ワードプレス(WordPress)用のセキュリティ対策・改ざん検出プラグイン Wpdoctorの設定方法と使い方を解説します。
- Wpdoctor の使い方と詳細な設定方法がわかります
Wpdoctorで実現できること
Wpdoctorはワードプレス内のファイル改ざんやマルウェア・アドウェアなどの不正なプログラムの検出と駆除をしてくれるプラグインです。
日本の会社が手掛けたプラグインなのでマニュアルなども理解し易いです。
マルウェアとは主にデータの盗聴が目的で、アドウェアは「あなたのPCは感染しています」などの広告を表示させたり、悪意のあるサイトに転送(リダイレクト)し、金銭を搾取する目的で意図せずに埋め込まれたコード(ソフトウェア)のことです。
これらは不特定多数のWebサイト(ブログ)にパスワードアタックなどの、ボット(プログラム)を使った、不正アクセスによってサイト内に侵入し、WordPress内部のファイルコード改ざんすることで起きます。
もし、セキュリティ対策プラグインを導入していれば、アクセスログやアラートなどからサイト管理者が気づく可能性は高いのですが、何もセキュリティ対策をしていない場合は、GoogleからのSEO評価の低下によってサイト表示順位が下がって初めて事の重大さに気づくことになります。
Wpdoctorの主な機能
Wpdoctorはセキュリティ対策機能と、万が一に不正アクセスの被害にあった場合、後から当プラグインを導入することでWordPress内のファイルやデータベースをスキャンし、改ざんされたファイルやマルウェア・アドウェアを検知し駆除することができます。
悪意あるIPアドレスからのアクセスを自動でブロックする機能と、ファイル改ざんのリアルタイム検出は有料版の機能です。
Wpdoctor 無料版の主な機能は次の通りです。
- WordPress内のファイルとデータベースの改ざん個所や悪意のあるコードを検出・駆除
- 改ざん位置の検出ハイライト機能:改竄されたコードをわかり易く表示
reCAPTCHAでボットのログインやスパムを防止 - マルウェアの自動スキャンと検出時のメール通知機能
- ログインロックアウト機能:3回ログイン失敗で10分間ログイン不可
- ログイン画面キャプチャ機能:ログイン画面にクイズを表示し、ボットからのアクセスを防ぐ
- ログインURL変更
- ログインログ
- WordPressバージョン漏洩防止
- .htaccess、wp-config.phpファイルの保護
- WPSCAN禁止:
外からWordPressをスキャンして、インストールされているプラグイン、テーマの脆弱性を見つけるサイト(WPSCAN)からのアクセスを遮断 - XMLRPC、wp-loginアクセス禁止:
10分間に50回以上アクセスのあったIPアドレスを3時間遮断 - REST API、ピンバック禁止:
ログインユーザー名の流出を防止 - コメントフォームキャプチャ:
コメント入力画面にキャプチャを表示し、ボットからのコメントを防止 - スパムボットコメント投稿禁止:
ボットからのコメントをを防止
これらの機能の詳細と設定方法は後述しています。
- Wpdoctorの設定画面に日本語でわかり易く解説が載っているので、Webセキュリティの知識がなくても導入できる、初心者にもわかりやすいプラグインです
WordPressのプラグインからはインストールできない
WpdoctorはWordPress公式の保存場所に登録されていないため、ダッシュボードの”新規プラグインを追加”からはインストールできません。
下記リンクのWpdoctor公式サイトからファイルをダウンロードして、手動でインストールする必要があります。
Wpdoctorのインストール方法
WpdoctorプラグインをWordPressにインストールする方法は次の流れになります。
- Wpdoctorのzipファイルを公式サイトからダウンロード
- WordPressのプラグインの追加で①のファイルをアップロードしてインストール
- インストールしたプラグインを有効化する
Wpdoctorのzipファイルを公式サイトからダウンロード
Wpdoctor公式サイトのzipファイルダウンロード画面↑Wpdoctorのzipファイルを公式サイトからダウンロードします。
Wpdoctorプラグインのzipファイルをダウンロード
WordPressのプラグインの追加でzipファイルをアップロードしてインストール
