WordPress設定

Defender Security セキュリティ対策プラグイン 設定方法と使い方読み終わるまで 4

Defender Security セキュリティ対策プラグイン 設定方法と使い方 アイキャッチ

ワードプレス(WordPress)のセキュリティ対策プラグイン Defender Securityの設定方法と使い方を解説します。

この記事を見ることで得られるメリット
  • Defender Securityの使い方と詳細な設定方法がわかります

Defender Securityで実現できること

Defender Security – Malware Scanner, Login Security & FirewallはWordPressに有用なセキュリティ対策機能が1つのプラグインで賄えるプラグインです。

多機能なので、設定画面の項目数が多いですが、最低限必要な機能は初期ウィザードでボタンを1回クリックするだけで有効になります。

公式サイトにマニュアルが充実しているので各機能の意味や使い方が理解し易いです。

プラグインの設定画面も公式サイトもすべて英語ですがブラウザの翻訳機能を使えば問題ありません。

WPMU DEVというWordPressプラグインの開発とホスティングサービスを手掛けている会社によって開発されているので信頼性は高いです。

有料版はマルウェアの隔離機能やWebサイト(ブログ)変更時の監査ログを残す機能等が使えますが、無料版で使える機能のみでも問題なく利用できます。

なお、WAF(ウェブアプリケーションファイルウォール)機能はWPMU DEVのホスティングサービスを利用していないと使用できません。

Defender Securityの主な機能

Defender Security – Malware Scanner, Login Security & Firewallの無料で使える主な機能は次の通りです。

  • 2段階認証(2要素認証):WordPressログイン画面にワンタイムパスワード入力機能を実装
  • ファイアウォール機能:悪意のあるボットやユーザーエージェントがアクセスするのをブロック
  • Google reCAPTCHA:ログイン画面や問い合わせ画面に人間検証システムを導入できる
  • ログインURL変更:URL末尾に任意の文字列を追加
  • ログイン試行回数制限:ログイン失敗が指定回数を超えると、そのIPアドレスからのログインを制限

これらの機能の詳細と設定方法は後述しています。

Defender Security Pro(有料版)で使える機能

Defender Securityの有料版の主な機能です。

  • WAF (アプリケーションファイアウォール)※WPMU DEVのホスティングサービスで稼働しているサイトのみ利用可能
  • 監査ログ (イベントのログを記録)
  • googleなどからブロックの対象にされていないかチェック

有料版の各機能の詳細と料金は下記の公式サイトを参考にしてください↓
Defender Pro

Defender Securityのドキュメント

公式サイトのドキュメントに各機能の詳細が載っています↓
Defender Security公式サイトのドキュメント

Defender Securityのインストール方法

Defender SecurityをWordPressにインストールする方法を解説します。

WoredPressのダッシュボード(管理者画面)の新規プラグイン追加画面WoredPressのダッシュボード(管理者画面)の新規プラグイン追加画面
  1. WordPressのダッシュボード(管理者画面)の「プラグイン」をクリックします
  2. 「新規プラグインを追加」をクリックします
  3. 検索ボックスに”Defender Security”と入力すると下に検索結果が表示されます
  4. ”Defender Security”の「今すぐインストール」ボタンをクリックします
“Defender Security”のインストール完了画面“Defender Security”のインストール完了画面

↑Defender Securityのインストールが完了すると有効化ボタンが表示されるのでクリックします。

“Defender Security”有効化後に表示されるメッセージ“Defender Security”有効化後に表示されるメッセージ

↑プラグインを有効化すると上記メッセージが表示されます。

"Defender Security"を有効化すると表示されるプラグイン画面“Defender Security”を有効化すると表示されるプラグイン画面

↑これでDefender Securityのインストールと有効化は完了です。

Defender Securityの設定

プラグインを有効化するとダッシュボード(管理画面)の中に「Defender」が表示されます↓

ダッシュボード(管理画面)の中にある「Defender Security」ダッシュボード(管理画面)の中にある「Defender Security」

Defender Securityプラグインの設定画面はダッシュボード(管理画面)の中の「Defender 」をクリックします。

初期設定ウィザード

プラグインを有効化後にするとDashboardの表示がDefenderになっており、そこをクリックすると初期設定ウィザードが表示されます。

Defender Securityプラグイン有効化後に表示される初期設定ウィザードDefender Securityプラグイン有効化後に表示される初期設定ウィザード

