WordPress設定

Wordfence Security セキュリティ対策プラグイン 設定方法と使い方

Wordfence Security セキュリティ対策プラグイン 設定方法と使い方 アイキャッチ

この記事を読むのに必要な時間は1分です。

ワードプレス(WordPress)のセキュリティ対策プラグイン Wordfence Securityの設定方法と使い方を解説します。

この記事を見ることで得られるメリット
  • Wordfence Security の使い方と詳細な設定方法がわかります

Wordfence Securityで実現できること

Wordfence Securityは無料版と有料版があります。
無料版は悪意のある通信を遮断するWAFの更新情報が30日遅れでアップデートされたり、リアルタイムでのIP拒否機能が使えない等の制限があります。

有料版はWebサイト(ブログ)のIPアドレスが悪意やスパムのセキュリティ問題生成のブロックリストに登録されていないか確認することができたり、特定の国のIPアドレスからの接続をブロックできる機能が使えます。

無料版でもWordpressのログイン画面に2段階認証(2要素認証)を設けて不正ログインを防いだり、reCAPTCHAでボットのログインやスパムを防止できます。

アメリカにあるDefiant IncというWordPressに特化したセキュリティ会社が手掛けているプラグインなので、設定画面に英語表記が多く、機能の詳細がやや難解です。

特定の国からのIPアドレス制限はVPNを使ったアクセスには効果がありません

Wordfence Securityの主な機能

Wordfence Security 無料版の主な機能は次の通りです。

  • WAF(Web Application Firewall):
    悪意のある通信を遮断(アップデートは30日遅れる)
  • ログインセキュリティ:
    reCAPTCHAでボットのログインやスパムを防止
  • 2段階認証:
    ログイン時に2段階認証を行うトークンソフトウェアに表示されたワンタイムパスワードを入力
  • セキュリティスキャナー:
    WordPress内のファイル、テーマ、プラグインにマルウェアなどの悪意あるコードやコンテンツがないかチェックし、不審なファイルを削除できる
  • XMLRPC 無効:
    スマホから記事の編集などができる機能を停止し、DDoS攻撃を防止するか、2段階認証を追加できる
  • REST API 無効
    ログインユーザー名の流出を防止

これらの機能の詳細と設定方法は後述しています。

  • ログインURLの末尾をランダムな数値または任意の文字列に変更できるログインURL変更機能は搭載されていません
  • reCAPTCHAを利用できるのはログイン画面だけで、それ以外の問い合わせフォーム等にはreCAPTCHAを有効にすることはできません

アメリカのWordPress専門のセキュリティ会社が手掛けている、プラグインなので機能が多く、Web全般の知識が必要です。

Wordfence Securityの推奨機能とオンラインマニュアル

Wordfence Security 公式サイトのオンラインマニュアルに各機能の説明が載っています↓
https://www.wordfence.com/help/wordfence-free/

英語ですが日本語に翻訳すれば理解できる内容です。

Wordfence Securityのインストール方法

Wordfence Security プラグインをWordPressにインストールする方法を解説します。

WoredPressのダッシュボード(管理者画面)の新規プラグイン追加画面WoredPressのダッシュボード(管理者画面)の新規プラグイン追加画面
  1. WordPressのダッシュボード(管理者画面)の「プラグイン」をクリックします
  2. 「新規プラグインを追加」をクリックします
  3. 検索ボックスに”Wordfence Security ”と入力すると下に検索結果が表示されます
  4. ”Wordfence Security~”の「今すぐインストール」ボタンをクリックします
“Wordfence Security”のインストール完了画面“Wordfence Security”のインストール完了画面

↑Wordfence Security のインストールが完了すると有効化ボタンが表示されるのでクリックします。

"Solid Security"を有効化すると表示されるプラグイン画面“Wordfence Security”を有効化すると表示されるプラグイン画面

これでWordfence Security のインストールと有効化は完了です。

Wordfence Securityの設定

Wordfence Securityプラグインを有効化するとダッシュボード(管理画面)の設定の中に「セキュリティ」が表示されます↓

Wordfence Securityプラグインのダッシュボード(管理画面)Wordfence Securityプラグインのダッシュボード(管理画面)

