【WordPressセキュリティ強化】Wordfence Securityの設定方法と使い方をやさしく解説!

Security

今回はWordPressのセキュリティを強化するプラグイン、Wordfence Securityの設定方法と使い方を解説します。

悩み

WordPressのセキュリティ対策ってどうすればいいの?

悩み

Wordfence Securityの設定と使い方を教えてほしい。

ハセブロ

そんなお悩みや不安を解決して、記事作成やSEO対策などに集中できるようにしましょう!

本記事では、以下の流れでWordfence Securityの設定方法と使い方をやさしく解説しますね!

本記事の流れ

  • Wordfence Securityとは?
  • Wordfence Securityの特徴
  • Wordfence Securityのインストールと有効化
  • Wordfence Securityの設定方法

それでは始めましょう!

本記事の情報は2023年8月時点のものです!Wordfence Security及び関連するツールやサービス等最新の情報を確認するようにしてください!

目次

Wordfence Securityとは?

Wordfence Securityとは?
Wordfence Securityとは
Wordfence Security
Wordfence Security

Wordfence SecurityWordPressのセキュリティを強化するプラグインです。

有効インストール数はなんと4,000,000以上!

Wordfence は、世界で最も優れた WordPress セキュリティ研究チームとして広く認められています。当社のプラグインは包括的なセキュリティ機能を提供し、当社のチームの研究成果がプラグインを支え、当社が知られるセキュリティレベルを提供しています。

引用元:Wordfence – 最も人気のある WORDPRESS ファイアウォールとセキュリティスキャナー

とあるように、その信頼性から世界で非常に多くの方が利用しているWordPressセキュリティプラグインと言えます。

ハセブロ

アメリカのシアトルに本社を置く、WordPress セキュリティに関する幅広い専門知識と資格を持つセキュリティ専門家のグループであるDefiantという会社が運営するプラグインです!

Wordfence Securityの特徴

Wordfence Securityの特徴
Wordfence Securityの特徴

FREE(無料版)と有料版

Wordfence ライセンス選択画面
Wordfence ライセンス選択画面

WordfenceFREE(無料版)有料版があります。

無料版と有料版の比較をご確認いただくと、それぞれの違いが分かりやすく記載されています!

本記事ではFREE(無料版)を利用する前提で進めていきます。

Wordfence FREE(無料版)の特徴

以下は、Wordfence FREE(無料版)に備わっている主な機能/サービスをピックアップしてまとめたものです。

スクロールできます
カテゴリー機能Wordfence FREE
ファイア
ウォール
Wordfence ファイアウォールルールは30日の遅延
ブルートフォースプロテクション
レート制限
ログイン
セキュリティ
2FA(二要素認証)
RECAPTCHA
通知侵入アラート
スキャンWordfence マルウェア スキャナーシグネチャは30日の遅延
スケジュールされたセキュリティ スキャン3日ごと
プラグイン/テーマの脆弱性監視
ファイル変更の検出
無料版と有料版の比較を参考に作成

FREE(無料版)は、Wordfence ファイアウォールのルールやマルウェアスキャンのシグネチャに30日の遅延があるなどの制限はありますが、充実したセキュリティ対策が行えるプラグインです。

外部からの攻撃や侵入を防ぐ

Wordfenceファイアウォールログインセキュリティは、外部からの攻撃や侵入を防ぐ重要な機能です。

スクロールできます
機能
Wordfence ファイアウォール多くの一般的な Web ベースの攻撃だけでなくWordPress および WordPress のテーマとプラグインを特にターゲットにした大量の攻撃からも保護
ログインセキュリティサイトで許可されるログイン試行回数を制限する
無効なユーザー名を試行するユーザーをブロックする

以下イメージは、WordPressの管理画面から「Wordfence」→「ファイアーウォール」で確認できる、「ブロックした総攻撃数:Wordfence ネットワーク」データです。(2023年7月25日から30日間記録されたデータ)

ブロックした総攻撃:Wordfence ネットワーク 30日(2023年8月25日)
ブロックした総攻撃数Wordfence ネットワーク 30日2023年8月25日時点

