WordPressのセキュリティを強化できるプラグインWordfenceの設定方法をどこよりも詳しく解説します!

  • misa
  • 2021年5月15日
  • 8:49 AM
  • 0件のコメント

HanamiWEBオンラインスクールでは

●バーチャル自習室でのリアルタイム質問!

●チャットで質問し放題!

●24時間学び放題のEラーニング教材!

全部ついて 2,500円/月!

30日間お試し登録!

みんなが疑問に思う事。

WordPressのセキュリティって大丈夫なの?どんな設定が必要なの?

正直、これをしておけば大丈夫という正解は無いです。どんなに気を付けていても、攻撃を受けてしまう事もあると思います。WEB上に情報を置いている以上、避けられないリスクであるという事は認識してください。

世界的に有名なセキュリティプラグイン「Wordfence」について、詳しい解説が見つからなかったので独自に調査をして解説をしていきます!

セキュリティプラグインを設定をする前に

  • 不要なプラグインは削除
  • 不要なテーマは削除
  • 更新されていないような古いプラグイン・テーマは使わない
  • ログインパスワードを複雑にする

これは最低限押さえてくださいね!

Wordfenceで何が出来るの?

プラグインをインストールするだけで、基本的なセキュリティの機能は有効化されます。

悪意のあるアクセスをブロック

Wordfence設定方法を解説!

Wordfenceプラグインのインストール

外観 >プラグイン > プラグイン新規追加

で【Wordfence】と検索します。左側のものが今回インストールするWordfenceプラグインとなります。

インストール⇒有効化をしてください。

セキュリティーのアラートを送信するメールアドレスを登録

Wordfenceを有効化すると、セキュリティに関するアラートを送るメールアドレスの登録画面へ移行します。こちらに通知を受け取りたいメールアドレスを登録します。

メルマガを受け取りたい方は「Would you also like to join our WordPress security mailing list to receive WordPress security alerts and Wordfence news?」をYESにして、利用規約にチェックを入れて【CONTINUE】ボタンをクリックします。

有料版への案内

その後、有料版への案内が来ます。ライセンスキーを入力してくださいとなるのですが、無料で利用をしていくので【No Thanks】をクリックします。

Wordfenceインストール完了

ダッシュボードの左サイドバーに【Wordfence】が追加されます。

お疲れさまでした~!

細かな事はわからないという方は、有効化にするだけでも基本的なセキュリティ強化はされているのでここまでで大丈夫です。

もっとセキュリティを強化したい、Wordfenceについて詳しく知りたい方は引き続き、一緒に設定をしていきましょう!

ファイヤーウォール

Wordfenceではファイヤーウォールを通過させるユーザーとブロックするユーザーを学習してくれる機能があります。ファイヤーウォールの機能を有効化する前に、Wordfenceプラグインを有効化して1週間ほど学習してから設定を進めてください!

攻撃者は、WordPressのコアファイル、プラグインファイル、テーマファイルへ直接アクセス出来ます。

攻撃を防ぐ機能(壁)がファイヤーウォールです。

Wordfenceを有効化するだけで、一般的な悪意のあるアクセスは遮断できますが、Wordfenceプラグインを読み込む前に、脆弱なプラグイン、脆弱なテーマ、またはWordPress本体が脆弱なPHPコードが実行してしまう危険性があります。

一番先にファイヤーウォールが機能するようにWordfenceプラグインはphp構成を自動で変更してくれます。

サーバーの設定などによっては、.htaccessファイル、user.iniファイル、php.iniファイルの変更に制限がかかっている場合があります。Wordfenceが上記のファイルを変更する前に、Wordfenceからバックアップの要求が来ますので、手順に従ってバックアップを行い有効化するだけで保護機能が有効化になります。

ファイヤーウォール設定の最適化

Wordfenceプラグインを有効化にして1週間ほど経過したら、ダッシュボードのお知らせ

またはWordfence > Firewall  > All Firewall Option

を開きます。

【OPTIMIZE THE WORDFENCE FIREWALL】をクリックして最適化をします。

バックアップのお知らせが出るので、指示に従い必ずバックアップをしてください。

設定後は必ずサイトを確認して、表示崩れ、ログインできない等不具合が起きていないか確認するようにしましょう。

このまま作業を続けてしまうと、どの部分でおかしくなったのか、後で切り分けるのがとても大変になります。

【DOWNLOAD .HTACCESS】【DOWNLOAD .USER.INI】2つのボタンをクリックして、ファイルを必ずバックアップしてから【CONTINUE】をクリックしてください。

万が一、CONTINUE後にサイトに異常が出た場合、ダウンローとしたファイルをFTP(ファイルマネージャー)からアップロードすれば元通りになります。

これでファイヤーウォールの自動最適化は完了です。

特定のIPアドレスをブロックする

Wordfence > Firewall > Blocking

を利用すると

  • IPアドレス
  • 特定の国

をブロックさせる事が出来ます。

セキュリティスキャン

WordPress上のすべてのファイルをスキャンして

  • 悪意のあるコード
  • バックドア
  • ハッカーが埋め込んだシェル
  • 悪意のあるURL
  • 既存の感染パターン

を検知する事が出来ます。このスキャンを定期的に行う事で、安心してサイト運営が出来るようになります。

デフォルトでは定期スキャンが有効化になっています。

【Scan Options and Schefuling】をクリックします。今すぐ手動でスキャンをする方は【START NEW SCAN】をクリックします。

無料版では、Wordfenceが自動でスキャンをするので、タイミングは選択できません。

  • Limited Scan-サーバーのスペックなどにより制限があるばあいに軽量版を設定します
  • Standard Scan-通常のスキャンはこの設定で大丈夫です
  • High Sensitivity-悪意のある攻撃を受けている可能性がある場合、より厳密にスキャンします
  • Custom Scan-スキャンのカスタマイズはこちらを選択します