↑データ収集の協力が表示されていますが、オンにしなくても先に進めます。
ACTIVATE&CONFIGURE(有効化と設定)ボタンを押すと、必須のセキュリティ機能が有効化されます。
Star from scratch(ゼロから始める)を選択すると手動で各機能を有効化する必要があります。

Defender Securityの設定項目

Defender Securityには下記の設定項目があります。

  • Dashboard (ダッシュボード) 
  • Recommendations (推奨事項)
  • Malware Scanning (マルウェアスキャン)
  • Audit Logging (監査ログ)※有料版のみ
  • Firewall (ファイアウォール)
  • WAF (ウェブアプリケーションファイアウォール)※有料版のみ
  • 2FA (2要素認証)
  • Tools (ツール)
  • Notifications (通知)
  • Settings (設定)
  • Tutorials (チュートリアル)

Dashboard (ダッシュボード)

Defender SecurityのDashboard(ダッシュボード)画面Defender SecurityのDashboard(ダッシュボード)画面

↑一番上にはマルウェアスキャンでピックアップされたセキュリティの問題数が表示されます。その下はチュートリアルの外部リンクです。
このダッシュボード画面では各セキュリティ機能の状態が一覧で表示されます。

Recommendations (推奨事項)

Defender SecurityのRecommendations(推奨事項)画面Defender SecurityのRecommendations(推奨事項)画面

↑推奨のセキュリティ設定がWebサイト(ブログ)に施されているかをチェックし、もし設定が施されていない場合は、Recommendations(推奨事項)に表示され、自動で推奨設定に変更できる場合はボタンをクリックするだけで済みます。
サーバー環境によっては、手動で設定を適用しないといけない場合もあります。

Malware Scanning (マルウェアスキャン)

Defender SecurityのMalware Scanning(マルウェアスキャン)画面Defender SecurityのMalware Scanning(マルウェアスキャン)画面

↑WordPress公式のコアファイル以外の疑わしいと判断されたファイルが表示されます。
セキュリティの脆弱性が懸念されるファイルの表示と、隔離は有料版でしか利用できません。

Malware Scanning(マルウェアスキャン)には下記項目の画面があります。

  • Issues (問題)
  • Quarantined (隔離)※有料版のみ
  • Ignored (無視)
  • Settings (設定)
Settings(設定)の設定項目
Malware Scanning(マルウェアスキャン)のSettings(設定)項目
設定項目説明初期設定/選択肢
Scan Types (スキャンの種類)デフォルトのスキャンに含めるスキャン タイプを選択・ファイル変更検出
∟ コアファイルをスキャン(デフォルト)
∟プラグインファイルをスキャン・既知の脆弱性
・疑わしいコード
Scheduled Scanning (スケジュールスキャン)定期的なスキャンを自動的に実行有料版の機能
Max included file size (含まれるファイルの最大サイズ)このサイズより大きいファイルをスキップします。この数値が小さいほど、システムをスキャンする速度が速くなります10MB
Quarantine settings (検疫設定)隔離ファイルを保持する期間を選択します。この期間が過ぎるとファイルは自動的に削除されます有料版の機能

Audit Logging (監査ログ) ※有料版のみ

Defender SecurityのAudit Logging(監査ログ)画面Defender SecurityのAudit Logging(監査ログ)画面

↑Audit Logging(監査ログ)は無料では使用できません。有料版のみの機能です。

Firewall (ファイアウォール)

Defender SecurityのFirewall (ファイアウォール)画面Defender SecurityのFirewall (ファイアウォール)画面

ファイアウォールには下記の7項目の画面があります。

  • Login Protection (ログイン保護)
  • 404 Detection (404検出)
  • IP Banning (禁止IP)
  • Global IP Blocker (グローバルIPブロッカー)
  • User Agent Banning (禁止ユーザーエージェント)
  • Logs (ログ)
  • Settings (設定)
Login Protection (ログイン保護)の設定項目

