セキュリティが弱いと言われるWordPressサイトですが、少しの工夫で対策できます。
「WordPressはセキュリティに弱い」 と言われているのはご存知でしょうか。 個人やフリーランスの方よりも、企業。特に大企業のWeb担当者はWordPressの脆弱性を意識される傾向があります。規模が大きな企業ほど社内コンプライアンスの意識が確立されていることに加え、被害が出た時のダ...
複雑なパスワードでログイン情報を保護したり、セキュリティプラグインを導入するなど。対策方法はさまざまです。
今回は、中でも人気のセキュリティプラグイン「Wordfence Security」をご紹介します。ファイアウォールや、マルウェアのスキャナー、二要素認証などをすぐに導入できます。
目次
「Wordfence Security」の機能概要
Wordfence Securityとは、累計500万回以上インストールされている人気のWordPressプラグインです。
いわゆるセキュリティプラグインで、次の主要機能が無料で使えるようになります。
- ファイアウォール
- マルウェアや脆弱性のスキャン
- ログインセキュリティ(二要素認証)
有料版もありますが、無料版でも必要に応じて管理者に通知してくれるなど、十分実用レベルです。
プラグインのインストール
管理画面から「Wordfence Security」を検索するか、下のボタンからもダウンロード可能です。プラグインファイルを wp-content/pluginsディレクトリにアップした後、管理画面から有効化してください。
プラグインのインストール方法は、こちらで詳しく解説しています。
WordPressで制作したサイトは、プラグインを使って簡単に機能を拡張することができますよね。当記事では、プラグインのインストール方法について解説してきます。 おすすめプラグインを見る プラグインのインストール方法は2つ プラグインのインストール方法は、下記の2つになります。基本的には、...
Wordfence Securityの使い方
今回は、無料版で使える主要機能について使い方・設定方法をご紹介いたします。以下のステップで進めていきます。
1. セットアップ(無料ライセンス取得)
Wordfenceを有効化すると、最初にライセンスの取得を求められます。
「WORDFENCE ライセンスを入手」ボタンを押して、次の画面で一番左の無料プラン「Get a Free License」をクリックします。
次に表示される画面でメールアドレスの入力と、利用規約への同意が求められます。
導入するサイトのURLに間違いがなければ、メールアドレスを入力し、「Yes」を選択してください。
登録したメールアドレスには通知やアラートが届くため、普段使用しているものを登録するのが理想です。
最後のチェックボックスにチェックを入れて、「Register」を押します。
上記画面が表示されたら、登録したメールアドレスにメールが届いているかチェックします。
このようなメールが届いているはずなので、「Install My License Automatically」をクリックして、ライセンスを取得します。
上記画面にメールアドレスとライセンスキーが表示されるので、「ライセンスインストール」を押せば、セットアップ完了です。
「Wordfence ダッシュボード」という管理画面が自動で開くはずです。
2. ファイアウォールの最適化
Wordfenceのファイアウォール(WAF)は、悪質なアクセスやボットを遮断するための機能です。
ダッシュボード左側の「Wordfence > ファイアウォール」から、状態の確認や各種設定が可能です。
ここでは主に以下の設定を行います。
ファイアウォールの詳細設定
まずは「ファイアウォールを管理」を押してください。
確認・設定するのは上記2箇所です。
左側が「学習モード」になっており、「次のとき自動的に有効化」にチェックが入っていて、日付が表示されていればOKです。
続いて、右側の「WORDFENCE ファイアウォールの最適化」から保護レベルを設定していきます。
上記画面が表示されるので、「.HTACCESS をダウンロード」を押して、バックアップファイルをダウンロードしてから、「次へ」を押します。特別なカスタマイズを行なっていない限り、設定変更は不要です。
上記画面が表示されたら、ファイアウォールの最適化は完了です。
ブルートフォース保護
ブルートフォースアタック(パスワード総当たりで不正アクセスを試みるサイバー攻撃)に対する保護設定を確認します。
初期状態から保護は有効化されていますので、上記の2箇所をお好みで変更します。
「何回ログインに失敗するとロックアウトされるか」などは、「20」と設定されていますが、3回失敗するとロックされるというように厳格化することも可能です。
「無効なユーザー名を即座にロックアウトする」という設定は、初期値では何も登録されていませんが、「admin」と登録しておくのもオススメです。
WordPressのユーザー名の初期値が「admin」のため、そこを狙ってブルートフォースアタックされることが多いためです。
(参照)WordPress公式:ブルートフォース攻撃 – サポートフォーラム – WordPress.org 日本語
その他は、初期値のままでも構いません。お好みで追加オプションも確認してみてください。
3. マルウェアや脆弱性のスキャン
ここでは、マルウェア(悪意のあるソフトウェアやコード)のスキャンを行えます。
「新しいスキャンを開始する」をクリックすると、すぐにスキャンが始まります。
進行中は、何をスキャンしているのかわかるので見やすいですね。スキャンが終わって問題があれば、次のように「発見した結果」が表示されます。
上記例では、プラグインを更新していないことが脆弱性として検知されていますので、該当プラグインを更新すれば改善されます。
4. アクセスログの確認
「Wordfence > ツール」では、アクセスログの確認などが行えます。
どこからログインされているのか。訪問されたページや日時も記録されます。怪しいログインがあれば、ここから確認できるわけです。
右端の「表示(目のアイコン)」をクリックすると、IPアドレスなどの詳細情報も確認可能で、ここから即時ブロックも可能です。
同ページ内にある「監査ログ」でも、操作履歴と日時を確認できます。
セキュリティ面以外でも、操作履歴が記録されるので、不具合の原因究明にも役立ちそうです。
5. ログインセキュリティ(二要素認証)
「Wordfence > ログインセキュリティ」では、二要素認証を設定可能です。
次のようにQRコードが表示されるので、「Google Authenticator」等で読み取ります。
読み取り後に表示されるコードを、右側の入力欄にコピペして、二要素認証を有効化できます。
6. 通知まわりの設定
通知周りの設定は、「Wordfence > すべてのオプション」から行います。
ページ内の「通知メールの設定」にまとめられています。
スキャン結果の深刻度レベルを変更するなど、通知まわりの設定を細かく調整できます。
まとめ
セキュリティプラグイン「Wordfence Security」の使い方をご紹介しました。
ファイアウォールによる不正アクセスの遮断や、マルウェアのスキャン、ログイン時の二要素認証など。WordPressサイトに求められる基本的なセキュリティ機能を、無料でカバーできるのが大きな魅力です。
数多くの方にインストールされているのも頷けます。これからセキュリティ対策を始める方も、一度導入してみてはいかがでしょうか。
セキュリティ関連の記事
WordPressサイトにフォームを設置していると、スパム(迷惑メール)が飛んでくることがあります。 例えばこういうのです。 スパムを許すと、昼夜問わず何度も送信されてきて、正規ユーザーのお問い合わせが埋もれてしまうほど大量に届きます。対策が必要です。 スパムメールの主な特...
WordPress管理画面のデフォルトのログインURLは、 https://example.com/wp-admin https://example.com/wp-login.php と共通となっています。ログインURLが最初からバレているため、ブルートフォースアタック(総当たり攻撃)...
WordPressはオープンソースかつ、無料で使えて拡張性(プラグイン・テーマ)も高いので、世界中で最も利用されているCMSの1つです。オープンソースであるがゆえ、脆弱性が早期発見されやすい性質もあります。 WordPressは世界中で使われているCMSのため、きちんとセキュリティ対策を行って...
WordPressテーマ集