Wordfence Securityプラグインの設定画面はダッシュボード(管理画面)の設定の中の「Wordfence」をクリックします。

ライセンスの取得

Wordfence Securityは使うには、ライセンスキーを取得してプラグインに登録する必要があります。

Wordfence Securityプラグインをインストールして有効化すると最初にライセンスキー取得の画面が表示されます。

※以降のページはデフォルトでは英語表記です。当記事では日本語に翻訳した画像を載せています。

Wordfence Securityのライセンス選択画面Wordfence Securityのライセンス選択画面

↑初めてWordfence Securityプラグインを利用する場合はWORDFENCE ライセンスを入手ボタンをクリックします。
プラグインの再インストール等で既にライセンスキーを取得している場合は下の「既存のライセンスをインストール」のリンクを押してください。

Wordfence Securityの無料または有料ライセンス選択画面Wordfence Securityの無料または有料ライセンス選択画面

無料ライセンスを取得するボタンをクリックします。

Wordfence Securityの無料ライセンスの更新情報は有料版の30日遅れになる旨の同意画面Wordfence Securityの無料ライセンスの更新情報は有料版の30日遅れになる旨の同意画面

↑無料版は有料版の30日遅れでリアルタイム保護の情報が更新されることへの同意画面が表示されるので、「新たな脅威から保護されるまで30日間待っても問題ありません」のリンクをクリックします。

Wordfence Securityの無料ライセンス送付先アドレス入力と遅延保護同意画面Wordfence Securityの無料ライセンス送付先アドレス入力と遅延保護同意画面

↑無料版は有料版の30日遅れでリアルタイム保護の情報が更新される(遅延保護)ことへの同意と、ライセンスキー送付用のメールアドレスを登録する画面が表示されるので下記のとおり入力します。

  1. Eメール:任意のメールアドレスを入力
  2. WordPressのセキュリティと脆弱性の警告を電子メールで送信したいですか?:いいえ
  3. Wordfenceライセンス規約の同意:☑
  4. 登録するボタンをクリック
Wordfence Securityの無料ライセンス送信後に表示される画面Wordfence Securityの無料ライセンス送信後に表示される画面

↑登録したメールアドレス宛てにライセンスキーが送信されると、この画面が表示されるのでメールを確認します。

ライセンスのインストール

メールアドレスに届いたWordfence Securityのライセンスメールアドレスに届いたWordfence Securityのライセンス

↑「Your Wordfence License」という件名で届いたメール本文にある、ライセンスキーを自動でインストールするボタンをクリックします。
その後、WordPressの画面に戻ります。
※手動登録用のライセンスキーはメール本文の下部に記載されています。

Wordfence Securityのライセンスインストール画面Wordfence Securityのライセンスインストール画面

↑この画面では下記の内容を入力します。

  1. メールアドレス:ライセンス取得時に登録したメールアドレス※自動インスト―ルの場合は既に入力済
  2. ライセンスキー:登録したメールアドレス宛に届いたライセンスキー※自動インスト―ルの場合は既に入力済
  3. ライセンスインストールボタンをクリック
Wordfence Security 無料ライセンスのインストール完了画面Wordfence Security 無料ライセンスのインストール完了画面

↑無料ライセンス登録済み画面が表示されるのでダッシュボードへボタンをクリックします。

以上でWordfence Securityプラグインへの無料ライセンスの登録は完了です。

初期設定

無料のライセンスキーを登録後、Wordfence Securityプラグインのダッシュボード(管理者)画面に戻ると、画面上部に注意書きが表示されています↓

Wordfence Security ライセンス登録直後のダッシュボード画面上部の注意メッセージWordfence Security ライセンス登録直後のダッシュボード画面上部の注意メッセージ

↑下の段にWordfence Securityプラグインの自動更新有効化の案内が表示され、その上にはWAF機能の最適化設定の案内が表示されるので下記の順番で操作します。