Login Protection (ログイン保護)はログイン試行が一定回数失敗するとユーザーをロックアウトします。

Login Protection (ログイン保護)の設定項目
設定項目説明初期設定
Threshold (しきい値)特定の期間内に何回ログインに失敗するとロックアウトがトリガーされるかを指定300秒間に5回
Duration (間隔)ロックアウトされたユーザーを禁止する期間を選択300秒
※永久も指定可能
Message (メッセージ)ロックアウトされたユーザーに表示されるメッセージをカスタマイズYou have been locked out due to too many invalid login attempts.
Banned usernames (禁止されたユーザー名)指定したユーザー名でログインしようとすると、自動的にロックアウト無し
404 Detection (404検出)の設定項目

404 Detection (404検出)を有効にすると、存在しないページを繰り返し要求するIPアドレスからのアクセスを一時的にブロックします。

404 Detection (404検出)の設定項目
設定項目説明初期設定
Threshold (しきい値)同じファイルまたはページでロックアウトをトリガーする404ヒットの数を指定300秒間に20ヒット
Duration (間隔)ロックアウトされたユーザーを禁止する期間を選択300秒
※永久も指定可能
Message (メッセージ)ロックアウトされたユーザーに表示されるメッセージをカスタマイズYou have been locked out due to too many attempts to access a file that doesn`t exist.
Files, folders and file types (ファイル、フォルダ、ファイルの種類)ユーザー/ボットによるアクセスを自動的に禁止、または許可する特定のファイル、フォルダー、ファイルタイプを選択無し
Exclusions (除外事項)ログインしたユーザーの404を監視する場合は有効にしますログインしたユーザーの404を監視しない
IP Banning (禁止IP)の設定項目

アクセスを永久にロックアウトしたいIPアドレスまたは国/地域を選択します。

IP Banning (禁止IP)の設定項目
設定項目説明初期設定
IP Addresses (IPアドレス)IPアドレスをブロックリストまたは許可リストに追加して、永久にブロックするか、常にアクセスを許可無し
Active Lockouts (現在ブロックされているIPアドレス)ロックアウトルールに従って、アクセスが一時的にブロックされているIPアドレスを表示。ここで、ブロックを解除可能
Locations (場所)特定の国/地域からのハッカーやボットからのアクセスを禁止アカウント登録とライセンスキーが必要
Message (メッセージ)ロックアウトされたユーザーに表示されるメッセージをカスタマイズThe administrator has blocked your IP from accessing this website.
Import (インポート)違うWebサイトからブロックリストと許可リストをインポート
Export (エクスポート)違うWebサイトで使用できるように、ブロックリストと許可リストをエクスポート
Global IP Blocker (グローバルIPブロッカー)

グローバルIPブロッカーを利用する場合はアカウント登録が必要です。
当機能を有効にすると、ハブからグローバル IP 許可リスト/ブロックリストを直接効率的に管理できます。

User Agent Banning (禁止ユーザーエージェント)の設定項目

悪意のあるボットやユーザーエージェントがアクセスするのをブロックします

User Agent Banning (禁止ユーザーエージェント)の設定項目
設定項目説明初期設定
User Agents (ユーザーエージェント)ユーザー エージェントをブロックリストまたは許可リストに追加して、永続的にブロックするか、アクセスを常に許可するブロックリスト:
MJ12Bot
AhrefsBot
SEMrushBot
DotBot許可リスト:
a6-indexer
adsbot-google
aolbuild
apis-google
他多数
Message (メッセージ)ロックアウトされたユーザーに表示されるメッセージをカスタマイズYou have been blocked from accessing this website.
Empty Headers (空のヘッダー)空のReferer ヘッダーとUser-Agentヘッダーを含むPOSTリクエストを送信するIP アドレスをブロック無効
Import (インポート) 違うWebサイトからブロックリストと許可リストをインポート
Export (エクスポート)違うWebサイトで使用できるように、ブロックリストと許可リストをエクスポート
Logs (ログ)

