悩む人セキュリティプラグインの「Wordfence Security」の導入方法を知りたいな。
初心者にもわかりやすく教えてもらえないかなぁ。
はてなねこさんセキュリティ対策をまだ何もしていない!
何からすればいいのかな?
こんなお悩みにお答えします。
この記事を書いた人
- アフィリエイト収入6ケタ達成
- フリーランスライター6ヵ月目の収益15万円達成
- 有料note売上7万円達成
- ブログを複数運営しています
WordPressは世界的にとても人気のあるブログ媒体ですが、脆弱性があるため、ハッカーの攻撃の対象になりやすいです。
大切な資産であるWordPressを守るために、セキュリティを高めなくてはいけません。
そこで役に立つのが「Wordfence Security」というセキュリティプラグインです。
「Wordfence Security」は、WordPressを包括的に守ってくれます。
Wordfence Securityの特徴
- 多様で鉄壁な防御により、サイトの安全性を高められる
- 様々なセキュリティ攻撃を自動的に感知する
- セキュリティについての知識がなくても導入できる
- 定期的なアップデートにより、最新の保護機能が提供されている
- 無料版があり、気軽に使える
この記事では、Wordfence Securityの導入・設定方法を、実際の画像を使いながらわかりやすく解説します。
設定は簡単ですし、一度設定してしまえば安心してWordPressを運営できます。
WordPressを始めたらなるべく早めに導入して、安心してブログ運営をしていきましょう。
それでは、いってみましょう!
Wordfence Securityをインストールする方法
まずはプラグインをインストールします。
WordPressダッシュボード→「プラグイン」→「新規追加」をクリックします。
プラグインの検索欄に「Wordfence Security」と入力すると、下に「Wordfence Security」が表示されますので「今すぐインストール」をクリックします。
インストールが終わると「有効化」が表示されますので、これをクリックします。
すると、自動的に以下の画面に移ります。
「WORDFENCEライセンスを入手」をクリックします。
「Get a Free Lisense 」をクリックしましょう。
「本当に遅延保護が必要ですか?」の画面が出てきます。
「I’m OK waiting 30days for protection from new threats」をクリックします。
はるな青いボタンを押すと、有料プランに移ってしまうので、注意して下さいね。
以下の画面に移ります。
- 無料ライセンスを受け取るメールアドレスを入力します。
- Wordfenceからのレポートを受け取る…チェックを入れます。
- 利用規約に同意する…チェックを入れます。
設定が完了したら「Register」をクリックしましょう。
「Check your email」の画面が出てきます。
登録したメールアドレスを確認しにいきましょう。
メールボックスを開くと、以下の様な画面が表示されます。
「Install My Licanse Automatically」をクリックします。
以下の画面に移ります。
「ライセンスインストール」をクリックしましょう。
「無償ライセンスインストール済み」と表示されれば、無料ライセンスの取得は完了です!