  1. 「はい、自動更新を有効化します。」のリンクをクリック
  2. WAF最適化の「設定をするにはここをクリック」のリンクをクリック

①でプラグインの自動更新が有効化され、②はWordfence ファイアウォールの最適化画面が表示されます。

Wordfence ファイアウォールの最適化

Wordfence Security ファイアウォール機能はかなり特殊で、最適化設定投入後から学習期間が1週間設けられます。

Wordfence Security ファイアウォールの最適化選択画面Wordfence Security ファイアウォールの最適化選択画面

↑最初、Apache+CGI/FastCGIが選択されています。「recommended based on our taest」とあるように推奨なので、この状態のまま次へボタンをクリックします。
.htaccessと.user.iniをダウンロードするボタンもありますが、レンタルサーバーを利用している場合は必須ではありません。

.htaccessへの影響は後述しています。

Wordfence Security ファイアウォールの最適化選択画面で表示される全選択肢を記載します。

  • Apache + mod_php
  • Apache + suPHP
  • Apache+CGI/FastCGI (recommended based on our taest)
  • LiteSpeed/lsapi
  • NGINX
  • Windows(IIS)
  • 手動構成
Wordfence Securit ファイアウォールの最適化選択後の画面Wordfence Security ファイアウォールの最適化選択後の画面

↑最適化の選択を終えると「インストール成功」と表示されるので閉じるボタンをクリックします。

Wordfence Security ファイアウォール 学習モード中の画面Wordfence Security ファイアウォール 学習モード中の画面

↑Wordfence Securityのファイアウォール画面には最適化設定後、7日から8日ほど学習期間中と表示されます。

以上でWordfence Security ファイアウォール最適化は完了です。

Wordfence Securityの設定画面

Wordfence Securityには下記の8項目あります。

  • ダッシュボード
    Webサイトのセキュリティ状況と各種設定・機能画面への内部リンク画面
  • ファイアウォール
    WAF機能の稼働状況を表示
  • スキャン
    WordPressファイル、プラグイン、テーマのセキュリティスキャン実施と結果を表示
  • ツール
    ライブ通信状況、Whoisルックアップ、オプションのインポート/エクスポート、診断
  • ログインセキュリティ
    2段階認証(2要素認証)とreCAPTCHAの設定
  • すべてのオプション
    Wordfence Securityプラグインの全設定項目を操作
  • ヘルプ
    操作説明書のリンク一覧
  • プレミアムアップグレード
    有料版案内ページへのリンク

※ヘルプや有料版案内のリンク先はすべて英語表記です。

ダッシュボード

Wordfence Securityのダッシュボード画面Wordfence Securityのダッシュボード画面

↑Wordfence Securityプラグインの稼働状況と各機能への内部リンクが表示されています。
ファイアウォールやスキャン、ツール、ヘルプ、全般設定画面への内部リンクを押すと各画面に遷移します。

ファイアウォール

Wordfence Securityのファイアウォール画面Wordfence Securityのファイアウォール画面

↑ファイアウォール機能(WAF)の設定を変更できます。
ファイアウォール画面の中には下記の項目(内部リンク)があります。

  • WAF管理:
    ※すべてのファイアウォール設定内のファイアウォール設定へのリンク
  • ブルートフォース保護の管理:
    ※すべてのファイアウォール設定へのリンク
  • レート制限:
    ※すべてのファイアウォール設定へのリンク
  • ブロック:
    IPアドレス、ホスト名、ブラウザ、リファラーなどの条件によってブロックする対象を指定可能
  • ヘルプ:
    Wordfence Securityの機能や設定などのマニュアル公式サイトへのリンク集
  • すべてのファイアウォール設定:
    ファイアウォール設定、ブルートフォース保護の管理、レート制限、許可されたURLの設定画面

※ブロックとヘルプ以外はすべてのファイアウォール設定への内部リンクになっています。
すべてのファイアウォール設定は”すべてのオプション”にも含まれており、同じ内容です。
つまり、複数の箇所から同じ設定内容にアクセスできるようになっています。

