Wordfence Securityを使ったセキュリティ実践解説！不正アクセスを未然に防ぐ方法

ー記事レベルー

初心者　
重要度　
難易度

WordPressサイトを運営していると、セキュリティの問題が避けられません。

不正アクセスやマルウェアからサイトを守るために、効果的なプラグインを活用することが重要です。

本記事では、WordPressのセキュリティを強化する人気プラグイン「Wordfence Security」を使って、不正アクセスを未然に防ぐ設定方法を実践を交えて解説します。

ryo

こんにちは　ryoです！

助手君

サポート役の助手だよ！

Wordfence Securityとは？

Wordfence Securityは、以下のようなセキュリティ機能を備えたプラグインです。

ファイアウォール… 悪意のあるアクセスをブロック
マルウェアスキャン… サイト内のファイルやデータベースをスキャンし、不審な変更やマルウェアを検出
ログインセキュリティ… 強力なパスワードポリシーや二段階認証を設定可能。

初心者でも扱いやすい設計になっており、無料版でも十分なセキュリティ機能を提供しています。

助手君

セキュリティーが無かったらサイトが攻撃されたりで危ないから気をつけてね

Wordfence Securityの特徴

多機能なセキュリティ対策

Wordfenceはファイアウォール、スキャン機能、ログインセキュリティなどを1つのプラグインで提供し、包括的なセキュリティ対策を実現します。

無料でも充実した機能

無料版であっても基本的な保護が可能で、初めてのセキュリティ対策を始めるには十分です。

リアルタイムの保護

有料版ではリアルタイムのIPブロックリストや国別ブロックなど、より高度な防御機能が追加されます。

視覚的でわかりやすいインターフェース

ダッシュボードが直感的に操作できるデザインになっており、初心者でも設定が簡単です。

Wordfence Securityを使うべき人＆使わない方がいい人

使うべき人	使わない方がいいかも…
セキュリティ対策をこれから始める初心者	シンプルで軽量なセキュリティプラグインを探している
不正アクセスやマルウェアの被害が心配な人	高トラフィックサイトを運営している人
無料で高性能なセキュリティツールを探している人	英語が苦手な人
有料版の高度な保護機能を活用したい人	高度なカスタマイズが必要な人
セキュリティ通知を迅速に受け取りたい人	サーバーリソースが限られている人

ryo

セキュリティー関係のプラグインは他にもたくさんあるので自分に合ったプラグインを使いましょう！

[実践編]Wordfence Securityのインストールと有効化

それでは、Wordfence Securityのインストールから有効化までを実践していきましょう！

プラグインのインストール

STEP

「プラグイン」 > 「新規追加」をクリック

STEP

検索ボックスに「Wordfence Security」と入力

STEP

「今すぐインストール」をクリックし、インストール後に「有効化」を押す

STEP

管理ページに追加されているか確認

助手君

インストールするとライセンスの取得を要求されるので有効化しても使えないから注意だよ！

Wordfence Securityのライセンス獲得

Wordfence Security有効化すると、ライセンスの取得を促されます。

それではライセンスの取得までを実践していきましょう！

ryo

ライセンスを取得するまでは英語表記がデフォルトになっているのでわからない方は日本語翻訳をおすすめします。

STEP

「ライセンスを入手」を入力後、登録する

受け取りたいメールアドレスを打ち込みましょう！

すると指定したメールアドレスに下記のような文面のメールが届きます。

青色のボタンが「ライセンスを自動的にインストールする」と書いているのでこのボタンを押しましょう

助手君

日本語翻訳するとやりやすかったよ！

STEP

登録完了後、インストール

指定したメールアドレスとライセンスキーは元々入力があるので「ライセンスインストール」を入力するだけでOKです。

STEP

インストール完了後、ダッシュボードに入ることができる

以上がライセンス取得までの実践記録です。

続いては設定部分を実践しましょう！

[実践編]WordfenceSecurityを使ったセキュリティ設定（初心者向け）

ポイント

ダッシュボードに幾つか項目がありますが基本的に設定だけ弄る場合、「すべてのオプション」で完結しますので、データを見る際に項目の「ファイアウォール」などを確認で問題ないです。

