初心者が扱いやすいセキュリティープラグイン『Wordfence』の設定方法
セキュリティ対策プラグインのWordfence Webアプリケーションファイアウォールは、PHPベースのアプリケーションレベルのファイアウォールで、サイトへの悪意のある要求をフィルタリングするプラグインです。
一般的なWebベースの攻撃だけでなく、ワードプレスのコアファイルやテーマやプラグインを対象とした大量の攻撃を防ぎます。プラグインやテーマが潜在的に脆弱なコードを実行する前に、攻撃をフィルタリングするプラグインです。
対応する攻撃の種類
・悪意のあるファイルのアップロード
・ローカルファイルのインクルード
・ディレクトリラバーサル
・外部エンティティ拡張
目次
1 無料版と有料版の違い
有料版は
・ファイヤーウォールルールとマルウェアシグネチャのリアルタイムアップデート(無料版は30日経過後にアップデート)
・サイトやIPアドレスが、スパムや悪質な行為を行ったためブラックリストに登録されていないか確認する。
・接続元の国を指定してIPブロックすることができる。
・無料版より更に高度なコメントスパムフィルタが利用できる。
・WPのログインパスを2要素認証にすることができる。
です。
スパムやマルウェアは日々、新しい物が作られ、またその亜種もすぐに増殖すると言われていますが、30日間というタイムラグがどれほど危険度が増すのか不明です。
とは言え、30日経過後は、機能が若干劣るものの有料版で使われているものですからセキュリティー機能の向上に繋がるのは間違いないです。
不正侵入を試みる接続元は多岐に及びますが、中国やアフリカ諸国などが多いという傾向が見られるので、国を指定して接続を遮断できるのは非常に有効な対策です。無料版でもカントリーブロックが使えるといいのですが・・・。
コメントスパム対策プラグインと言えば「Akismet」が有名ですが、Akismetと合わせて使用することでより強力なスパム対策になります。無料版は有料版に比べて少々フィルター機能が劣るようですがAkismetの補完になることには違いありません。
2要素認証は、WPのログインブルートフォース攻撃に有効な対策で有料版で有効となる機能ですが、他のプラグインを併用すれば2要素認証の導入は可能です。
当たり前ですが、性能は有料版より劣りますが無料版でもセキュリティー機能を向上させるのには十分の性能があると言えます。
サイト立ち上げ当初は、アクセス数も少ないので無料版を導入しておき、安定した収入が得られるようになったら有料版にアップグレードして更にセキュリティー機能を高めるのも一つの方法だと思います。
早速、インストールしていきましょう。
2 Wordfenceのインストール
ダッシュボード > プラグイン > 新規追加 をクリックして右上のキーワードに『wordfence Security』と入力すると、プラグインが表示されるので「今すぐインストール」をクリックします。
インストール完了後、「有効化」します。
『Wordfence』の使用登録を行います。
連絡用のメールアドレスを入力して「CONTINUE」をクリックすると、次の写真のポップアップ画像が表示されます。
この画面は『Wordfence』の有料版への申し込み画面です。
『Wordfence』の無料版を使用するので「No Thanks」をクリックして画面を閉じます。
登録したメールアドレスに登録を完了させるためのメールが届いているはずです。
メールボックスを確認してください。
Wordfenceから届いているメールを開き、「Confirm my subscription」をクリックするだけで、登録者手続きは完了します。
これで『Wordfence』のインストールは完了しました。
3 Wordfenceの設定方法
ダッシュボードに『Wordfence』のメニューが追加されています。
最初にファイヤーウォールの最適化をします。
「Dashboard(ダッシュボード)」を開くとページ上部に次のメッセージが表示されています。
サイトの安全性を可能な限り高めるためにファイヤーウォールを最適化するか聞いています。
最適化するため「CLICK HERE TO CONFIGURE」をクリックすると次のポップアップ画面が表示されます。
最適化に合わせて「.HTACCESS」が書き換えられます。
万が一、不具合が発生した時にすぐに復帰できるよう最適化前の「.HTACCESS」をダウンロードした後、「CONTINUE」をクリックします。
自動的に最適化が実行されます。
『Wordfence』を有効化すると、自動的に「学習モード」になり、サイトの情報や訪問者などを学びこれらを保護する方法を学習した後、ファイヤーウォールが有効になり「Wordfence」がサイトを守ってくれます。
『Wordfence』は細かい設定は不要(デフォルトのままでOK)なのですが、詳細設定を変更することも可能です。
個人的に変更しておいた方がいいと思う設定項目が2か所あるので紹介します。(デフォルトのままでも支障ありません。)
All Option > Wordfence Global Options > General Wordfence Options
「Hide Wordpress Version」にチェックを入れます。
ワードプレスの仕様で、バージョン情報がサイト内に表示されています。ワードプレスのバージョンにより攻撃コードが変わるため、攻撃者に的を絞りやすくさせないようにワードプレスのバージョン情報は表示させない方がいいと思います。
※ワードプレスは常に最新バージョンで使用するべきですが、大幅な変更があった時などはバグなどが発生しないか見極めるためアップデートを遅らせる場合があります)
もう一か所は
All Options > Firewall > Brute Force Protection のロックアウトまでの回数や時間が変更し、直ちにIPブロックするログインIDを登録しておくほうがいいです。
ブルートフォースアタックはプログラムで自動的に攻撃を繰り返してくるため長時間いおよび本当にしつこいです(笑)。
ロックアウトさせる回数は、自分が入力を誤りログインに失敗することもあるので「5回~10回」が適度な回数かと思います。
不正ログインを試みる間隔も攻撃者によりマチマチで、数秒間隔だったり、数分間隔だったりもします。ログインログを見て状況に合わせて変更してください。
不正ログインで試してくるログインIDの代表的なものは、「admin」「administrator」「サイトドメイン(このサイトならば「easy-wordpress」など)」「投稿者のスラグ」です。
これらのログインIDで侵入を試みるIPアドレスは、すぐさまブロックしてしまいましょう。
デフォルト以外で設定を変えておいた方がいい項目はこの2点です。
その他、使っていて不都合を感じたらその都度変更してください。
Wordfenceの設定方法は以上です。
難しい設定も不要で、設定項目のほとんどがデフォルトの状態で使用できるため、初心者でも無料で簡単にワードプレスのセキュリティー機能を高めてくれます、
この記事があなたのお役に立てたら幸いです。
またこの記事がお役に立てれたならhatena・Facebook・Twitterでシェアして頂けると励みになります。
Themifyを無料で試す方法
料金プランと割り引き情報
購入ページとDL方法の解説
2021年5月17日 @ 4:40 PM
参考になりました
2021年5月18日 @ 7:15 AM
コメントありがとうございます。
仕事が忙し過ぎて記事を更新できていませんが、頑張っていきたいです。