ブロック
Wordfence Security ファイアウォールのブロック画面Wordfence Security ファイアウォールのブロック画面

↑カスタムパターンを使うと細かな条件でアクセスをブロックできます。
国別は有料版のみです。

スキャン

Wordfence Securityのスキャン画面Wordfence Securityのスキャン画面

↑この画面からサイトスキャンを実施できます。
投稿、コメント、WordPressファイル、テーマ、プラグイン、ユーザー、URLをスキャンして、セキュリティに問題がないかチェックしてくれます。

スキャン結果
Wordfence Securityのスキャン結果画面Wordfence Securityのスキャン結果画面

↑プラグインの残骸が脆弱性として指摘されています。
この画面からプラグインの残骸ファイルを削除することができます。

ツール

ツールは下記の4項目です。

  • ライブトラフィック
  • Whois ルックアップ
  • オプションのインポート/エクスポート
  • 診断
ライブトラフィック
Wordfence Security ツールのライブトラフィック画面Wordfence Security ツールのライブトラフィック画面

↑ライブトラフィックではWebサイト(ブログ)に対してアクセスのあった通信がすべて確認できます。

Wordfence SecurityでブロックしたXML-RPCへのアクセスWordfence SecurityでブロックしたXML-RPCへのアクセス

↑Wordfence Securityでブロック済みのXML-RPCへのアクセス履歴です。
人間かボットかも判定してくれます。

Whois ルックアップ
Wordfence Security ツールのWhois ルックアップ画面Wordfence Security ツールのWhois ルックアップ画面

Whoisルックアップで悪意のあるアクセスのIPアドレスやドメインの所有者を調べることができます。

オプションのインポート/エクスポート
Wordfence Security ツールのオプションのインポート/エクスポート画面Wordfence Security ツールのオプションのインポート/エクスポート画面

↑別のWebサイト(ブログ)で使っていたWordfence Securityの設定を丸ごとインポートしたり、設定内容を丸ごと抜き出して違うサイトに移植(エクスポート)することもできます。

診断
Wordfence Security ツールの診断画面Wordfence Security ツールの診断画面

↑Webサイト(ブログ)の各種情報を確認することができます。
表示されている情報をテキストファイルでダウンロードしたり、メールで送信することもできます。

ログインセキュリティ

ログインセキュリティに二要素認証と設定の項目があります。

二要素認証
Wordfence Security ログインセキュリティの二要素認証画面Wordfence Security ログインセキュリティの二要素認証画面

↑この画面の左側に表示されているQRコードを、二段階認証を行うトークンソフトウェアをインストールしたスマホで読み込んで、ワンタイムパスワードを発行し、WordPressの管理画面へのログイン画面でパスワード入力します。

この二要素認証(2段階認証)は設定手順が多く、やや複雑なので別記事にしています↓
Wordfence Security 2段階認証の設定方法と使い方

設定
Wordfence Security ログインセキュリティの設定画面(2FA・WooCommerce&カスタム連携)Wordfence Security ログインセキュリティの設定画面(2FA・WooCommerce&カスタム連携)

↑画像をクリックすると拡大します。
2段階認証(2FA)とXML-RPCの設定、WooCommerceという電子商取引プラグイン連携用の設定です。

Wordfence Security ログインセキュリティの設定画面(reCAPTCHA・一般)Wordfence Security ログインセキュリティの設定画面(reCAPTCHA・一般)

↑画像をクリックすると拡大します。
reCAPTCHAをWordPressの管理画面ログインページで有効にするためにサイトキーやシークレットキーの入力欄があります。

すべてのオプション

すべてのオプション画面内には下記の設定項目があります。

  • Wordfence の全般設定
  • ファイアウォール設定
  • ブロックオプション※有料版の機能
  • スキャンオプション
  • ツール設定
Wordfence の全般設定
Wordfence Security すべてのオプション画面(Wordfence の全般設定 1/2)Wordfence Security すべてのオプション画面(Wordfence の全般設定 1/2)
Wordfence Security すべてのオプション画面(Wordfence の全般設定 2/2)Wordfence Security すべてのオプション画面(Wordfence の全般設定 2/2)