ryo

基本的にデフォルトの設定がされているから初めはほとんどいじらなくてもOKだよ

助手君

後からお好みの設定に変更したらいいね！

最初に調整するべき設定

ファイアウォール設定

ファイアウォールの基本設定を開きます。
→ ここではファイアウォールが有効になっているか確認します。

おすすめ設定：プロテクションモードを「有効（保護中）」にする。

スキャンオプション

スキャンタイプの基本オプションを選びます。
→ 初心者の場合、「標準スキャン」を選択したままでOKです。
「高感度スキャン」は使わなくて大丈夫です。

ブルートフォース保護

ブルートフォース保護を開いて確認します。
おすすめ設定：以下を有効化する
- 「ログイン失敗の制限」
- 「パスワード忘れリクエストの制限」

通知メールの設定

通知メールの設定を確認します。
セキュリティの問題やスキャン結果を受け取るメールアドレスを設定します。

重要な設定

Wordfence が無効化されたらメールで知らせる

理由: Wordfenceが無効化されると、サイトのセキュリティ保護が停止します。誰かが意図的に無効化した場合でも、すぐに通知を受け取ることで、迅速に再有効化し、セキュリティを維持できます。これは非常に重要です。

IP アドレスがブロックされたら通知する

理由: 不正アクセスや攻撃が行われている場合、そのIPアドレスがブロックされます。この通知を受け取ることで、攻撃の兆候を早期に把握し、サイトに対する脅威を速やかに対応できます。

ログインがロックアウトされたら通知する

理由: 不正ログインを試みたユーザーがロックアウトされる際に通知を受けることで、ログイン試行の不正行為を即座に察知でき、セキュリティ対応を強化することができます。

そのままでOKな項目

以下の設定は、特別な理由がなければデフォルトのままで大丈夫です。

パフォーマンスオプション
許可された URL
ブロックオプション
国別ブロックの詳細オプション
ライブトラフィックオプション
監査ログオプション

Wordfence Security設定完了後

Wordfenceの設定を完了した後、基本的にはほったらかし状態でもセキュリティが維持されますが、完全に放置するのは避けるべきです。

定期的に確認することが重要です。以下の点をチェックすることで、安心して運営を続けられます。

スキャン結果の確認

定期的な確認: 自動スキャンを設定している場合でも、その結果を確認することをおすすめします。何らかのセキュリティ問題が発見された場合に、すぐに対応するためです。
推奨: 少なくとも週に1回程度、スキャン結果を確認することをおすすめします。

通知メールの確認

重要な通知に対する対応: 設定した通知メール（例えば、IPアドレスがブロックされた場合やログインがロックアウトされた場合）の内容を確認し、問題があればすぐに対応しましょう。
推奨: 重要な通知メール（Wordfenceが無効化された場合など）は特にすぐに確認し、適切な対処をしてください

プラグインのアップデート

定期的な更新: Wordfence自体や他のプラグインがアップデートされていないか確認し、常に最新バージョンに保つことが大切です。セキュリティの脆弱性が修正されることがあるため、アップデートを怠らないようにしましょう。
推奨: 少なくとも月に1回程度、プラグインのアップデート状況を確認してください。

セキュリティの強化

新しい脅威に対応: セキュリティ業界は常に進化しているため、Wordfenceの新しい設定や機能を活用して、追加的な保護を行うことが重要です。例えば、特定の攻撃に対する防御強化などです。

バックアップの定期的な取得

万が一のための備え: セキュリティ問題が発生した場合に備えて、定期的なバックアップを行うことをおすすめします。これにより、万が一サイトに問題が起きても、素早く復旧できます。

基本的には、設定が完了した後も自動的にサイトを保護してくれますが、定期的な確認とメンテナンスが必要です。

放置していると新たなセキュリティリスクに対処できなくなる可能性があるため、少なくとも定期的なチェックは行ってください。