以下は、測定期間の最大値最小値をピックアップしたイメージです。

2023年7月25日~8月25日までの最大値
2023年7月25日から30日間の最大値
2023年7月25日から30日間の最小値
2023年7月25日から30日間の最小値

多い日で398,977,927/日、少ない日でも290,960,331/日という、とてつもない数の攻撃がブロックされています。

ケタ間違えてないか?と思ってしまうくらい、多くの攻撃がほぼ毎日のように起こっているということなんですね…。

ハセブロ

こうしたデータから、Wordfenceが外部からの攻撃を24時間365日外部からの攻撃をブロックしてくれているということも分かりますね!

Wordfenceを導入すると、Wordfenceネットワークがブロックした総攻撃数を、24時間/30日間のデータをそれぞれ確認できます。

内部の状態を確認する

Wordfence スキャン
Wordfence スキャン

Wordfenceには外部の攻撃や侵入を防ぐだけでなく、内部の状態をチェックするスキャン機能も備わっています。

FREE(無料版)でスキャンする項目

  • サーバーの状態
  • ファイルの変更
  • マルウェアスキャン
  • コンテンツの安全性
  • 公開ファイル
  • パスワード強度
  • 脆弱性スキャン
  • ユーザー & オプションの監査

FREE(無料版)は、スキャンは3日ごとに行われることや、スキャン対象にも若干制限があります。

それでも、サーバーの状態マルウェアスキャンコンテンツの安全性脆弱性スキャンなどを定期的にスキャンしてくれるので安心できますよね。

ハセブロ

外部からの攻撃や侵入を防ぎ、内部の状態も確認してくれるWordfence強力なセキュリティ対策プラグインですね!

Wordfence Securityのインストールと有効化

Wordfence Securityのインストールと有効化
Wordfence Securityのインストールと有効化

それではWordfence Securityのインストールと有効化をしていきましょう。

STEP
【WordPress】インストールと有効化
Wordfence Securityを検索
Wordfence Securityを検索

「プラグインを追加」からWordfence Securityを検索しましょう。

Wordfenceのインストール
インストール

表示されたら使用中のWordPressのバージョンと互換性があるか確認しましょう。

「今すぐインストール」をクリックします。

Wordfenceを有効化
有効化

「有効化」をクリックします。

Wordfenceのライセンス取得
ライセンスの取得

「GET YOUR WORDFENCE LICENSE」と書かれたボタンをクリックします。

STEP
【Wordfence】Freeライセンスの登録
Wordfence ライセンス選択画面
Wordfence ライセンス選択画面

Wordfenceのライセンス選択ページが開きます。

Wordfence Freeライセンスの取得
Freeライセンスの取得

「Wordfence FREE」「Get a Free License」をクリックします。

30日間の遅延に同意する
30日間の遅延に同意する

イメージのような画面がポップアップします。

書かれていることをざっくりまとめると、以下2点です。

  • Free(無料版)はファイアウォールルールとマルウェアスキャンのシグネチャが30日遅延する
  • リアルタイムで取得したいなら有料版が必要

Free版(無料版)の条件に同意できる方は、「I’m OK waiting 30 days for protection from new threats」をクリックしましょう。

Register
Register

Register画面に変わります。

  • メールアドレスを入力
  • 通知の受け取り:「Yes」を選択
  • 規約等の同意ができたらチェック

して「Register」をクリックしましょう。

メールが送信される
メールが送信される

ライセンスキーをメールに送ったので、確認の上インストールを完了するよう促す画面に変わります。

メールを確認しましょう。

STEP
【メール】メールアドレスに届いた内容を確認
届いたメール
届いたメール

届いたメールを確認するとボタンがありますね。

「Install My License Automatically」をクリックしましょう。

STEP
【WordPress】Wordfenceのライセンスインストール
Wordfenceのライセンスインストール
Wordfenceのライセンスインストール

