WordPressのセキュリティを強化できるプラグインWordfenceの設定方法をどこよりも詳しく解説します!

セキュリティ事例

みんなが疑問に思う事。

WordPressのセキュリティって大丈夫なの?どんな設定が必要なの?

正直、これをしておけば大丈夫という正解は無いです。どんなに気を付けていても、攻撃を受けてしまう事もあると思います。WEB上に情報を置いている以上、避けられないリスクであるという事は認識してください。

世界的に有名なセキュリティプラグイン「Wordfence」について、詳しい解説が見つからなかったので独自に調査をして解説をしていきます!

セキュリティプラグインを設定をする前に

  • 不要なプラグインは削除
  • 不要なテーマは削除
  • 更新されていないような古いプラグイン・テーマは使わない
  • ログインパスワードを複雑にする

これは最低限押さえてくださいね!

Wordfenceで何が出来るの?

プラグインをインストールするだけで、基本的なセキュリティの機能は有効化されます。

悪意のあるアクセスをブロック

Wordfence設定方法を解説!

Wordfenceプラグインのインストール

外観 >プラグイン > プラグイン新規追加

で【Wordfence】と検索します。左側のものが今回インストールするWordfenceプラグインとなります。

インストール⇒有効化をしてください。

セキュリティーのアラートを送信するメールアドレスを登録

Wordfenceを有効化すると、セキュリティに関するアラートを送るメールアドレスの登録画面へ移行します。こちらに通知を受け取りたいメールアドレスを登録します。

メルマガを受け取りたい方は「Would you also like to join our WordPress security mailing list to receive WordPress security alerts and Wordfence news?」をYESにして、利用規約にチェックを入れて【CONTINUE】ボタンをクリックします。

有料版への案内

その後、有料版への案内が来ます。ライセンスキーを入力してくださいとなるのですが、無料で利用をしていくので【No Thanks】をクリックします。

Wordfenceインストール完了

ダッシュボードの左サイドバーに【Wordfence】が追加されます。

お疲れさまでした~!

細かな事はわからないという方は、有効化にするだけでも基本的なセキュリティ強化はされているのでここまでで大丈夫です。

もっとセキュリティを強化したい、Wordfenceについて詳しく知りたい方は引き続き、一緒に設定をしていきましょう!

ファイヤーウォール

Wordfenceではファイヤーウォールを通過させるユーザーとブロックするユーザーを学習してくれる機能があります。ファイヤーウォールの機能を有効化する前に、Wordfenceプラグインを有効化して1週間ほど学習してから設定を進めてください!

攻撃者は、WordPressのコアファイル、プラグインファイル、テーマファイルへ直接アクセス出来ます。

攻撃を防ぐ機能(壁)がファイヤーウォールです。

Wordfenceを有効化するだけで、一般的な悪意のあるアクセスは遮断できますが、Wordfenceプラグインを読み込む前に、脆弱なプラグイン、脆弱なテーマ、またはWordPress本体が脆弱なPHPコードが実行してしまう危険性があります。

一番先にファイヤーウォールが機能するようにWordfenceプラグインはphp構成を自動で変更してくれます。

サーバーの設定などによっては、.htaccessファイル、user.iniファイル、php.iniファイルの変更に制限がかかっている場合があります。Wordfenceが上記のファイルを変更する前に、Wordfenceからバックアップの要求が来ますので、手順に従ってバックアップを行い有効化するだけで保護機能が有効化になります。

ファイヤーウォール設定の最適化

Wordfenceプラグインを有効化にして1週間ほど経過したら、ダッシュボードのお知らせ

またはWordfence > Firewall  > All Firewall Option

を開きます。

【OPTIMIZE THE WORDFENCE FIREWALL】をクリックして最適化をします。

バックアップのお知らせが出るので、指示に従い必ずバックアップをしてください。

設定後は必ずサイトを確認して、表示崩れ、ログインできない等不具合が起きていないか確認するようにしましょう。

このまま作業を続けてしまうと、どの部分でおかしくなったのか、後で切り分けるのがとても大変になります。

【DOWNLOAD .HTACCESS】【DOWNLOAD .USER.INI】2つのボタンをクリックして、ファイルを必ずバックアップしてから【CONTINUE】をクリックしてください。