ロックアウトしたログの一蘭を時系列でリスト表示します。
ここからIPアドレスとユーザーエージェントを許可リストやブロックリストに追加できます。

Settings (設定)の設定項目
Settings (設定)の項目
設定項目説明初期設定と選択肢
Detect IP Addresses (IPアドレスを検出する)プラグインがサイト訪問者のIPアドレスを検出するために使用する方法を選択自動(デフォルト) or 手動IP検出
Clear Temporary IP Block List (一時IPブロックリストをクリア)一時IPブロックリストを自動的にクリアする頻度を選択しない(デフォルト) or 毎日 or 毎週 or 毎月
Logs Storage (ログ保存)イベントログは、読み込み時間を短縮するためにローカルサーバーにキャッシュされます。ローカルに保存するイベントログの日数を選択30日
Delete logs (ログを削除する)現在のログを完全に消去
Delete lockouts (ロックアウトを削除する)ロックアウトテーブル内のすべてのレコードを削除

WAF (ウェブアプリケーションファイアウォール)※有料版のみ

Defender SecurityのWAF(ウェブアプリケーションファイアウォール)画面Defender SecurityのWAF(ウェブアプリケーションファイアウォール)画面

↑Audit Logging(監査ログ)は無料では使用できません。有料版のみの機能です。

2FA (2要素認証)

Defender Securityの2FA(2要素認証)画面 1/2Defender Securityの2FA(2要素認証)画面 1/2
Defender Securityの2FA(2要素認証)画面 2/2Defender Securityの2FA(2要素認証)画面 2/2
2FA(2要素認証)の設定項目
設定項目説明初期設定
User Roles (ユーザーロール)2 要素認証を有効にするユーザーロールを選択全ロール
Force Authentication (強制認証)デフォルトは、2要素認証はオプションです。オンにすると2要素を強制的に有効にすることができますオフ
※オンにすると強制したいロールを選択できる
App Title (アプリタイトル)このWebサイトのAuthenticatorアプリに表示されるタイトルをカスタマイズWebサイトのタイトル
Custom Graphic (カスタムグラフィック)デフォルトでは、Defenderのアイコンが2要素認証のログインフィールドの上に表示。オンにすると独自のブランドをアップロード可能オフ(デフォルト)※オンは有料版の機能
Emails (メール)2要素認証機能がユーザーに送信する電子メールの記載内容をカスタマイズ
App Download (アプリのダウンロード)公式のiOSおよびAndroid認証アプリケーションへのリンク
WooCommerce (ウーコマース)有効にすると、ユーザーはWooCommerceのマイアカウントページから2要素認証を構成できるようになります
Active Users (アクティブユーザー)2要素認証を有効にしているユーザーを表示

Tools (ツール)

Tools(ツール)には下記の5つの設定画面があります。

  • Mask Login Area (マスクログインエリア)
  • Security Headers (セキュリティ ヘッダー)
  • Pwned Passwords (盗まれたパスワード)
  • Password Reset (パスワードのリセット)
  • Google reCAPTCHA
Mask Login Area (マスクログインエリア)の設定項目

WordPressログインURLを変更して、ハッカーやボットから隠します。

Defender SecurityのTools(ツール)のMask Login Area(マスクログインエリア)画面Defender SecurityのTools(ツール)のMask Login Area(マスクログインエリア)画面
Mask Login Area(マスクログインエリア)の設定項目
設定項目説明初期設定
Masking URL slug (URLスラッグのマスキング)デフォルトのwp-adminまたはwp-loginのログイン画面URLを変更オフ
Redirect traffic (トラフィックをリダイレクトする)404 を回避するために、デフォルトの WordPress ログイン URL にアクセスしようとする訪問者とボットを別の URL に送信しますオフ
Security Headers (セキュリティ ヘッダー)の設定項目