「Wordfenceのインストール」の画面に、自動的にメールアドレスライセンスキーが入力されています。

「ライセンスインストール」のボタンをクリックしましょう。

画面右下に表示される作業中のイメージ
画面右下に表示される作業中のイメージ

画面下に「Wordfenceは作業中」が表示されます。

若干時間がかかりますので待ちます。

無償ライセンスインストール済み
無償ライセンスインストール済み

無事インストールが終わると「無償ライセンスインストール済み」の画面がポップアップします。

「ダッシュボードへ」をクリックしましょう。

Wordfence Securityの設定方法

Wordfence Securityの設定方法
Wordfence Securityの設定方法

つづいてWordfence Securityの設定をしていきます。

Wordfence Securityの設定項目

Wordfenceで設定する4つの項目
設定する4つの項目

Wordfence Freeで設定する項目は、主に以下の4点です。

Wordfence Securityの設定項目

  • ファイアウォール
  • スキャン
  • ログインセキュリティ
  • 通知

では一つ一つ進めていきましょう!

①ファイアウォール

Wordfence ファイアウォール
ファイアウォール

はじめにファイアウォールの設定をしていきます。

ファイアウォールの基本オプション

STEP
ダッシュボードの確認
Wordfence:ダッシュボード
Wordfenceダッシュボード

WordPressの管理画面から、「Wordfence」→「ダッシュボード」をクリックします。

Wordfence ファイアウォールを管理
ファイアウォールを管理

ダッシュボード画面が表示されたら、「ファイアウォールを管理」をクリックします。

STEP
Webアプリケーションファイアウォールの状態
Webアプリケーションファイアウォールの状態
Webアプリケーションファイアウォールの状態

「ファイアウォールのオプション」画面に変わります。

まずは「Webアプリケーションファイアウォールの状態」を確認しましょう。

学習モードと学習期間
学習モードと学習期間

以下3つを確認しましょう。

  • 「学習モード」が選択されている
  • 「次のとき自動的に有効化」にチェックが入っている
  • 日付が1週間後になっている

Wordfence1週間ブログやサイトを学習し、どのように保護するか、どのように普通の訪問者をファイアウォールに通すかを理解します。

ハセブロ

1週間の学習が終了すると、「学習モード」から「有効であり保護中」に変わります。

STEP
保護レベルの設定
保護レベル
保護レベル

次は「保護レベル」を設定します。

「WORDFENCE ファイアウォールの最適化」をクリックします。

Wordfenceファイアウォールの最適化
Wordfenceファイアウォールの最適化

「Wordfenceファイアウォールの最適化」をするために、サーバーの動作を制御する.HTACCESSファイルが書き換えられます

①選択されたサーバーの確認

Wordfenceがテストに基づいて選択しています。

僕の場合選択されているのは、「LiteSpeed/Isapi(recommended based on our tests)」です。

サーバー構成が変わっている場合は選択し直すなど、記載された注意事項をよく読んで適切に対応しましょう。

.HTACCESSをダウンロードし安全な場所に保管

万が一うまくいかなかった場合などに、.HTACCESSを元に戻すためです。

「次へ」をクリックします。

インストール成功
インストール成功

「インストール成功」が表示されたらOKです。

「閉じる」をクリックしましょう。

STEP
ファイアウォールの基本オプションの設定後
ファイアウォールの基本オプションの設定後
ファイアウォールの基本オプションの設定後

イメージは、「ファイアウォールの基本オプション」を設定した後の画面です。

ブルートフォース保護

「ファイアウォールのオプション」画面を下にスクロールし、「ブルートフォース保護」の項目を表示しましょう。

STEP
ブルートフォース保護を有効化設定
ブルートフォース保護
ブルートフォース保護

まずは「ブルートフォース保護を有効化」「オン」になっていることを確認しましょう。

この後、イメージにある2つの赤枠を一つずつ設定していきます。

STEP
ロックアウト設定
ブルートフォース保護 デフォルトの設定
デフォルトの設定

まずはロックアウト回数と期間の設定から解説しますね。

デフォルトでは、以下の内容で設定されています。

順番 項目設定
何回ログインに失敗するとロックアウトされるか 20
何回パスワードを忘れたらロックアウトするか20
どの期間の失敗をカウントするか4
時間
ユーザーをロックアウトする期間 4
時間
デフォルト値

