[PR] WordPress苦手主婦のためのWordPress専門コミュニティ「MasterPress®︎」詳細はこちら

Wordfence SecurityでWordPressを守る!設定方法と使い方

WordPressを守るためにセキュリティ対策プラグイン「Wordfence Security」を入れたい。ただ、難しそうなので設定方法と使い方を教えて欲しい。

ゆか

このような悩みを解決するための記事を書きました。

私は、ワードプレス専門家として活動していて、今までワードプレスを200名以上に教えてきました。そんな私が解説します!

WordPressプラグイン「Wordfence Security」は、いろいろなセキュリティ対策プラグインがある中で最も包括的なセキュリティプラグインです。

Wordfence Securityでできるセキュリティ対策

ファイアウォール・マルウェアスキャン・ログインセキュリティ・リアルタイムモニタリング・セキュリティ通知・ブロック機能・アクセス制御・セキュリティ監査とレポートなど…

これらはWordfence Securityが提供する基本的なセキュリティ機能の一部です。

「Wordfence Security」を入れるだけでこれだけのことが可能なのですが、ただ画面が英語表記なのと、機能が多い分設定が難しいのでハードルが高いです。

嬉しいことに、設定画面は日本語対応しました!ライセンス取得のみ英語表記になっています。

そこで、今回は「Wordfence Security」の設定方法と使い方を分かりやすく丁寧に解説します。

この記事を読み、大切なWordPressブログを守っていきましょう!!

・新しいプラグインを入れるときは、念のためバックアップを取っておくことをおすすめしています!
・もうすでに他のセキュリティ対策などのプラグインを入れている場合は、そちらは無効化してインストールするようにしてください。
例)SiteGuard WP Plugin / Invisible reCaptcha for WordPressなど

WordPressのパスワード管理なら「1Password」

1Passwordは、パスワード管理ツールの一つで、さまざまなウェブサイトやアプリケーションのログイン情報を安全に保存・管理できます。

  • 1Password3年版1人用:12,800円▶️ 9,400円(26%OFF)

※2024年12月6日まで

ソースネクスト経由で公式サイトよりお得に!!

Wordfence Securityとは

Wordfence Securityは、WordPressを使用するウェブサイトのためのセキュリティプラグインです。

不正アクセスやハッキング、マルウェアからサイトを守る多機能を備えております。

このプラグインは、簡単にインストールできる上、サイトの安全を維持するための強固な防御力を提供しているのです。

【2024年1月現在の情報】

利用者がとても多く、プラグインの更新も定期的に行われているので、安心して使えるプラグインかなぁと思います。

Wordfence Securityの基本機能

Wordfenceの基本機能の一部をご紹介します。

  1. ファイアウォール機能
    • Webアプリケーションファイアウォール(WAF)が、悪意あるトラフィックをブロックし、サイトを攻撃から保護します。
    • リアルタイムのIPブラックリストにより、既知の攻撃者をサイトから遠ざけます。(リアルタイムのIPブラックリストは有料機能)
  2. マルウェアスキャン
    • WordPressサイトのファイル、テーマ、プラグインをスキャンして、マルウェアやバックドア、SEOスパム、悪意あるリダイレクトなどを検出します。
    • コアファイル、テーマ、プラグインをWordPress.orgのリポジトリと比較し、改ざんを検出します。
  3. ログインセキュリティ
    • ブルートフォースアタック(総当たり攻撃)から保護し、ログイン試行の制限を設けます。
    • 2要素認証(2FA)を提供し、セキュリティを強化します。
  4. リアルタイムモニタリング(リアルタイムでのファイアウォールルールとマルウェア監視は有料機能):
    • トラフィックやハッキングの試みをリアルタイムで監視し、迅速に対応できます。
    • ライブトラフィックビュー機能で、訪問者の動きやハッカーの試みをリアルタイムで追跡します。
  5. セキュリティ通知
    • セキュリティ関連の警告やアップデートを電子メールで通知します。
  6. ブロック機能
    • 悪意あるIPアドレスやユーザーエージェントをブロックします。
    • 国別のブロック設定を行い、特定の国からのアクセスを制限します。
  7. アクセス制御
    • WordPressの特定の機能やページへのアクセスを制限します。
  8. セキュリティ監査とレポート
    • サイトのセキュリティ状態を評価し、問題点を報告します。
    • 定期的なセキュリティレポートを提供します。