万が一、CONTINUE後にサイトに異常が出た場合、ダウンローとしたファイルをFTP(ファイルマネージャー)からアップロードすれば元通りになります。

これでファイヤーウォールの自動最適化は完了です。

特定のIPアドレスをブロックする

Wordfence > Firewall > Blocking

を利用すると

  • IPアドレス
  • 特定の国

をブロックさせる事が出来ます。

セキュリティスキャン

WordPress上のすべてのファイルをスキャンして

  • 悪意のあるコード
  • バックドア
  • ハッカーが埋め込んだシェル
  • 悪意のあるURL
  • 既存の感染パターン

を検知する事が出来ます。このスキャンを定期的に行う事で、安心してサイト運営が出来るようになります。

デフォルトでは定期スキャンが有効化になっています。

【Scan Options and Schefuling】をクリックします。今すぐ手動でスキャンをする方は【START NEW SCAN】をクリックします。

無料版では、Wordfenceが自動でスキャンをするので、タイミングは選択できません。

  • Limited Scan-サーバーのスペックなどにより制限があるばあいに軽量版を設定します
  • Standard Scan-通常のスキャンはこの設定で大丈夫です
  • High Sensitivity-悪意のある攻撃を受けている可能性がある場合、より厳密にスキャンします
  • Custom Scan-スキャンのカスタマイズはこちらを選択します

スキャンには1分~10分ほど、サーバースペックやファイルサイズによって時間がかかります。

テストサイトのスキャン結果

テーマの更新をしてくださいというお知らせです。外観>テーマを見に行くと、確かにテストサイトだったので、更新を放置していました。

ツール機能をご紹介

Wordfence > Tools

アクセスログ

  • ユーザーログイン
  • ブロック
  • ハッキングの試み

等のログをこちらで確認する事が出来ます。

Wordfence設定をインポート/エクスポート

Wordfenceの設定をインポート・エクスポートする時に使用します。

サイトをWordfence Centralへ登録

Wordfence Centralへ無料会員登録をします。

メールアドレス検証メールが届くので、届いたメールに記載されているURLをクリックします。

パスワードを入力して登録します。

登録完了!引き続き、サイトをWordfence Centralへ登録します。

サイトをWordfence Centralへ登録

Wordfence centralからでも登録が出来るのですが、今回は現在設定を続けているプラグインからの登録方法をご案内します。

Wordfence > dashboardへ行き、【Connect This Site】をクリックします。

【AGREE】をクリックします。

以下の画面へ切り替わりました。

2段階認証の設定の案内が来ているので、引き続きログイン強化設定をしていきます!

【SESTUP TWO FACTOR AUTHENTICATION】をクリック

サイトの2段階認証

サイトの2段階認証は、サイトへの不正ログインを防ぐ事が出来る最も有効な手段です。

  1. google認証アプリをスマホへインストール
  2. Wordfenceで発行されるQRコードを読み込む

という手順が必要です。

Google認証システムアプリ

初めて知ったのですが、google認証システムアプリというものがあるみたいです。

お持ちのスマホで検索をして、アプリをインストールしてください。

Google認証アプリでQRコードを読み込む

google認証アプリのQRコード読み込みで発行されているQRコードを読み込みます。

Google認証アプリで発行されたコードの入力

6桁の数字が発行されるので、入力をして【ACTIVATE】をクリックします。

成功すると以下の画面が表示されます。

サイトから確認

Wordfence > Login Security

へアクセスをして以下の画面になって入れば2段階認証が有効化されています。

なっていない場合、QRコードが表示されていると思うので、同じ手順で認証をしてください。

2段階認証になっているか確認方法

cromeのシークレットウィンドウを開いてwordpressへログインしてください。

google認証アプリにコードが2種類表示されます。
Wordfence2FA
Wordfence
下のWordfenceがログイン時に使用する6桁のコードとなります。

2段階認証が必要なユーザー

管理画面へアクセス出来る管理者(administrator)全員でこの2段階認証が必要となります。

必要な設定のみピックアップして紹介をします。

Allow remembering device for 30 days

30日間デバイスへログイン情報を記憶させておきたい場合にチェックを入れます

Require 2FA for XML-RPC call authentication

xmlrpc.phpを介した2段階認証なしでのログインを防ぐためにデフォルトで有効化されています

Allowlisted IP addresses that bypass 2FA

ここにIPアドレスを登録しておくと2段階認証をパスする事が出来ます。毎回スマホで認証面倒だな~と思われた方、安心してください!

Enable reCAPTCHA on the login and user registration pages

デフォルトのユーザーログイン時にreCAPTCHAを使用したい時に利用します。他のプラグインやテーマでユーザーログインが生成されている場合は、この機能が反映されない事があります。

万が一WordPressサイトが侵略されてしまった場合

万が一侵略されてしまった場合、$490できれいに復元してくれるサービスも提供をしています。

まとめ

以上、Wordfenceの基本的な設定の解説です。WordfenceでWordPressサイトのセキュリティを強化していきましょう!

HanamiWEBでは、WordPressに関する相談をLINEで受け付けております。お気軽にお友達追加をしてメッセージをお送りください♪

HanamiWEBでは、WEBに関する事、WordPressに関する事、色々な相談をLINE公式で受け付けております!お気軽にメッセージをお送りください!

タイトルとURLをコピーしました