なぜ①と②が20回で設定されているかというと、以下が根拠のようですね。

実際のユーザーがパスワードを忘れて、ユーザー名やパスワードを思い出そうとしている間に、最大 5 回以上のログイン試行が発生することがよくある~中略~したがって、これを 20 に設定することをお勧めします。

引用元:Wordfence ヘルプ – ブルート フォース プロテクション

一般的な傾向から設定されているようです。

失敗回数とロックアウト期間の組み合わせ方は、以下が参考になります。

たとえば、失敗数を 20 に設定し、期間を 5 分に設定し、このオプションを 5 分に設定した場合、攻撃者は 5 分ごとに 20 件の推測しか得られず、攻撃が行われるまで 5 分間待機する必要があります。

~中略~

ロックアウトされてからちょうど 5 分後に攻撃を再開できると想定した場合、その結果、10 分ごとに 20 回の推測しか得られず、1 日あたり 2880 回の推測しか得られません。

引用元:Wordfence ヘルプ – ブルート フォース プロテクション

上記の引用部分を図にしたものが、以下です。

Wordfenceのドキュメントを参考に図示
Wordfenceのドキュメントを参考に図示

Wordfenceのドキュメントには、以下のような記述もあります。

ある程度強力なパスワードを使用している場合、パスワードを正しく推測するには何千回もの推測が必要になります。

引用元:Wordfence ヘルプ – ブルート フォース プロテクション
ハセブロ

とはいえ、心配症の僕は攻撃(推測)可能な回数が2880回/日って結構多いかも?と感じてしまいました…。

上記を踏まえて、現時点で僕に適するであろう設定を参考程度にご紹介します。

推奨設定ではないことを予めお伝えします。

僕のブルートフォース保護設定
僕の設定

僕はログイン時に、2回程打ち間違えによる失敗がたまにあります…。

それでも5回あれば十分猶予はあるので5回に設定。

ロックアウト期間が長すぎると、自分がロックアウトされた場合に支障をきたしてしまう可能性があるので、デフォルトの4時間くらいが許容できる時間かなと感じました。

これなら1日に攻撃(推測)できる回数もぐっと減らすことができますよね。

ハセブロ

厳しすぎる設定にすると自分の首も絞めてしまうことになりかねないので、バランスを見て設定するようにしましょうね!

STEP
無効なユーザー名を即座にロックアウト

「無効なユーザー名を即座にロックアウトする」設定も行っておきましょう。

ユーザー名をadminとしてログインを試みる場合は即座にロックアウトするという設定を例に解説します。

  • WordPressインストール時にユーザー名を変更しないとadminになる
  • ユーザー名を変更せずadminのままインストールする人もいる
  • 推測しやすいadminでログインを試みる攻撃者が多い

というのが理由です。

ハセブロ

設定前に「ログイン試行回数」「失敗」でブロックされた一覧を確認した所、adminで試行したものがずらっと並んでいました…。admin狙われやすいユーザー名であることがよく分かりましたね。

この設定は、ユーザー名がadminではない方が対象です!

もしユーザー名がadminの場合、自分も即座にロックアウトされてしまうことにご注意ください!

無効なユーザー名を即座にロックアウトする
無効なユーザー名を即座にロックアウトする

「無効なユーザー名を即座にロックアウトする」にチェックを入れましょう。

空欄にadminを入力してEnterを押すと、無効なユーザー名にadminが登録されます。

投稿者アーカイブURLのユーザー名の発見を防ぐ

STEP
追加オプションの確認

「ファイアウォールの基本オプション」の中でピックアップしたいものがあります。

「ブルートフォース保護」「追加オプション」を確認しましょう。

追加オプション
追加オプション

「’/?author=N’スキャン、oEmbed API、WordPress REST APIおよびWordPress XMLサイトマップによるユーザー名の発見を防ぐ」にチェックが入っていることを確認してください。