これらはWordfence Securityが提供する基本的なセキュリティ機能の一部です。

プラグインのバージョン(無料版または有料版)によって利用可能な機能に違いがあるため、具体的なニーズに応じて適切なバージョンを選択することが重要です。

Wordfence Securityのインストール方法

Wordfence Securityのプラグインを使うには、まずはインストールが必要です。

インストール方法を見ながら一緒に進めてみてください(^O^)/

ワードプレスのダッシュボードを開いて、左のメニューから「プラグイン」>「新規プラグインを追加」をクリックしてください。

プラグインの追加画面が開いたら、右上の検索窓に「Wordfence Security」と入力します。

プラグインが表示されたら「今すぐインストール」をクリックしてください。

有効化という表示に変わったら、必ず「有効化」をクリックしてください。

WordPress プラグインは、有効化しないと利用できません。

これでWordfence Securityのプラグインのインストールが完了です!!

Wordfence Securityのプラグインを有効化すると、すぐに「Wordfenceライセンス取得」画面が表示されます。そのまま無料ライセンスの取得をしていきましょう!

Wordfence Securityの無料ライセンス取得方法

インストールに成功しましたという表示に「WORDFENCE ライセンスを入手」というボタンがあるのでクリックします。

Wordfenceの公式サイトに遷移しますので、「Get a Free License」をクリックします。

「Are you sure you want delayed protection?」というポップアップが表示されますので、ボタン下にある「I’m OK waiting 30 days for protection from new threats.」をクリックしてください。

「Are you sure you want delayed protection?」は遅延保護を本当に実行しますか?と書かれています。これは、プレミアムにした方がリアルタイムでのファイアウォールとマルウェア監視ができるよということが書かれていて本当に無料版でいいの?という確認画面です。

なので、青いボタンには「I’d like real-time protection!(リアルタイム保護が必要です)」と書かれていて、クリックすると有料プランの申し込みに進みます。

「Get Wordfense Free」という画面が表示されますので必要事項の入力とチェックをし、「Register」をクリックします。

  • Email:メールアドレスを入力(ライセンスキーを受け取るためのメールアドレス)
  • Would you like WordPress security and vulnerability alerts sent to you via email?:メールでレポートを受け取るかどうか→Yesを選ぶ
  • 利用規約の同意にチェック

ライセンスキーが登録のメールアドレスに送信されたので、メールを確認してください。

メールフォルダを確認すると以下のようなWordfenceからのメールが届いています。

このメール本文の中に以下のような「Install My License Automatically」と書かれたボタンがあるのでクリックします。

ボタンをクリックするとライセンスキーが自動インストールされるようになっています。

ワードプレスの管理画面に遷移し「Wordfence のインストール」画面が開きますので、「ライセンスインストール」ボタンをクリックしてください。

「無償ライセンスインストール済み」と表示されますので、これで無料ライセンス登録が完了です。

Wordfence Securityの初期設定方法

Wordfence Securityのダッシュボードを開いた時に以下のようなガイドが表示されます。このガイドは、「次」をクリックして進めてOKです。

Wordfence Securityのインストールと無料ライセンス取得が完了したら、初期設定「ファイアウォール最適化」を行いましょう!

ファイアウォール設定とは?

ファイアウォール設定とは、インターネットからの不正なアクセスや攻撃を防ぐための第一線とされる機能です。入り込む可能性のある不審な通信を検知し、ブロックするという役割があります。適切なファイアウォールの設定を行うことは、WordPressを守るために極めて大切なことなのです。

Wordfence Securityのファイアウォール最適化方法

Wordfence Securityのプラグインを入れると上部にこのような表示が出てきますので「設定するにはここをクリック」をクリックします。

以下のようなポップアップが開きますので、「.HTACCESSをダウンロード」をクリックします。※.HTACCSESSファイルのバックアップがPCにダウンロードされます。

2024年6月追記:現在ダウンロードするファイルが2つになっています。

「.HTACCESSをダウンロード」と「.USER.INIをダウンロード」、どちらのファイルもダウンロードしてください。

上記の画面で注意しておきたいことがあります。

設定しようとしているドメインでサブディレクトリのサイトを作っている場合、先にサブディレクトリのサイトにも「Wordfence」を入れて、先にそちらの設定から行ってください。

サブディレクトリとは、簡単に説明すると下記のようにベースのURLの後ろに/(スラッシュ)を挟んで別の単語を入れた別のワードプレスサイトのことです。

「 https://yuka001.com/bbb 」

それと、「Apache + suPHP(recommended based on our tests)」の部分はファイアウォールのテストに基づいて推奨されるモノを選択してくれます。