セキュリティヘッダーを有効にすることで、Webサイトのセキュリティを強化します

Mask Login Area(マスクログインエリア)の設定項目
設定項目説明初期設定
X-Frame-Options (X-フレームオプション)X-Frame-Options HTTP 応答ヘッダーは、ブラウザが <frame>、<iframe>、または <object> タグ内の Web ページをレンダリングできるかどうかを制御します。Web サイトは、コンテンツが他の Webサイトに埋め込まれないようにすることで、クリックジャッキング攻撃を回避できますオフ
X-XSS-Protection(X-XSS 保護)Chrome、IE、Safariで反射型クロスサイトスクリプティング(XSS)攻撃を検出したときにページの読み込みを停止するHTTP X-XSS-Protection応答ヘッダーオフ
X-Content-Type-Options (X-コンテンツタイプオプション)X-Content-Type-Optionsヘッダーは、MIME スニッフィング攻撃から保護するために使用されます。最も一般的な例は、Web サイトでユーザーがWeb サイトにコンテンツをアップロードできるようにしているが、ユーザーが特定のファイルタイプを別のファイルタイプとして偽装している場合オフ
Strict Transport (厳格な輸送)HTTP Strict-Transport-Security応答ヘッダー(HSTS)を使用すると、Webサイトはブラウザに対して、HTTPではなく HTTPS のみを使用してアクセスするように指示できます。これは、電子商取引ストアなどの機密情報を保存および処理するWebサイトにとって非常に重要であり、プロトコル ダウングレード攻撃やクリックジャッキング攻撃を防ぐのに役立ちますオフ
Referrer Policy (リファラーポリシー)Referrer-Policy HTTPヘッダーは、ユーザーが別のページまたはリンクにつながるリンクをクリックしたときに、リファラー情報をどのように処理するかをブラウザに指示します。リファラーヘッダーはWebサイトの所有者にインバウンド訪問者の出所を指示します (Google Analytics の獲得レポートと同様)。ただし、場合によっては、ヘッダー内のリファラー情報を制御または制限する必要がありますオフ
Permissions-Policy (権限ポリシー)Permissions-Policy応答ヘッダーは、Web ページがiframeに埋め込まれているときに使用できるブラウザ機能を制御オフ
Pwned Passwords (盗まれたパスワード)の設定項目

パスワードの漏洩による侵入のリスクからサイトを保護します。
デフォルトのログインまたは登録フォームに入力されたすべてのパスワードは、公開されているパスワードデータベースと照合され、既知のデータ侵害に使用されていないことが確認できます。

Pwned Passwords (盗まれたパスワード)の設定項目
設定項目説明初期設定
User Roles (ユーザーロール)漏洩したパスワードチェックを有効にするユーザーロールを選択。管理者ロールはデフォルトで有効になっており、無効にできません全ユーザーロールで有効
Force password change (パスワードの変更を強制する)パスワード強制リセット時に表示されるメッセージすYou are required to change your password because the password you are using exists on database breach records.
Password Reset (パスワードのリセット)の設定項目

セキュリティ侵害が発生した場合、次回ログイン時にユーザーにパスワードの変更を強制します。

Pwned Passwords (盗まれたパスワード)の設定項目
設定項目説明初期設定
User Roles (ユーザーロール)セキュリティ侵害があった場合にパスワードリセットを有効にするユーザー ロールを選択全ユーザーロールで有効
Message (メッセージ)パスワードリセットが強制されたときにユーザーに表示されるメッセージをカスタマイズYou are required to change your password to a new one to use this site.
Google reCAPTCHAの設定項目

セキュリティヘッダーを有効にすることで、Webサイトのセキュリティを強化します

Mask Login Area(マスクログインエリア)の設定項目
設定項目説明初期設定
Configure reCAPTCHA (reCAPTCHAを設定する)フォームで使用するreCAPTCHA タイプを選択し、プラグイン全体で使用するサイト キーとシークレット キーを入力。検証が失敗するスコアを選択V2チェックボックス or V2インビシブル or V3
スコア:0.5
Language(言語)デフォルトでは、reCAPTCHAはWebサイトの言語で表示自動
Error Message (エラーメッセージ)reCAPTCHA検証が失敗したときに表示するエラーメッセージをカスタマイズreCAPTCHA verification failed. Please try again.
reCAPTCHA Locations (reCAPTCHAの場所)reCAPTCHA人間検証システムを導入するフォームを選択全てオフ
WooCommerceWooCommerceストアページの訪問者を検証するには、reCAPTCHAを有効にしますオフ
BuddyPressBuddyPressページの訪問者を検証するには、reCAPTCHA を有効にしますオフ
Disable for logged in users (ログインしたユーザーに対して無効にする)ログインしたユーザーはreCAPTCHA を無効にするオン

Notifications (通知)