これは投稿者アーカイブページを開けない(検索されない)ようにする設定です。

ハセブロ

投稿者アーカイブページを開くとユーザー名がURLに表示されてしまうのでセキュリティ的には不安ですもんね…。


投稿者アーカイブページについては、「【初心者向け】XML Sitemap & Google Newsの設定方法と使い方を解説!サーチコンソールとの連携も!」でも取り上げて解説しています。

STEP
投稿者アーカイブURLを入力し確認
投稿者アーカイブURL入力
投稿者アーカイブURL入力

Wordfenceの設定によって、投稿者アーカイブページがどうなるか確認してみましょう。

https://自分のドメイン/?author=1を検索ブラウザに入力して開いてみて下さい。

表示されたページ
表示されたページ

「ページが見つかりませんでした。」などのページに遷移するようになります。

URLにユーザー名も表示されません。

イメージは僕のテーマのものなので、見え方は異なります。

②スキャン

Wordfence スキャン設定
スキャン

つづいて、内部の状態を確認するスキャンを設定しましょう。

STEP
スキャンの手順
Wordfence:スキャン
Wordfenceスキャン

WordPressの管理画面から、「Wordfence」→「スキャン」をクリックします。

新しいスキャンを開始
新しいスキャンを開始

初めてスキャンを開いた場合、ガイドがポップアップします。

「了解」をクリックしてポップアップを閉じ、「新しいスキャンを開始」をクリックしましょう。

STEP
初回スキャン
スキャン開始
スキャン開始

スキャンが終わるまで待ちます。

サーバー状態に「!」がついた
サーバー状態にがついた

終了しましたが、「サーバーの状態」がついています。

スキャン設定の変更が必要
スキャン設定の変更が必要

内容を確認すると、サーバーに問題があるのではなく「スキャン設定」を変更する必要があるようです。

スキャン設定を開く
スキャン設定を開く

「スキャン」の画面で「スキャンを管理」もしくは「スキャンオプションとスケジューリング」のどちらかをクリックして「スキャン設定」を開きましょう。

STEP
スキャン設定の変更
スキャン設定
スキャン設定

「スキャン設定」の下の方に、該当する項目があります。

WordPressインストール外のファイルをスキャン
WordPressインストール外のファイルをスキャン

「WordPressインストール外のファイルをスキャン」にチェックを入れましょう。

スキャンの画面に戻ります。

STEP
再度スキャンを開始
再スキャン
再スキャン

改めて「新しいスキャンを開始」でスキャンをしてみて下さい。

サーバーの状態も問題がなくなった
サーバーの状態も問題がなくなった

「サーバーの状態」にもがついたらOKです。

ハセブロ

Wordfence Free(無料版)3日ごとにスキャンされますよ!

③ログインセキュリティ

Wordfence Securityログインセキュリティ
ログインセキュリティ

いよいよ設定も終盤です!ログインセキュリティの設定をしていきましょう。

ログインセキュリティの設定は、以下2つです。

  • 2FA(二要素認証)
  • reCAPTCHA

それでは一つずつ設定していきましょう。

2FA(二要素認証)

2FA(二要素認証)から設定します。

Authenticatorアプリが必要になりますので、アプリを持っていない方は準備をしておきましょう。


Authenticatorアプリ

Authenticatorアプリの導入方法と使い方については、【2024年版】初心者でも簡単!WordPress ブログの始め方をやさしく解説!の記事中で解説しています!ご参考くださいませ。