「.HTACCESSをダウンロード」と「.USER.INIをダウンロード」が完了しましたら「次へ」をクリックします。

インストール成功という画面が表示されます。

これでファイアウォール最適化設定が完了です。

ファイアウォールの「ラーニングモード(学習モード)」

Wordfence Securityプラグインを初めて導入したとき、ファイアウォールは最適化のためにラーニングモード(学習モード)に入ります。

ラーニングモード(学習モード)というのは、ファイアウォールがサイトについてどのように保護したらいいのか、どんな相手と通信しているのかを学習するための機能です。

インストールしてから1週間が学習モード期間として設定されています。

Wordfence Securityの使い方

Wordfence Securityでやっておきたいセキュリティ対策は以下のとおりです。

ブルートフォース保護設定

まずはブルートフォース保護設定についてです。

ブルートフォースとは

WordPressに不正アクセスをするために、パスワードやユーザー名全ての可能な組み合わせを手当たり次第試す攻撃手法のこと。

セキュリティ対策をしないでパスワードが単純なモノだと、簡単にログインされる危険性があります。

まずは、ワードプレスの管理画面の左のメニュー「Wordfence」>「すべてのオプション」をクリックします。

すべてのオプションが開いたら、ファイアウォール設定>ブルートフォース保護を開きます。

ブルートフォース保護が開いたら、ブルートフォース保護を有効化がONになっているのを確認します。

ブルートフォース保護を有効化を確認したら、その下のログインに失敗した時の設定を行います。

以下はわたしの設定ですが、セキュリティ的に強めにしています。

上の項目から詳しく説明します。

  • ログイン失敗によるロックアウト設定:ユーザーが指定回数ログインに失敗すると、そのIPアドレスは指定された期間ロックアウトされます。
    (回数は少なくするほど、セキュリティが強くなりますが、自分自身もロックアウトされないように気をつけてください。)
  • 「パスワードを忘れましたか?」機能の制限:「パスワードを忘れましたか?」機能の使用を制限する回数を設定できます。(回数は少なくするほど、セキュリティが強くなりますが、自分自身もロックアウトされないように気をつけてください。)
  • カウントされる失敗の期間設定:特定の期間内に許可されるログイン失敗回数を設定します。
    例えば、最初のログイン失敗の回数が5回で期間設定を5分にした場合、5分間に5回ログインに失敗したらロックされます。
  • ロックアウトされる期間の設定:ユーザーがロックアウトされる期間を設定できます。時間を長く設定すると、1日あたりの攻撃者による推測回数が減少します。

ユーザー名やパスワード入力を失敗しやすい方は、こちらの設定くらいがちょうど良いと思います。

下に進んで「無効なユーザー名を即座にロックアウトする」にチェックを入れ、その下にある「即座にブロックするユーザー名」を入力します。

「即座にブロックするユーザー名」は、ハッカーがよく使うユーザー名を入力しておくのがいいので「admin」「1」「author」などをブロックすると良いです。

次の「情報漏えいで流出したパスワードの使用防止」のチェックはあり、「管理者のみ」にしておいてください。(デフォルトのままでOK)

追加オプションの設定はデフォルトのままでOKです。

上から内容を解説します。

  • 強力なパスワードの強制
    • 「管理者と発行者」または「すべてのメンバー」に対し、強力なパスワードの使用を強制します。
    • 強力なパスワードは、最低12文字で、大文字、小文字、数字、記号を含み、重複やシーケンスを避ける必要があります。
  • ログインエラーの一般的なメッセージ表示
    • ログインに失敗した時にユーザー名が正しいかどうかを特定させずに一般的なエラーメッセージを表示し、ユーザー名の漏洩を防ぎます。
  • 「admin」ユーザー名の使用防止
    • 「admin」というユーザー名でのアカウント登録を防ぐことで、システム上の混乱を防ぎます。
  • ユーザー名の検出防止
    • 特定のURLやAPIを使用したユーザー名の検出を防ぎます。
    • ただし、テーマやプラグインによるユーザー名の漏洩は防げない場合があります。
  • WordPressアプリケーションパスワードの無効化
    • サードパーティのアプリケーションやサイトにアクセスするためのアプリケーションパスワードを無効にします。
  • 空白のユーザーエージェントとリファラーを持つPOSTリクエストのブロック
    • 空のUser-AgentとRefererヘッダーを持つPOSTリクエストをブロックし、その発信元のIPアドレスもブロックします。(使用しない)
  • カスタムテキストのブロックページ表示
    • ブロックされた訪問者やボットに対して、カスタムメッセージを表示することができます。(使用しない)
  • プロファイル更新時のパスワード強度チェック
    • ユーザーがプロファイルを更新する際に弱いパスワードを指定した場合、サイト管理者に通知する。
  • リアルタイムWordfenceセキュリティネットワークへの参加
    • ハッキングの試みに関するデータを共有し、悪意のある活動を行っているIPアドレスをリアルタイムでブロックする。