↑画像をクリックすると拡大します。
Wordfence の全般設定の項目はメール通知の内容や自動更新などです。

 

ファイアウォール設定
Wordfence Security すべてのオプション画面(ファイアウォール設定 1/3)Wordfence Security すべてのオプション画面(ファイアウォール設定 1/3)
Wordfence Security すべてのオプション画面(ファイアウォール設定 2/3)Wordfence Security すべてのオプション画面(ファイアウォール設定 2/3)
Wordfence Security すべてのオプション画面(ファイアウォール設定 3/3)Wordfence Security すべてのオプション画面(ファイアウォール設定 3/3)

↑画像をクリックすると拡大します。
ファイアウォール設定の項目はWAFで許可されたサイトやIPリスト、ブルートフォース攻撃からの保護などです。

ブロックオプション
Wordfence Security すべてのオプション画面(ブロックオプション※有料版の機能)Wordfence Security すべてのオプション画面(ブロックオプション※有料版の機能)

↑国別ブロック機能は有料版の機能です。

スキャンオプション
Wordfence Security すべてのオプション画面(スキャンオプション 1/2)Wordfence Security すべてのオプション画面(スキャンオプション 1/2)
Wordfence Security すべてのオプション画面(スキャンオプション 2/2)Wordfence Security すべてのオプション画面(スキャンオプション 2/2)

↑サイトスキャンの精査範囲と設定を変更できます。

ツール設定
Wordfence Security すべてのオプション画面(ツール設定)Wordfence Security すべてのオプション画面(ツール設定)

ライブトラフィックの設定や表示形式を変更できます。

ヘルプ

Wordfence Security ヘルプ画面Wordfence Security ヘルプ画面

↑Wordfence Security公式ヘルプサイトのリンク一覧が表示されています。

プレミアムアップグレード

Wordfence Security プレミアムアップグレード画面Wordfence Security プレミアムアップグレード画面

↑プレミアムアップグレードは有料版の外部リンクになっています。

実際にWordfence Securityを使った感想とメリットデメリット

実際にWordfence Securityを使ってみた感じたメリットとデメリットです。

Wordfence Securityのメリット

WordPressに特化した会社が手掛けているプラグインなので安心感がある点と、スマホを利用した2段階認証を設定できる点がメリットです。

それと、通信状況とブロック状況の詳細が非常に具体的で分かり易いです。

Wordfence Securityのデメリット

有料版の宣伝PRが多い点や、設定項目と内部リンクが多いので操作性が良くありません。

ラインスキーの登録が面倒で、WAFの学習に1週間掛かったり、無料版は更新情報の反映が30日遅れたりと、設定全般に時間が掛かる点がデメリットです。

まとめ

Wordfence SecurityはWordPress専門のセキュリティ会社のプラグインなので安心感があります。

とくに、リアルタイムの通信状況は、悪意のあるアクセスを防いでくれていることを視覚的に分かりやすく表示してくれるので、効果を実感しやすいです。

他のセキュリティ用プラグインと比較すると、完成度は高いです。
細部が作り込まれていて、スマホを使った2段階認証をログイン画面に設定できたり、サイトスキャンの指摘が細やかな点も好印象です。

いっぽうで、公式ヘルプサイトが英語だったり、ライセンスキー登録が必須だったりと、導入までに時間が掛かる点や、WAFの最新情報の更新情報が30日遅れたりといった、使い難い点も多いです。

WordPress用のセキュリティ対策用プラグは沢山ありますが、その中でも安心感と完成度は高いです。

とくに、スマホとワンタイムパスワードを使った二段階認証をログイン画面に設定したい場合はおすすめのプラグインです。

Wordfence Securityの2段階認証の設定方法と使い方はこちらの記事です↓
Wordfence Security 2段階認証の設定方法と使い方