スキャンには1分~10分ほど、サーバースペックやファイルサイズによって時間がかかります。

テストサイトのスキャン結果

テーマの更新をしてくださいというお知らせです。外観>テーマを見に行くと、確かにテストサイトだったので、更新を放置していました。

ツール機能をご紹介

Wordfence > Tools

アクセスログ

  • ユーザーログイン
  • ブロック
  • ハッキングの試み

等のログをこちらで確認する事が出来ます。

Wordfence設定をインポート/エクスポート

Wordfenceの設定をインポート・エクスポートする時に使用します。

サイトをWordfence Centralへ登録

Wordfence Centralへ無料会員登録をします。

Wordfence Central無料会員登録

メールアドレス検証メールが届くので、届いたメールに記載されているURLをクリックします。

パスワードを入力して登録します。

登録完了!引き続き、サイトをWordfence Centralへ登録します。

サイトをWordfence Centralへ登録

Wordfence centralからでも登録が出来るのですが、今回は現在設定を続けているプラグインからの登録方法をご案内します。

Wordfence > dashboardへ行き、【Connect This Site】をクリックします。

【AGREE】をクリックします。

以下の画面へ切り替わりました。

2段階認証の設定の案内が来ているので、引き続きログイン強化設定をしていきます!

【SESTUP TWO FACTOR AUTHENTICATION】をクリック

サイトの2段階認証

サイトの2段階認証は、サイトへの不正ログインを防ぐ事が出来る最も有効な手段です。

  1. google認証アプリをスマホへインストール
  2. Wordfenceで発行されるQRコードを読み込む

という手順が必要です。

Google認証システムアプリ

初めて知ったのですが、google認証システムアプリというものがあるみたいです。

お持ちのスマホで検索をして、アプリをインストールしてください。

Google認証アプリでQRコードを読み込む

google認証アプリのQRコード読み込みで発行されているQRコードを読み込みます。

Google認証アプリで発行されたコードの入力

6桁の数字が発行されるので、入力をして【ACTIVATE】をクリックします。

成功すると以下の画面が表示されます。

サイトから確認

Wordfence > Login Security

へアクセスをして以下の画面になって入れば2段階認証が有効化されています。

なっていない場合、QRコードが表示されていると思うので、同じ手順で認証をしてください。

2段階認証になっているか確認方法

cromeのシークレットウィンドウを開いてwordpressへログインしてください。

google認証アプリにコードが2種類表示されます。
Wordfence2FA
Wordfence
下のWordfenceがログイン時に使用する6桁のコードとなります。

2段階認証が必要なユーザー

管理画面へアクセス出来る管理者(administrator)全員でこの2段階認証が必要となります。

必要な設定のみピックアップして紹介をします。

Allow remembering device for 30 days

30日間デバイスへログイン情報を記憶させておきたい場合にチェックを入れます

Require 2FA for XML-RPC call authentication

xmlrpc.phpを介した2段階認証なしでのログインを防ぐためにデフォルトで有効化されています

Allowlisted IP addresses that bypass 2FA

ここにIPアドレスを登録しておくと2段階認証をパスする事が出来ます。毎回スマホで認証面倒だな~と思われた方、安心してください!

Enable reCAPTCHA on the login and user registration pages

デフォルトのユーザーログイン時にreCAPTCHAを使用したい時に利用します。他のプラグインやテーマでユーザーログインが生成されている場合は、この機能が反映されない事があります。

万が一WordPressサイトが侵略されてしまった場合

万が一侵略されてしまった場合、$490できれいに復元してくれるサービスも提供をしています。

Wordfence WordPressサイト クリーンサービス

WEBサイトのセキュリティ状況を調べる無料ツール

トレンドマイクロWEBサイトの安全性評価テストオンラインツール

Trend Micro Site Safety
WEBサイトのセキュリティ診断無料オンラインツール

Virus Totalオンライン診断ツール

Virus Total

自動セキュリティ機能

WordFenceの自動スキャン機能で通知される【破棄されたようです】について、詳しく記事を書いたのでこちらもご覧ください。

Wordfrenceセキュリティ自動スキャン機能で通知された「破棄されたようです」とは?

まとめ

以上、Wordfenceの基本的な設定の解説です。WordfenceでWordPressサイトのセキュリティを強化していきましょう!

HanamiWEBでは、WordPressに関する相談をLINEで受け付けております。お気軽にお友達追加をしてメッセージをお送りください♪

ホームページのリスキリングはお任せください!

2019年よりWordPressやホームページに関するスキルシェアを行ってきました。事例やノウハウが蓄積され、スピーディーかつ的確にお悩みを解決へと導く事を得意としています。ホームページに関するお悩みがございましたら、LINE公式アカウントよりお気軽にご相談ください!

↑クリックするとLINE公式が開きます

新着記事

SPF と DKIM と共に有効な DMARC ポリシーを併用してメールの認証設定方法
READ MORE
WordPressにログインできない?
READ MORE
【Hbook】When using Stripe you need to add a Required Country Field in the Details form. エラーの対処法
READ MORE
検索結果にサイト名(会社名)が表示されない
READ MORE
WP Rocket - WordPress Caching Plugin