STEP
ログインセキュリティ:二要素認証
Wordfence:ログインセキュリティ
Wordfenceログインセキュリティ

WordPressの管理画面から、「Wordfence」→「ログインセキュリティ」をクリックします。

STEP
二要素認証の設定
二要素認証
二要素認証

「二要素認証」の設定画面が開きます。

まず、リカバリーコードをダウンロードして安全な場所に保管しておきましょう。

Authenticatorアプリで画面に表示されているQRコードを読み取り、Wordfenceを紐づけます。

コードを入力し有効化
コードを入力し有効化

Wordfence「二要素認証」画面の空欄に、Authenticatorアプリに表示されたコードを入力しましょう。

「有効化」をクリックします。

STEP
二要素認証の有効化完了
二要素認証の有効化が完了
二要素認証の有効化が完了

画面が変わり、有効化されたメッセージが表示されたらOKです。

reCAPTCHA

もう一つのログインセキュリティreCAPTCHAを設定します。

この設定に、reCAPTCHA v3サイトキーとシークレットキーが必要になります。

まだreCAPTCHA v3ブログやサイトが登録できていない方は登録をしておきましょう。


\ reCAPTCHA v3の導入方法 /

reCAPTCHA v3の準備ができていない方は、「Contact Form 7の使い方・カスタマイズ方法を初心者向けにわかりやすく解説!【reCAPTCHA v3導入】」の記事で詳しく解説していますので、ご参考くださいませ!

準備ができたら進めていきましょう。

STEP
【WordPress】ログインセキュリティ:reCAPTCHAの設定
reCAPTCHA 設定
設定

先ほどの「二要素認証」の横に「設定」のタブがあるのでクリックします。

reCAPTCHA
reCAPTCHA

画面を下にスクロールすると、「reCAPTCHA」の設定項目があります。

「ログインページとユーザー登録ページでreCAPTCHAを有効にする」にチェックを入れます。

STEP
【Google reCAPTCHA】サイトキーとシークレットキーをコピー
Google reCAPTCHA
Google reCAPTCHA

Google reCAPTCHAのページで、サイトキーとシークレットキーをそれぞれコピーします。

STEP
【WordPress】Wordfenceでサイトキーとシークレットキーを入力
サイトキーとシークレットキーの入力
サイトキーとシークレットキーの入力

WordPressに戻り、先ほどコピーしたサイトキーとシークレットキーをそれぞれ空欄にペーストして入力します。

ログイン確認

一度ログアウトしてから、改めてログインページから「ユーザー名」「パスワード」を入力して進みましょう。

2FA(二要素認証)のチェック
2FA二要素認証のチェック

イメージのような2FA(二要素認証)の画面になり、右下にreCAPTCHAアイコンが表示されていたらOKです。

Authenticatorアプリに表示されたコードを入力
Authenticatorアプリに表示されたコードを入力

Authenticatorアプリに表示されたコードを空欄に入力し、「ログイン」をクリックします。

WordPressの管理画面が開いたらOKです。

④通知

Wordfence Security 通知
通知

それでは最後に、通知を設定しておきましょう。

STEP
通知メールの設定
Wordfence:すべての設定
Wordfenceすべての設定

WordPressの管理画面から、「Wordfence」→「すべての設定」をクリックします。

通知メールの設定
通知メールの設定

画面を下にスクロールすると、「通知メールの設定」があります。

「通知メールの設定」は各項目を確認し、必要なものにチェックを入れておきましょう。

ハセブロ

僕はほとんどデフォルトのままですが、以下を変更しています。

STEP
設定変更
設定変更
設定変更

デフォルトでは「管理者権限のある人がサインインしたときにアラートする」にチェックが入っています。

これだと、自分がログインしたら毎回メール通知が来てしまうのでチェックを外します。

しかし、「管理者以外のユーザーがサインインしたときにアラートする」にチェックが入っていないので、チェックを入れます。

ハセブロ

以上でWordfence Security FREEの設定は完了です!お疲れ様でした!

まとめ:Wordfence Securityで安心感がアップ

今回は「【WordPressセキュリティ強化】Wordfence Securityの設定方法と使い方をやさしく解説!」という記事を書きました。

WordPressは、カスタマイズが自由で自分がオーナーとなってブログやサイトを運営できるメリットがありますが、保守メンテナンスも自分で行う必要があります。

特にセキュリティ対策については、運営において必須項目ですよね。

でも正直難しいことが多くてどうしたらいいかわからない…。

そんな方には、強力なセキュリティ機能で僕たちのWordPressを守ってくれるWordfenceがオススメです!

WordfenceWordPressのセキュリティを強化して、記事作成やSEO対策、分析やデザインのブラッシュアップなどに集中できるようにしましょう!

以上、ハセブロでした。

最後までお読みいただきありがとうございます!

よかったらシェアしてね!
  • URLをコピーしました!
目次