRESS ファイアウォールとセキュリティスキャナー
とあるように、その信頼性から世界で非常に多くの方が利用しているWordPressセキュリティプラグインと言えます。
ハセブロアメリカのシアトルに本社を置く、WordPress セキュリティに関する幅広い専門知識と資格を持つセキュリティ専門家のグループであるDefiantという会社が運営するプラグインです!
Wordfence Securityの特徴
FREE(無料版)と有料版
WordfenceはFREE(無料版)と有料版があります。
無料版と有料版の比較をご確認いただくと、それぞれの違いが分かりやすく記載されています!
Wordfence FREE(無料版)の特徴
以下は、Wordfence FREE(無料版)に備わっている主な機能/サービスをピックアップしてまとめたものです。
| カテゴリー | 機能 | Wordfence FREE |
|---|---|---|
| ファイア ウォール | Wordfence ファイアウォール | ルールは30日の遅延 |
| ブルートフォースプロテクション | ||
| レート制限 | ||
| ログイン セキュリティ | 2FA(二要素認証) | |
| RECAPTCHA | ||
| 通知 | 侵入アラート | |
| スキャン | Wordfence マルウェア スキャナー | シグネチャは30日の遅延 |
| スケジュールされたセキュリティ スキャン | 3日ごと | |
| プラグイン/テーマの脆弱性監視 | ||
| ファイル変更の検出 |
FREE(無料版)は、Wordfence ファイアウォールのルールやマルウェアスキャンのシグネチャに30日の遅延があるなどの制限はありますが、充実したセキュリティ対策が行えるプラグインです。
外部からの攻撃や侵入を防ぐ
Wordfenceのファイアウォールとログインセキュリティは、外部からの攻撃や侵入を防ぐ重要な機能です。
| 機能 | |
|---|---|
| Wordfence ファイアウォール | 多くの一般的な Web ベースの攻撃だけでなくWordPress および WordPress のテーマとプラグインを特にターゲットにした大量の攻撃からも保護 |
| ログインセキュリティ | サイトで許可されるログイン試行回数を制限する 無効なユーザー名を試行するユーザーをブロックする |
以下イメージは、WordPressの管理画面から「Wordfence」→「ファイアーウォール」で確認できる、「ブロックした総攻撃数:Wordfence ネットワーク」データです。(2023年7月25日から30日間記録されたデータ)
以下は、測定期間の最大値と最小値をピックアップしたイメージです。
多い日で398,977,927/日、少ない日でも290,960,331/日という、とてつもない数の攻撃がブロックされています。
ケタ間違えてないか?と思ってしまうくらい、多くの攻撃がほぼ毎日のように起こっているということなんですね…。
ハセブロこうしたデータから、Wordfenceが外部からの攻撃を24時間365日外部からの攻撃をブロックしてくれているということも分かりますね!
内部の状態を確認する
Wordfenceには外部の攻撃や侵入を防ぐだけでなく、内部の状態をチェックするスキャン機能も備わっています。
FREE(無料版)でスキャンする項目
- サーバーの状態
- ファイルの変更
- マルウェアスキャン
- コンテンツの安全性
- 公開ファイル
- パスワード強度
- 脆弱性スキャン
- ユーザー & オプションの監査
FREE(無料版)は、スキャンは3日ごとに行われることや、スキャン対象にも若干制限があります。
それでも、サーバーの状態やマルウェアスキャン、コンテンツの安全性や脆弱性スキャンなどを定期的にスキャンしてくれるので安心できますよね。
ハセブロ外部からの攻撃や侵入を防ぎ、内部の状態も確認してくれるWordfenceは強力なセキュリティ対策プラグインですね!