WoredPressのダッシュボード(管理者画面)の新規プラグイン追加画面- WordPressのダッシュボード(管理者画面)の「プラグイン」をクリックします
- 「新規プラグインを追加」をクリックします
WoredPressの新規プラグイン追加画面内のプラグインファイル アップロード画面
- プラグインのアップロードをクリックします
- ファイルを選択をクリックします
Windowsのダウンロードフォルダ内のwpinfecscan.zipファイルを選択↑ダウンロードフォルダに保存されたwpinfecscan.zipファイルを選択します。
WoredPressの新規プラグイン追加画面内の「今すぐインストール」↑wpinfecscan.zipが選択された状態になるので、今すぐインストールをクリックします。
インストールしたプラグインを有効化する
WoredPressの新規プラグイン追加画面内の「プラグインを有効化」ボタンをクリック
↑プラグインを有効化ボタンを押してプラグインを有効にします。
WoredPressの”インストール済みプラグイン”画面内の「プラグインを有効化しました」
↑プラグインを有効化すると、「プラグインを有効化しました」と表示されます。
WoredPressの”インストール済みプラグイン”画面内に表示されたWpdoctor↑自動更新の有効化はできません。
WoredPressのダッシュボード(管理者画面)に表示されたWpdoctorの管理画面「マルウェアスキャン」Wpdoctorプラグインを有効化するとダッシュボード(管理画面)に「マルウェアスキャン」と表示されます
Wpdoctorの設定
Wpdoctorの設定画面は下記の8個あります。
- マルウェアスキャン:
WordPress内のマルウェアを検出 - 設定:
自動スキャンの開始時間とメール通知の設定 - 購入:
有料版はマルウェアの検出パターンを自動インストール可能 - セキュリティー:
セキュリティレベルの一括設定が可能。使用しない、中、高、最高、詳細(カスタマイズ)の5つから選択 - 脆弱性検査:
WordPressとプラグインの脆弱性を検出※無料版は脆弱性検査は1回限定。有料版は無制限 - IPブロック:
手動でアクセスを遮断したいIPアドレスを登録※悪意あるIPアドレスの自動ブロック機能は有料 - リアルタイムブロック:
サイト改ざんリアルタイムブロックは有料 - 未取得検出パターン:
マルウェアの未定義パターンを表示
マルウェアスキャン
Wpdoctorのマルウェアスキャン画面↑画面右上の今すぐスキャン開始ボタンを押すとWordPress内のマルウェア検出が始まります。約5分程で終了し、下に結果が表示されます。
設定
Wpdoctorの設定画面↑設定からは自動マルウェアスキャンの開始時刻とマルウェア検出時のメール通知設定ができます。
購入
Wpdoctorの購入画面↑悪意のあるIPアドレスの自動ブロック機能やマルウェアの最新定義の更新が利用できる有料版は1年間で税込6600円です。
セキュリティー
Wpdoctorのセキュリティー画面↑セキュリティー画面からはセキュリティレベル毎にプリセット(前もって設定)された下記5つの選択肢があります。
- セキュリティー機能を使用しない(デフォルト)
- セキュリティーレベル:中
- セキュリティーレベル:高(推奨)
- セキュリティーレベル:中
- セキュリティーレベル:詳細(カスタマイズ)
各プリセットの設定項目は後述します。
Wpdoctorのセキュリティー画面下部の.htaccessとindex.phpの修復と保護、サイトへの全アクセス停止↑セキュリティー画面の下には.htaccessとindex.phpの修復と保護、サイトへの全アクセスを緊急停止するボタンが設けられています。
こららの機能は通常は使用しないので、すべて未設定で大丈夫です
セキュリティーレベル:中
Wpdoctor セキュリティーレベル:中のプリセット内容セキュリティーレベル:高(推奨)
Wpdoctor セキュリティーレベル:高(推奨)のプリセット内容セキュリティーレベル:最高
Wpdoctor セキュリティーレベル:最高のプリセット内容↑有効になる内容は”有効になる機能”として記載されるので確認できますが、改行されないので見難いです。
セキュリティーレベル:詳細(カスタマイズ)
Wpdoctor セキュリティーレベル:詳細(カスタマイズ)の設定項目 1/3