はるなおつかれさまです☘️
「ダッシュボード」を押して、初期設定をしていきましょう☘️
Wordfence Securityで初期設定をする方法
Wordfence Securityの初期設定は、以下の3つになります。
Wordfence Securityの初期設定
順番にやっていきましょう。
Wordfence Securityの自動更新設定をする
ダッシュボードに行くと、Wordfence Securityの自動更新の案内の文字が表示されています。
「はい、自動更新を有効化します」をクリックすれば、自動更新の設定は完了です。
Wordfence Securityのメール通知設定をする
次に、Wordfence Securityからのメールの設定をしていきます。
「Wordfence」→「すべてのオプション」をクリックします。
「通知メールの設定」をクリックします。
以下を参考に、チェックを入れましょう。
チェックを入れたら、画面右上の「変更を保存」をクリックしましょう。
チェックした項目はWordfenceからメールが届くので、通知は必ずご確認下さい。
Wordfence ファイアウォールの設定をする
ファイアウォールとは、不正な攻撃やアクセスを防止する仕組みです。
ファイアウォールを有効にしていないと、ハッキングなどの被害にあう可能性があります。
ハッキングされてしまうと全てを失ってしまうため、ファイアウォールの設定は必須です。
それでは、設定していきましょう。
WORDFENCEファイアウォールを最適化する
まずは、WORDFENCEファイアウォールを最適化していきます。
この後の段階で、ファイアウォールを「学習モード」にするステップがあるのですが、その前にサイト情報をダウンロードしておきます。
万が一ファイアウォールが間違って学習した場合、読者の方とのやり取りを勝手に遮断してしまう可能性があるからです。
バックアップを取っておけば、万が一のことがあっても復旧が可能です。
「WORDFENCEファイアウォールの最適化」をクリックしましょう。
すると、以下のような画面が表示されます。
ファイアウォールが、事前に学習するサーバーを指定してくれています。
「.HTACCESSをダウンロード」「.USER_INIをダウンロード」をクリックし、データをダウンロードしましょう。
ダウンロードが完了したら、「次へ」をクリックします。
すると「ファイアウォールが最適化されました」というポップアップが出てきます。
「閉じる」をクリックしましょう。
はるなダウンロードしたデータは、大切に保管しておいて下さいね。
Wordfenceファイアウォールを「学習モード」にする
次に、Wordfenceファイアウォールを「学習モード」にしていきます。
学習モードにしておくことで、サイトに適した使い方を ファイアーウォールが自動的に学習するようになっています。
以下のような画面になります。
「Webアプリケーションファイアウォールの状態」の欄の「有効であり保護中」をクリックします。
- 「学習モード」を選択します。
- 「次のとき自動的に有効化」に✔︎を入れます。
- 1週間後の日付になっているかを確認します。
上の円の画像のところを見て、「現在学習モードです」と書かれていたら、学習モードになっています。
はるな1週間の間、ファイアウォールがそのサイトを分析して、サイトに適した保護方法を学習しますよ🌟
うるみちゃん円グラフの%は、学習モードの進捗状況だよ❣️
補足 : ダウンロードした「.HTACCESS」と「.USER.INI」の使い道について
学習モード後にWordfence Securityが異常を起こした場合、レンタルサーバー内のファイルをダウンロードしたファイルに置換すればOKです。
ConoHa WINGの場合は、以下のようになります。
- ConoHa WINGにログイン
- 「WING」をクリック
- 「サイト管理」をクリック
- 「切り替え」を押して、対象のドメインを選ぶ
- 「ファイルマネージャー」をクリック
- 対象のドメインをクリック
- 「public_html」をクリック
- この中にある「.htaccuss」と「.user.ini」をダウンロードしたファイルに書き換えればOKです。
はるなConoHa WING以外のレンタルサーバーの場合も、ドメイン直下のFTPサーバー内にあります。探してみましょう。
Wordfence Securityでセキュリティ設定をする方法
初期設定だけではまだまだセキュリティ機能は設定できていませんので、これから設定していきましょう。
Wordfence Securityのセキュリティ設定をする方法は、3ステップです。
Wordfence Securityでセキュリティ設定をする方法【 3ステップ 】
はるなしっかり設定して、大切なWordPressをしっかり守りましょう❣️
1. ブルートフォースアタック対策をする
ブルートフォースアタックとは、ハッカーが手当たり次第に考えられる全てのパスワードのパターンを片っ端から入力して、アクセスを試みることです。
WordPressのログイン画面は、対策をしていないと このように↓、丸腰のままでセキュリティが弱いです。
セキュリティ対策をしていないと 簡単にログインされてしまうので、Wordfence Securityでセキュリティ設定をしておきましょう。
やり方は、以下の手順になります。
下記のような画面で、ブルートフォースアタックを受けた際に、ログイン画面からロックアウトさせる条件を設定していきます。
上記は一例です。
ログインは自分も失敗することがあるので、自分が失敗した際に困らないように、バランスを取って設定します。
上記の画像の項目以外にも、まだまだ項目があります。
お好みもありますが、どう設定すればいいかわからない方は、以下の画像を参考に設定してみて下さい。
設定が終わったら、画面右上の「変更を保存」をクリックして完了です。
ユーザー名がきちんと非表示になっているか確認する
WordPressでは初期設定の場合、URL入力に「(ドメイン名)/?author=1」と入力してアクセスすると、ユーザー名が表示されるようになっています。
うるみちゃんユーザー名がバレバレ!