Wordfence Securityのインストールと有効化
それではWordfence Securityのインストールと有効化をしていきましょう。
「プラグインを追加」からWordfence Securityを検索しましょう。
表示されたら使用中のWordPressのバージョンと互換性があるか確認しましょう。
「今すぐインストール」をクリックします。
「有効化」をクリックします。
「GET YOUR WORDFENCE LICENSE」と書かれたボタンをクリックします。
Wordfenceのライセンス選択ページが開きます。
「Wordfence FREE」の「Get a Free License」をクリックします。
イメージのような画面がポップアップします。
書かれていることをざっくりまとめると、以下2点です。
- Free(無料版)はファイアウォールルールとマルウェアスキャンのシグネチャが30日遅延する
- リアルタイムで取得したいなら有料版が必要
Free版(無料版)の条件に同意できる方は、「I’m OK waiting 30 days for protection from new threats」をクリックしましょう。
Register画面に変わります。
- メールアドレスを入力
- 通知の受け取り:「Yes」を選択
- 規約等の同意ができたらチェック
して「Register」をクリックしましょう。
ライセンスキーをメールに送ったので、確認の上インストールを完了するよう促す画面に変わります。
メールを確認しましょう。
届いたメールを確認するとボタンがありますね。
「Install My License Automatically」をクリックしましょう。
「Wordfenceのインストール」の画面に、自動的にメールアドレスとライセンスキーが入力されています。
「ライセンスインストール」のボタンをクリックしましょう。
画面下に「Wordfenceは作業中」が表示されます。
若干時間がかかりますので待ちます。
無事インストールが終わると「無償ライセンスインストール済み」の画面がポップアップします。
「ダッシュボードへ」をクリックしましょう。
Wordfence Securityの設定方法
つづいてWordfence Securityの設定をしていきます。
Wordfence Securityの設定項目
Wordfence Freeで設定する項目は、主に以下の4点です。
Wordfence Securityの設定項目
- ファイアウォール
- スキャン
- ログインセキュリティ
- 通知
では一つ一つ進めていきましょう!
①ファイアウォール
はじめにファイアウォールの設定をしていきます。
ファイアウォールの基本オプション
WordPressの管理画面から、「Wordfence」→「ダッシュボード」をクリックします。
ダッシュボード画面が表示されたら、「ファイアウォールを管理」をクリックします。
「ファイアウォールのオプション」画面に変わります。
まずは「Webアプリケーションファイアウォールの状態」を確認しましょう。
以下3つを確認しましょう。
- 「学習モード」が選択されている
- 「次のとき自動的に有効化」にチェックが入っている
- 日付が1週間後になっている
ハセブロ1週間の学習が終了すると、「学習モード」から「有効であり保護中」に変わります。
次は「保護レベル」を設定します。
「WORDFENCE ファイアウォールの最適化」をクリックします。
「Wordfenceファイアウォールの最適化」をするために、サーバーの動作を制御する.HTACCESSファイルが書き換えられます。
①選択されたサーバーの確認
Wordfenceがテストに基づいて選択しています。
僕の場合選択されているのは、「LiteSpeed/Isapi(recommended based on our tests)」です。
②.HTACCESSをダウンロードし安全な場所に保管
「次へ」をクリックします。
「インストール成功」が表示されたらOKです。
「閉じる」をクリックしましょう。
イメージは、「ファイアウォールの基本オプション」を設定した後の画面です。
ブルートフォース保護
「ファイアウォールのオプション」画面を下にスクロールし、「ブルートフォース保護」の項目を表示しましょう。
まずは「ブルートフォース保護を有効化」が「オン」になっていることを確認しましょう。
この後、イメージにある2つの赤枠を一つずつ設定していきます。
まずはロックアウト回数と期間の設定から解説しますね。
デフォルトでは、以下の内容で設定されています。
| 順番 | 項目 | 設定 |
|---|---|---|
| ① | 何回ログインに失敗するとロックアウトされるか | 20 |
| ② | 何回パスワードを忘れたらロックアウトするか | 20 |
| ③ | どの期間の失敗をカウントするか | 4 時間 |
| ④ | ユーザーをロックアウトする期間 | 4 時間 |
なぜ①と②が20回で設定されているかというと、以下が根拠のようですね。
実際のユーザーがパスワードを忘れて、ユーザー名やパスワードを思い出そうとしている間に、最大 5 回以上のログイン試行が発生することがよくある~中略~したがって、これを 20 に設定することをお勧めします。