Defender SecurityのNotifications(通知)画面Defender SecurityのNotifications(通知)画面

↑通知とレポートを1か所で有効化およびスケジュール設定できます。
カスタマイズされたセキュリティレポートが受信トレイに配信されます。

Notifications(通知)の項目
設定項目説明初期設定
Security Recommendations – Notification (セキュリティ推奨事項 – 通知)セキュリティ推奨事項を修正する必要がある場合は、メール通知を受け取る無効
Malware Scanning – Notification (マルウェアスキャン – 通知)手動のマルウェア スキャンを完了したときに電子メール通知を受け取る無効
Firewall – Notification (ファイアウォール – 通知)ログイン領域にアクセスしようとしたユーザーまたはIPがロックアウトされたときにメールを受け取る無効
Malware Scanning -Reporting (マルウェアスキャンレポート)Webサイトの定期的なスキャンを自動で実行し、レポートをメールで送信有料版の機能
Firewall-Reporting (ファイアウォールレポート)ロックアウトレポートを自動的にメールで送信有料版の機能
Audit Logging-Reporting (監査ログレポート)Webサイトの全てのイベント概要を自動的にメールで送信有料版の機能

Settings (設定)

Defender SecurityのSettings(設定)画面Defender SecurityのSettings(設定)画面

Settings(設定)には下記の5つの設定画面があります。

  • General (一般)
  • Configs (構成)
  • Data & Settings (データと設定)
  • Accessibility (アクセシビリティ)
General (一般)の設定項目

一般の設定項目は翻訳言語だけです。

Mask Login Area(マスクログインエリア)の項目
設定項目説明初期設定
Masking URL slug (翻訳)デフォルトはサイトの管理設定で設定された言語を使用
Configs (構成)の設定項目

設定をダウンロードして他のサイトで利用できます。

Configs(構成)の項目
設定項目説明初期設定
Masking URL slug (基本設定)プリセットされた基本設定を読み込んで適応することができる。または現在の設定をダウンロードしてファイル保存できる
Data & Settings (データと設定)の設定項目

当プラグインがリセットされたりサイトから削除されたりした場合、設定とデータの状態を指定できます。設定は各モジュールの構成オプションです。データにはログ、統計、時間の経過とともに保存される情報が含まれます。

Data & Settings(データと設定)の項目
設定項目説明初期設定
Masking URL slug (アンインストール)当プラグインをアンインストールする場合、設定と保存されたデータをどうするか指定設定:保存する
データ:保存する
Accessibility (アクセシビリティ)の設定項目

プラグインインターフェイスで利用可能なアクセシビリティ拡張機能のサポートを有効にします

Accessibility(アクセシビリティ)の項目
設定項目説明初期設定
Masking URL slug (ハイコントラストモード)WCAG AAA要件を満たすために、当プラグインのインターフェースの要素とコンポーネントの可視性とアクセシビリティを向上させるオフ

 

Tutorials (チュートリアル)

Defender SecurityのTutorials(チュートリアル)画面Defender SecurityのTutorials(チュートリアル)画面

↑公式サイトのサポートページへの外部リンクが表示されます。

2要素認証(2段階認証)

ワンタイムパスワード生成にPC版のGoogle Authenticatorを使った場合の2要素認証(2段階認証)設定方法を解説します。

設定方法は下記の手順になります。

  1. Google Authenticatorをchromeの拡張機能に追加してブラウザのタスクバーにピン止め表示する
  2. 2FAのProfile pageのリンクをクリックして、ユーザーのプロフィール画面下のTwo-Factor Authenticationの2FA Methodを選択してGoogle Authenticatorに紐づける

①のGoogle Authenticatorをchromeの拡張機能に追加する手順は下記の記事を参考にしてください↓

Google Authenticatorの使い方 アイキャッチ
Google Authenticatorの使い方2段階認証(2要素認証)用のワンタイムパスワードを生成するソフトウェア Google Authenticatorの使い方と設定方法を解説...