以上が、ブルートフォース保護設定です。

ユーザー名の検出防止でURLを介したユーザー名の検出をガード

WordPressのデフォルト設定では、特定のURL形式(例:example.com/?author=1)でユーザー名が露呈することがあります。

上記のような感じで、URLからユーザー名が得られないように設定を変更する必要があります。

このユーザー名の検出のガードは、追加オプションの「’/?author=N’ スキャン」のチェックが入っていたらOKです。

補足:WordPressのパスワード管理ができない方へ

ちなみに、ワードプレスには複雑なパスワードを使うことが推奨されていますが、パスワードが覚えられないと不安という方も多いと思います。

そんな方におすすめしたいのが、「1Password(ワン・パスワード))」です。

1Password(ワン・パスワード)は、パスワード管理ツールの一つで、さまざまなウェブサイトやアプリケーションのログイン情報を安全に保存・管理できます。

ゆか

わたしもヘビーユーザーなのですが、「1Password」を使い始めてから、かなりパスワード管理が楽になりました♪

「1Password」はソースネクスト経由だと公式サイトよりお得に申し込みができます。

> ソースネクスト「1Password」はこちら

ログインセキュリティの設定>reCAPTCHAを設置

reCAPTCHAは、Googleが提供しているスパム対策ができる無料セキュリティサービスです。

通常、ワードプレスにreCAPTCHAを設定する場合は、プラグインを入れるかコンタクトフォーム7を使っている方はインテグレーションから設定することが可能です。

Wordfenceには、そんなreCAPTCHAの機能がついていますので、設置方法を解説します。

reCAPTCHA V3のサイトキーとシークレットキーを取得する方法

①まずは、reCAPTCHA の設定に必要なreCAPTCHA V3のサイトキーとシークレットキーを取得してください。

> Google reCAPTCHAの取得ページを開く

②「v3Admin Console」をクリックします。

上部にある「+」をクリックします。

「新しいサイトを登録する」のページが開いたら、上から必要事項を入力します。

  • ラベル…ご自身のブログURLまたはブログ名を入力
  • reCAPTCHAタイプ…reCAPTCHA v3を選択。(AIが自動で判別してくれるタイプになります)
  • ドメイン…ご自身のブログのドメインを入力

全部出来たら『送信』ボタンをクリックします。

サイトキーとシークレットキーが表示されますので、このキーは後から必要なのでこのまま開いておいてください。

ワードプレスのダッシュボードのメニュー「Wordfence」>ログインセキュリティをクリックします。

ログインセキュリティの設定が開いたら「設定」タブに切り替えます。

設定画面の「reCAPTCHA」までスクロールします。

reCAPTCHAの有効にチェックをして、最初に取得したサイトキーとシークレットキーをコピペします。

設置が完了したら、ページ上部の「保存」をクリックしてください。

以上で、reCAPTCHAの設置が完了しました。

ログイン画面を開いた時に右下に、以下のようなリサイクルマークみたいなロゴが入っていたら、ちゃんと設置できています。

2段階認証の設定

2段階認証(二要素認証、2FA)は、アカウントのセキュリティを強化するための手法。パスワードだけでなく、ユーザーが所有するもの(通常は携帯電話)やユーザー自身の特徴(生体認証)など、2つの異なる認証要素を使用します。

Wordfence Securityでは、2段階認証ができますので、セキュリティ強化のために設定しておきましょう。

2段階認証のためのアプリをスマホに入れる

Wordfence Securityの2段階認証には、Google Authenticator、FreeOTP、Authy などのアプリをスマホに入れておく必要があります。

ここでは「Google Authenticator」のアプリで解説します。

Google Authenticator
Google Authenticator
開発元:Google LLC
無料
posted withアプリーチ

ワードプレスのダッシュボードのメニュー「Wordfence」>ログインセキュリティをクリックします。

2要素認証というページが開くので、リカバリーコードのダウンロードをします。

パソコンのフォルダにリカバリーコードがダウンロードされるので、保管しておいてください。
※認証デバイス(スマホなど)にアクセスできなくなった場合は、ダウンロードした5個のコードのいずれかを使用してログインができます。