Wpdoctor セキュリティーレベル:詳細(カスタマイズ)の設定項目 2/3
Wpdoctor セキュリティーレベル:詳細(カスタマイズ)の設定項目 3/3↑ セキュリティーレベル:詳細で細かく設定できます。
セキュリティーレベルを最高にしてしまうと他のプラグインの動作に影響を及ぼす可能性があります
Wpdoctor セキュリティーレベルのおすすめ設定
おすすめの設定項目は下記のとおりです。
ログインの保護
- ✅マークログインの保護
- ✅ログインロックダウン
- ✅パスワードリセットキャプチャ
- ✅ログインページURL変更
ワードプレスの情報やファイルの保護
- ✅ワードプレスのバージョンの漏洩を防止
- ✅サーバー情報の保護
- ✅wlwmanifest.xmlへのアクセスのブロック
- ✅危険な改ざんクエリをブロック
- ✅オーサー情報の保護
- ✅Indexリストの表示を禁止します
- ✅WPSCANの禁止
ワードプレスの機能の保護
- ✅Pingback の禁止
- ✅XMLRPC,wp-loginへのブルートフォースアタックIPのバン
- ✅REST APIを禁止
- ✅Trace & Trackを禁止
- ✅Includeファイルの直接アクセス禁止
- ✅UploadフォルダのPHPアクセス禁止
- ✅危険なSQLクエリの送信禁止
- ✅ワードプレス上の検索結果が存在しない場合にnoindex化する
コメント保護、スパムからの保護
- ✅プロクシ経由のコメント投稿の禁止
- ✅コメントフォームキャプチャ
- ✅スパムボットのコメント投稿の禁止
脆弱性検査
Wpdoctorの脆弱性検査画面↑無料版は脆弱性検査を1回だけ受けることができます。※有料版には制限はありません。
IPブロック
WpdoctorのIPブロック画面↑手動でブロックしたIPアドレスを設定できます。
悪意のあるIPアドレスを自動でブロックする機能は有料版でしか利用できません。
リアルタイムブロック
Wpdoctorのリアルタイムブロック画面↑サイト改ざんのリアルタイムブロック機能は有料版でしか利用できません。
未取得検出パターン
Wpdoctorの未取得検出パターン画面↑マルウェアのパターン一覧が表示されるだけです。特に操作や参考になる内容ではないため、利用者にとって有益な情報ではありません。
実際にWpdoctorを使った感想とメリットデメリット
実際にWpdoctorを使ってみた感じたメリットとデメリットです。
Wpdoctorのメリット
日本の会社が制作したWordPress専用のセキュリティプラグインなので、外国製のセキュリティ対策プラグインよりも設定項目の解説文が丁寧で意味が判りやすいことが大きなメリットです。
それと、個人ブログの場合は無料版の機能だけで必要十分なことです。
Wpdoctorのデメリット
Wpdoctorの設定画面内に有料版の宣伝PRがやや多いことがデメリットです。
他のプラグインだと自動で更新されますが、当プラグインは自動で更新されないこともデメリットになります。さらに、有料版はマルウェアパターンが最新情報に自動でアップデートされますが、無料版は更新されません。
まとめ
WpdoctorはWordPress内のマルウェア駆除と検知機能が充実しており、セキュリティ対策機能も必要十分で、日本語で判りやすい解説文が多く、初心者でも安心して利用できます。
会社のWebサイトは有料版を使ったほうが安心ですが、個人ブログの場合は無料版の機能だけで十分です。
設定画面内に各機能の説明文が丁寧に書かれているので、Web初心者でも安心して設定を変更できます。
セキュリティ対策機能にも無駄が無く、最低限必要な機能は全て網羅されています。
英語が苦手でWebセキュリティにあまり詳しくない場合は、おすすめのプラグインです。
Wordfence Security プラグインを削除する方法
Wordfence Security 2段階認証の設定方法と使い方
Wordfence Security セキュリティ対策プラグイン 設定方法と使い方
Solid Security セキュリティ対策プラグイン 設定方法と使い方
WP Cerber Security セキュリティ対策プラグイン 使い方と設定方法
reCAPTCHA 導入方法とContact Form 7への設定方法
SiteGuard WP Plugin セキュリティ対策プラグイン 設定方法と使い方
Akismet スパム保護プラグイン 設定方法と使い方