怖いね・・・!
今までのようにWordfenceでブルートフォースアタック対策をすると、ユーザー名が非表示になっているはずです。
きちんと非表示になっているか確認しましょう。
確認の仕方は、URL入力に「(ドメイン名)/?author=1」と入力して、アクセスします。
下記のように、ユーザー名が表示されていなければ、きちんと非表示設定が完了している証です。
表示されたページで「ページが見つかりませんでした」と表示されていればOKです。
うるみちゃんよかった!
これで安心だね♡
2. reCAPTCHAを設定する
reCAPTCHAとは、不正なアクセスを試みる悪質なクローラーを判別し、サイトを守るサービスです。
reCAPTCHAは、人間なのか悪質なクローラーなのかを判別する機能があります。
今回は、Googleが提供する最新版の「reCAPTCHA v3」をWordfence Securityと連携させて、ログイン画面に設置する方法を解説します。
はるなreCAPTCHAはGoogleが無償で提供しているので、安心して使うことができますよ☘️
必要事項を入力していきます。
ちなみに、ドメイン名は「https://」が入っているとエラーになります。
「https://」の後の部分を入力すればOKです。
入力が終わったら「送信」をクリックします。
すると、サイトキーとシークレットキーが表示されます。
これら2つのキーはこれから使っていきますので、この画面は閉じずにそのままにしておいて下さい。
画面を下にスクロールすると、真ん中あたりにreCAPTCHAの設定項目があります。
- チェックを入れる
- STEP4で開いておいたサイトキーをコピペする
- 同じようにシークレットキーをコピペする
- 「0.5」を選択する
- 画面右上の「保存」をクリックする
④の「0.5」は、人間とbotを区別する判定基準です。
「0.0〜1.0」までの判定があり、「1.0」が「間違いなく人間」の判定です。
初期設定通りの「0.5」のままにしておいて下さい。
以上でreCAPTCHAの設定は完了です。
念のため、reCAPTCHAがきちんと動作しているか確認します。
いったん、WordPressをログアウトします。
画面右上の「こんにちは、○○さん」→「ログアウト」を押して、ログアウトしましょう。
ログインページを表示させて、下記の図のようにreCAPTCHAのマークがあれば、reCAPTCHA v3が作動している証拠です。
はるな動作確認は以上です🎉
3. 2段階認証を設定する
Wordfence Securityの最大の特徴は、2段階認証機能を設置できることです。
2段階認証を設置することで、さらに強固なセキュリティになります。
WordPressにログインするために、2つの関門を通過しなければなりません。
- ユーザー名・パスワード
- 2段階認証
2段階認証とは、ユーザーの携帯電話に6ケタの数字が表示され、その数字は30秒ごとに変わっていきます。
そのため、通常の「ユーザー名 + パスワード」の入力よりも、明らかに強度の高いセキュリティ方法になります。
2段階認証には「Google Authenticator」というアプリを使います。
はるなログインの際に、通常の「ユーザー名+パスワード」に加えて、アプリを使った2段階認証をすることになります。
利便性の面で、導入するかどうかはご自身で判断なさって下さいね☘️
うるみちゃん代わりのセキュリティプラグインとして「SiteGuard WP Plugin」があるけど、SWELLでは推奨されていないみたいだね。
テーマ「SWELL」を利用している場合は、やっぱりこの「Wordfence Security」で2段階認証を導入するのをおすすめするよ☘️
それでは、「Google Authenticator」を使った2段階認証の導入方法を見ていきましょう。
「ダウンロード」を押すと、テキストファイルのリカバリーコードがダウンロードされますので、パソコン上で大切に保管しておいて下さい。
携帯を紛失してログインできなくなった際に使用します。