※2要素認証ページは、「認証コード」を入力しないといけないので、このまま開いておいてください。

スマホでGoogle Authenticatorのアプリを開きます。

Google Authenticatorのアプリで、2要素認証ページの画面に表示されたQRコードを読み取ります。

※上記のスクショは、はじめて利用する方とは違うと思います。

QRコードを読み込んだらすぐに以下のようにWordfanceの認証コードが表示されるようになります。

ワードプレスの2要素認証ページに戻り、認証アプリのコードを入力する枠にコードを入れて「有効化」をクリックしてください。

以上が、2段階認証の設定です。

ゆか

2段階認証の設定までしていると、さすがにワードプレスに不正ログインをすることができないはずなので、かなり強いセキュリティになります。

Wordfence Securityからのメール通知が多すぎる

Wordfence Securityを入れると、ハッキングなどの攻撃を感知した際にメールで通知をしてくれます。

ワードプレスを立ち上げたばかりの時はそこまでたくさんのメールは飛んでこないと思うのですが、アクセス数が増えるとメール通知が多くなります。

そんな時には、通知メールの設定から重要ではないメール通知をオフしましょう!

Wordfence Securityのメール通知設定方法

ワードプレスの管理画面の左のメニュー「Wordfence」>「すべてのオプション」をクリックします。

すべてのオプションの「Wordfenceの全般設定」>「通知メールの設定」をクリックして展開します。

展開すると以下のような通知メールの設定が表示されます。

デフォルトのメール通知設定はこちら

このメール設定でも問題はないのですが、メールが多い場合はいくつかチェックを外してOKです。

以下のように「ブロックされた・ロックアウトされた通知」は外しても問題ないです。以下の設定を参考にしてください。

チェックを外した項目

  • IP アドレスがブロックされたら通知する
  • ログインがロックアウトされたら通知する
  • 漏えいしたパスワードの使用によりログインがブロックされたら通知する

チェックを増やした項目

  • 管理者権限のある人がサインインしたときにアラートする>その管理者が新しい端末からサインインしたときだけアラートする
  • 管理者以外のユーザーがサインインしたときにアラートする

セキュリティ対策をしている中で無理やりサイトにログインしてきた場合の通知は外さない方がいいです。ですが、ブロックやロックアウトはガードした通知なのでなくても問題ありません。

チェックを外したり増やしたりした場合、設定を確定させるために右上にある「変更を保存」をクリックするのを忘れないようにしてください。

以上が、Wordfence Securityからのメール通知が多すぎるときの対処法です。

まとめ:Wordfence Securityで悪質な攻撃からWordPressを守ろう!

今回は、WordPressを悪質な攻撃から守るプラグイン「Wordfence Security」の設定方法と使い方を分かりやすく丁寧に解説しました。

ワードプレスは、人気のあるブログ作成ツールなだけあって、ハッキングにあいやすいというデメリットがあるのが困りモノでした。

だけど、セキュリティ対策プラグイン「Wordfence Security」を使えば、しっかりワードプレスを守ることができるのです。

一部の機能ではありますが、Wordfence Securityでできるセキュリティ対策はこちらです。

Wordfence Securityでできるセキュリティ対策

ファイアウォール・マルウェアスキャン・ログインセキュリティ・リアルタイムモニタリング・セキュリティ通知・ブロック機能・アクセス制御・セキュリティ監査とレポートなど…

これだけの機能があるセキュリティプラグインなので、これだけ入れれば他のセキュリティプラグインは不要です。

この記事を参考にスムーズに設定を行い、ワードプレスを安心安全に運用していきましょう!

セキュリティ対策プラグインの他に、ワードプレスのパスワードは複雑なものにして定期的に変更するとより強くなりますよ(^O^)/

ABOUT US
ゆかアフィリエイター兼WordPress専門家
ご訪問ありがとうございます! ゆかブログの管理人でアフィリエイター兼WordPress専門家のゆかです。福岡で3人の子供を育てながら、お家でのんびりとブログを書いて生活しています。
ブログを書く以外のお仕事は、パソコンが苦手な女性起業家さんのワードプレスブログ運営をサポートしたり、代行でワードプレスの立ち上げをしています。
●WordPressコミュニティ『MasterPress』運営
SEO検定2級
●チャンネル登録13,600人超え!WordPressブログ構築専門YouTubeチャンネル「ゆかチャンネル

ゆかブログでは、WordPress作成方法・ブログ記事の書き方・アフィリエイトの方法など、パソコン苦手な初心者さんの『困った!!』を解決しています。
詳しいプロフィールはこちら>>