引用元:Wordfence ヘルプ – ブルート フォース プロテクション
一般的な傾向から設定されているようです。
失敗回数とロックアウト期間の組み合わせ方は、以下が参考になります。
たとえば、失敗数を 20 に設定し、期間を 5 分に設定し、このオプションを 5 分に設定した場合、攻撃者は 5 分ごとに 20 件の推測しか得られず、攻撃が行われるまで 5 分間待機する必要があります。
~中略~
ロックアウトされてからちょうど 5 分後に攻撃を再開できると想定した場合、その結果、10 分ごとに 20 回の推測しか得られず、1 日あたり 2880 回の推測しか得られません。
引用元:Wordfence ヘルプ – ブルート フォース プロテクション
上記の引用部分を図にしたものが、以下です。
Wordfenceのドキュメントには、以下のような記述もあります。
ある程度強力なパスワードを使用している場合、パスワードを正しく推測するには何千回もの推測が必要になります。
引用元:Wordfence ヘルプ – ブルート フォース プロテクション
ハセブロとはいえ、心配症の僕は攻撃(推測)可能な回数が2880回/日って結構多いかも?と感じてしまいました…。
上記を踏まえて、現時点で僕に適するであろう設定を参考程度にご紹介します。
推奨設定ではないことを予めお伝えします。
僕はログイン時に、2回程打ち間違えによる失敗がたまにあります…。
それでも5回あれば十分猶予はあるので5回に設定。
ロックアウト期間が長すぎると、自分がロックアウトされた場合に支障をきたしてしまう可能性があるので、デフォルトの4時間くらいが許容できる時間かなと感じました。
これなら1日に攻撃(推測)できる回数もぐっと減らすことができますよね。
ハセブロ厳しすぎる設定にすると自分の首も絞めてしまうことになりかねないので、バランスを見て設定するようにしましょうね!
「無効なユーザー名を即座にロックアウトする」設定も行っておきましょう。
ユーザー名をadminとしてログインを試みる場合は即座にロックアウトするという設定を例に解説します。
- WordPressインストール時にユーザー名を変更しないとadminになる
- ユーザー名を変更せずadminのままインストールする人もいる
- 推測しやすいadminでログインを試みる攻撃者が多い
というのが理由です。
ハセブロ設定前に「ログイン試行回数」の「失敗」でブロックされた一覧を確認した所、adminで試行したものがずらっと並んでいました…。adminが狙われやすいユーザー名であることがよく分かりましたね。
この設定は、ユーザー名がadminではない方が対象です!
「無効なユーザー名を即座にロックアウトする」にチェックを入れましょう。
空欄にadminを入力してEnterを押すと、無効なユーザー名にadminが登録されます。
投稿者アーカイブURLのユーザー名の発見を防ぐ
「ファイアウォールの基本オプション」の中でピックアップしたいものがあります。
「ブルートフォース保護」の「追加オプション」を確認しましょう。
「’/?author=N’スキャン、oEmbed API、WordPress REST APIおよびWordPress XMLサイトマップによるユーザー名の発見を防ぐ」にチェックが入っていることを確認してください。
これは投稿者アーカイブページを開けない(検索されない)ようにする設定です。
ハセブロ投稿者アーカイブページを開くとユーザー名がURLに表示されてしまうのでセキュリティ的には不安ですもんね…。
投稿者アーカイブページについては、「【初心者向け】XML Sitemap & Google Newsの設定方法と使い方を解説!サーチコンソールとの連携も!」でも取り上げて解説しています。
Wordfenceの設定によって、投稿者アーカイブページがどうなるか確認してみましょう。
https://自分のドメイン/?author=1を検索ブラウザに入力して開いてみて下さい。
「ページが見つかりませんでした。」などのページに遷移するようになります。
URLにユーザー名も表示されません。
②スキャン
つづいて、内部の状態を確認するスキャンを設定しましょう。
WordPressの管理画面から、「Wordfence」→「スキャン」をクリックします。
初めてスキャンを開いた場合、ガイドがポップアップします。
「了解」をクリックしてポップアップを閉じ、「新しいスキャンを開始」をクリックしましょう。
スキャンが終わるまで待ちます。
終了しましたが、「サーバーの状態」に「」がついています。
内容を確認すると、サーバーに問題があるのではなく「スキャン設定」を変更する必要があるようです。
「スキャン」の画面で「スキャンを管理」もしくは「スキャンオプションとスケジューリング」のどちらかをクリックして「スキャン設定」を開きましょう。
「スキャン設定」の下の方に、該当する項目があります。
「WordPressインストール外のファイルをスキャン」にチェックを入れましょう。
スキャンの画面に戻ります。
改めて「新しいスキャンを開始」でスキャンをしてみて下さい。
「サーバーの状態」にも「」がついたらOKです。
ハセブロWordfence Free(無料版)は3日ごとにスキャンされますよ!