①が完了したら、②のDefender SecurityプラグインをGoogle Authenticatorに登録して紐づけます。

Defender SecurityプラグインをGoogle Authenticatorに登録(紐づけ)

WordPress管理者画面にあるユーザーのプロフィール画面下のTwo-Factor AuthenticationWordPress管理者画面にあるユーザーのプロフィール画面下のTwo-Factor Authentication

↑WordPressのユーザープロフィール画面最下段にある2FA MethodのTOTP Authenticator Appを有効にします。

次に、Google Authenticatorで画面に表示されたQRコードをマウス操作で囲んでスキャンします。

QRコードを読み込むと表示されるポップアップ画面QRコードを読み込むと表示されるポップアップ画面

サイトを読み込みしますか?のポップアップが表示されるので”再読み込み”をクリックします。

Google Authenticator登録(紐づけ)完了時に表示されるポップアップ画面Google Authenticator登録(紐づけ)完了時に表示されるポップアップ画面

WordPressログイン画面のワンタイムパスワード入力画面

WordPressの通常のIDとPWでログイン後に表示されるDefender Securityの2要素認証のワンタイムパスワード入力画面WordPressの通常のIDとPWでログイン後に表示されるDefender Securityの2要素認証のワンタイムパスワード入力画面

↑通常のユーザ名とパスワードを入力するWordPressログイン画面で認証後に、このワンタイムパスワード入力画面が表示されます。
Google Authenticatorで生成表示された6桁のパスワードをコピペして”Authenticate”ボタンをクリックすればログインできます。

当方の環境では2FA Methodは”TOTP Authenticator App“1つだけだとワンタイムパスワード入力フォームが表示されない不具合が発生しログインできなくなりました。

解決策として、”Backup Codes“と”Fallback Email“の2つを追加して合計3つの認証方式を有効にすることでワンタイムパスワード入力フォームが表示されるようになりました。

もし、何かしらの不具合が発生してログインできなくなった場合は、サーバーのファイルマネージャー(エックスサーバの場合)でドメイン/public_html/wp-contnet/plugins/defender-securityのディレクトリ(フォルダ)名をdefender-security-等に変更するとDefender Securityプラグインが無効になるので、通常の認証方式のみでログインできるようになります。

実際にDefender Securityを使った感想とメリットデメリット

実際にDefender Securityを使ってみた感じたメリットとデメリットです。

Defender Securityのメリット

  • 無料版でも必要十分なセキュリティ機能が利用できる
  • 404エラー検出ロックアウト機能が使える
  • 複数の2要素認証の方式を有効化できる
  • 公式サイトにドキュメントが充実しているので各種設定の意味と機能が理解し易い

無料版でも必須のセキュリティ機能が過不足なく使えることが大きなメリットです。

404エラー(存在しないページへアクセスしたときに表示されるHTTPステータスコード)を繰り返すアクセスをブロックできる機能が使えるので、サーバーリソースの節約になります。

Authenticatorアプリケーション以外の、2要素認証用セキュリティUSBデバイスの指キー(Yubiky)を使えたり、電子メールも認証に使えます。

Defender Securityのデメリット

  • 設定が細かいので時間が掛かり、やや敷居が高い
  • 2要素認証方式が”TOTP 認証アプリ”1つだけだとワンタイムパスワード入力フォームが表示されない不具合が発生した
  • 80%OFFといった有料版バーナーのアピールが目につく

2要素認証のワンタイムパスワード入力フォームが表示されず、ログインできなくなる不具合に遭いました。他のプラグインとの競合やサーバー環境が原因かもしれませんが、他のセキュリティ対策プラグインの2要素認証機能では発生しなかったので、それらと比較すると、安定性と信頼性に欠ける印象が強いです。

それに加えて、ある程度のWeb知識がないと、機能の多さも仇となって、使い難い印象を受けるかもしれません。

まとめ

Defender Securityは2要素認証やreCAPTCHAなどの有用なセキュリティ対策機能が1つのプラグインで賄えることが特長です。

細かいカスタマイズが可能なので、ある程度慣れた人にとっては使い易く、痒い所に手が届く機能が備わっている印象が強いです。

柔軟に設定をカスタマイズできる利点は魅力的ですが、いっぽうで、やや設定の項目数が多く、敷居が高くやや面倒に感じる箇所があります。
例えば、ワンタイムパスワード入力フォームが表示されない不具合でログインできなくなり、複数の2要素認証の方式を選択することで改善したということが起きました。

他の有名セキュリティ対策プラグインと比べると、安定感に欠けているため、トラブル時の解決方法を自力で調査できる人以外は利用するのは避けたほうが無難かもしれません。

とはいえ、不正アクセスを防ぐ実用的な機能が不足なく、複数備わっている唯一無二のセキュリティ対策プラグインなので、ある程度慣れている人には非常におススメです。

関連記事