携帯電話にGoogle Authenticatorをダウンロードします。
下記からダウンロードできますので、良かったら活用して下さい。既にお持ちの方は起動すればOKです。
スキャンすると、Google Authenticatorに以下のような6ケタのコードが表示されます。
この6ケタの数字を、Wordfence Securityの下記の欄に入力しましょう。
入力したら「有効化」を押して完了です。
※30秒で6ケタの数字が変わるので、30秒以内に入力、有効化を押しましょう。
Wordfence Securityの画面を見ると、以下のように表示され、2段階認証が有効化されていることがわかります。
2段階認証が作動しているか確認する方法
2段階認証が作動しているかどうか確認しましょう。
一度ログアウトして、いつも通りに「ユーザー名+パスワード」を入力、「ログイン」を押します。
2段階認証(2FA)の数字を入力する画面が表れます。
アプリ「Google Authenticator」に表示される6ケタの数字を入力し、「ログイン」を押すと、ログインできます。
はるな2段階認証の6ケタの数字は30秒ごとに変わっていくので、安心ですね❣️
携帯電話が故障したり紛失した時の対処法
携帯電話が故障したり紛失してGoogle Authenticatorを使えず、WordPressにログインできない場合の対処方法をお伝えします。
リカバリーコードをパソコンに保存されていると思いますので、これを使います。
リカバリーコードは5回分あります。
このうちのどれかを、2段階認証(2FA)の画面に貼り付けると、ログインできます。
※リカバリーコードのスペースは空けたまま貼り付けてOKです。
リカバリーコードの5回分は、それぞれ1回しか使えません。
携帯電話を5回も紛失することは中々ないと思いますが、万が一 リカバリーコードが全部なくなりそうになったら、なくなる前に以下の場所から、新しいリカバリーコードを生成して保存しておきましょう。
スキャン機能でサイト内を点検する
ちなみに、Wordfence Securityにはスキャン機能があります。
このスキャン機能を使うことによって、サイト内のセキュリティに異常がないかをチェックしてくれます。
チェックの仕方は、ダッシュボード「Wordfence」→「スキャン」をクリックします。
下記のボタン「新しいスキャンを開始する」をクリックします。
何も問題がない場合には、以下のように表示されます。
問題がある場合には、このように表示されます。
アラートマークと問題の内容が表示されますので、「詳細」を押して確認し、早急に対処しましょう。
自動スキャン機能
実は、Wordfence Securityは手動でスキャン開始をしなくても、定期的に自動でスキャンしてくれる機能が備わっています。
最新でいつスキャンされたのかは、以下の場所で確認できます。
定期的にチェックしに来て、問題がある場合には早急に対処しましょう。
スキャンのレベル
スキャンのレベルを変える方法もあります。
ダッシュボード「Wordfence」→「すべてのオプション」→「スキャンオプション」から選択できます。
個人ブロガーであれば「標準スキャン」で十分です。
ただし明らかに異常を感じた時は、「高感度」を選択しましょう。
まとめ:Wordfence Securityを導入してセキュリティを高めよう
Wordfence Securityは無料ながらも、セキュリティを強化するための優れたプラグインです。
WordPressを始めたらなるべく早めに導入して、大切なWordPressをしっかりと守りましょう。
しかし現時点では、100%安全と言い切れるセキュリティ機能は存在しません。
セキュリティ機能は進歩しているとはいえ、ハッカーの攻撃方法も進歩しています。
今回記事に書いた、bot判定や2段階認証を導入する他にも、
- パスワードを強化する(短いものにしない・推測できるものにしない、など)
- プラグインの更新を忘れない
などの基本的な対策も、しっかり行っておきましょう。
はるな最後まで読んで頂き、ありがとうございます。
この記事が少しでも参考になりましたら幸いです。