③ログインセキュリティ
いよいよ設定も終盤です!ログインセキュリティの設定をしていきましょう。
ログインセキュリティの設定は、以下2つです。
- 2FA(二要素認証)
- reCAPTCHA
それでは一つずつ設定していきましょう。
2FA(二要素認証)
2FA(二要素認証)から設定します。
Authenticatorアプリが必要になりますので、アプリを持っていない方は準備をしておきましょう。
\ Authenticatorアプリ /
Authenticatorアプリの導入方法と使い方については、【2024年版】初心者でも簡単!WordPress ブログの始め方をやさしく解説!の記事中で解説しています!ご参考くださいませ。
WordPressの管理画面から、「Wordfence」→「ログインセキュリティ」をクリックします。
「二要素認証」の設定画面が開きます。
まず、リカバリーコードをダウンロードして安全な場所に保管しておきましょう。
Authenticatorアプリで画面に表示されているQRコードを読み取り、Wordfenceを紐づけます。
Wordfenceの「二要素認証」画面の空欄に、Authenticatorアプリに表示されたコードを入力しましょう。
「有効化」をクリックします。
画面が変わり、有効化されたメッセージが表示されたらOKです。
reCAPTCHA
もう一つのログインセキュリティ、reCAPTCHAを設定します。
この設定に、reCAPTCHA v3のサイトキーとシークレットキーが必要になります。
まだreCAPTCHA v3にブログやサイトが登録できていない方は登録をしておきましょう。
\ reCAPTCHA v3の導入方法 /
reCAPTCHA v3の準備ができていない方は、「Contact Form 7の使い方・カスタマイズ方法を初心者向けにわかりやすく解説!【reCAPTCHA v3導入】」の記事で詳しく解説していますので、ご参考くださいませ!
準備ができたら進めていきましょう。
先ほどの「二要素認証」の横に「設定」のタブがあるのでクリックします。
画面を下にスクロールすると、「reCAPTCHA」の設定項目があります。
「ログインページとユーザー登録ページでreCAPTCHAを有効にする」にチェックを入れます。
Google reCAPTCHAのページで、サイトキーとシークレットキーをそれぞれコピーします。
WordPressに戻り、先ほどコピーしたサイトキーとシークレットキーをそれぞれ空欄にペーストして入力します。
ログイン確認
一度ログアウトしてから、改めてログインページから「ユーザー名」「パスワード」を入力して進みましょう。
イメージのような2FA(二要素認証)の画面になり、右下にreCAPTCHAアイコンが表示されていたらOKです。
Authenticatorアプリに表示されたコードを空欄に入力し、「ログイン」をクリックします。
WordPressの管理画面が開いたらOKです。
④通知
それでは最後に、通知を設定しておきましょう。
WordPressの管理画面から、「Wordfence」→「すべての設定」をクリックします。
画面を下にスクロールすると、「通知メールの設定」があります。
「通知メールの設定」は各項目を確認し、必要なものにチェックを入れておきましょう。
ハセブロ僕はほとんどデフォルトのままですが、以下を変更しています。
デフォルトでは「管理者権限のある人がサインインしたときにアラートする」にチェックが入っています。
これだと、自分がログインしたら毎回メール通知が来てしまうのでチェックを外します。
しかし、「管理者以外のユーザーがサインインしたときにアラートする」にチェックが入っていないので、チェックを入れます。
ハセブロ以上でWordfence Security FREEの設定は完了です!お疲れ様でした!
まとめ:Wordfence Securityで安心感がアップ
今回は「【WordPressセキュリティ強化】Wordfence Securityの設定方法と使い方をやさしく解説!」という記事を書きました。
WordPressは、カスタマイズが自由で自分がオーナーとなってブログやサイトを運営できるメリットがありますが、保守メンテナンスも自分で行う必要があります。
特にセキュリティ対策については、運営において必須項目ですよね。
でも正直難しいことが多くてどうしたらいいかわからない…。
そんな方には、強力なセキュリティ機能で僕たちのWordPressを守ってくれるWordfenceがオススメです!
WordfenceでWordPressのセキュリティを強化して、記事作成やSEO対策、分析やデザインのブラッシュアップなどに集中できるようにしましょう!
以上、ハセブロでした。
最後までお読みいただきありがとうございます!