MENU
  1. ホーム
  2. サイト構築
  3. プラグイン
  4. Wordfence Securityの設定&使い方:初心者向けに詳しく解説(SWELLでもおすすめ)

Wordfence Securityの設定&使い方:初心者向けに詳しく解説(SWELLでもおすすめ)

プラグイン
当サイトでは一部のリンクが広告を含む場合がございます。ご理解いただけますと幸いです(•ᵕᴗᵕ•)⁾⁾
Wordfence Securityの設定&使い方:初心者向けに詳しく解説(SWELLでもおすすめ)

こんにちは!セキュリティ対策ってどうしていますか? …そもそも「セキュリティって何?」と思っている方も多いかもしれませんね。

私も初めてWordPressに触ったときは全く同じでした。今日はその悩みを一掃するため、Wordfence Securityの設定と使い方を、初心者向けに解説していきたいと思います。

SWELL公式でもおすすめしているプラグインですのでSWELLを使っている方に特におすすめですよ。この記事で、一緒にセキュリティ対策を強化していきましょう!

ちなみに私の使用環境はこちらです↓
サーバー:エックスサーバー
テーマ:SWELL使用。

クリックでジャンプできる目次

Wordfence Securityとは

さて、Wordfence Securityって何かご存知ですか?簡単に言うと、これはあなたのブログのボディガード…というか~みたいなものです。

セキュリティのイメージ

なんで盾が必要な?と思うかもしれませんが、実はウェブの世界ってそんなに平和じゃないんです。

聞いたことありますか?平和ではない理由は『ハッキング』。これはコンピューターシステムやネットワークに不正にアクセスする、言わばウェブ上の不良が悪さをしているんです。

ハッカーのイメージ


ですがWordfence Securityがあれば、そんな不正なアクセスや攻撃からしっかりとあなたの大切なブログを守ってくれますよ。

Wordfence Securityインストール方法

STEP
『Wordfence Security』をインストール。

プラグイン新規追加をクリックし、
検索窓に
Wordfence Security』を記入し検索。
選択し『今すぐインストール』を押す。

プラグイン>新規追加>検索窓に『Wordfence Security』を記入し検索。見つけて『今すぐインストール』をクリックを促す画像
STEP
有効化をクリック

少し待つと『今すぐインストール』が『有効化』と表示されるのでクリックします。

STEP
ライセンスを取得するをクリック

有効化されると『正常にインストールされました』と表示されます。

GET YOUR WORDFENCE LICENSE
(日本語:ワードフェンスのライセンスを取得する
をクリック。

Wordfence Securityが正常にインストールされましたと表示された画像
STEP
無料ライセンスを取得するをクリック。

Get a Free Lisense
(日本語:無料ライセンスを取得するをクリックします。

『GET YOUR WORDFENCE LICENSE』(日本語:ワードフェンスのライセンスを取得する)をでFREEをクリックします。
STEP
遅延保護を断る

Are you sure you want delayed protection?
(日本語:遅延保護を実行してもよろしいですか?
という画面が表示されます。

I’m ok. waiting30 days for protection from new threats
(日本語:大丈夫です。新たな脅威から保護されるまで 30 日間待ちます)
をクリック。

Are you sure you want delayed protection?(日本語:遅延保護を実行してもよろしいですか?)という画面が表示されますのでOKのクリックを押すことを促す画像
かのみ

遅延保護(またはレート制限)は、ウェブサイトを守るための仕組みの一つ。
簡単に言うと、これは「一定時間内にウェブサイトに訪れることができる回数を制限する」機能。

かのみ

この保護機能が強すぎると、普通にブログを読んでいる人まで閲覧できなくなってしまう場合があるの

かのみ

特に、いくつかのブログテーマや追加機能(プラグイン)は、多くの情報を素早く読み込むように作られている場合があるの。その場合、遅延保護が邪魔して、ブログが正常に動かなくなることがあるのよね・・・

STEP
メールアドレスを記載、メール送信の希望、利用規約の同意

Ⓐは『ライセンスキー』及び『今後のセキュリティ警告
を受け取るメールアドレスを記載。
ⒷはYES,Ⓒにチェックを入れ
Registerをクリック。

Eメールに『ライセンスキー』及び『今後のセキュリティ警告』を受け取るメールアドレスを記載。WordPress のセキュリティと脆弱性の警告を電子メールで送信したいですか?にyes。 Wordfence のライセンス利用規約、サービス サブスクリプション契約、利用規約を読んで同意し、Wordfence のプライバシー ポリシーを読んで同意しますにチェックを促す画像
英語部分を翻訳

Ⓐの下:This is where you will receive your license key and any future security alerts for your website(日本語:ここで、ライセンス キーと、Web サイトに関する今後のセキュリティ警告を受け取ることができます。)

:Would you like WordPress security and vulnerability alerts sent to you via email?(日本語訳:WordPress のセキュリティと脆弱性の警告を電子メールで送信したいですか?)

:have read and agree to the Wordfence License Terms and Conditions, the Services Subscription Agreement, and Terms of Service, and have read and acknowledge the Wordfence Privacy Policy.(日本語:Wordfence のライセンス利用規約、サービス サブスクリプション契約、利用規約を読んで同意し、Wordfence のプライバシー ポリシーを読んで同意します。)

STEP
You’re almost done!(日本語:ほぼ終わりです!)と書かれた画面が表示されます
ほぼ終わりです!)と書かれた画面が表示。

ライセンスキーをあなたのメールアドレスに送信しました。メールを確認してインストール完了してください。と記載しています。

STEP
先程指定したメールアドレスを確認

Wordfence Securityから
件名:Your Wordfence License
送り主:Wordfence
のメールが届いているので開封。
Install My License Automatically
(日本語:ライセンスを自動的にインストールする)をクリック

指定したメールアドレスを確認を促す画像
STEP
ワードプレス管理画面内に表示された『ライセンスのインストール』をクリック
ライセンスインストール』をクリックを促す画像
STEP
無料ライセンスの取得を確認
『無償ライセンスインストール済み』と表示されている画像
はぴねこ

以上で無料ライセンスの取得ができたニャ!お疲れさまでした。

Wordfence Security初期設定

上記のライセンスが取得出来たら、次はワードプレスダッシュボード>Wordfence Security>ダッシュボードをクリックしてみて下さい。

ワードプレスダッシュボード でWordfence>ダッシュボードの位置を促す画像

上部に2点の注意書きが出てくるのでまずはその設定から進めていきます。

上部注意書きに出てくる2点の設定

ファイアウォールの最適化

はぴねこ

ファイアウォールってなんだ?

かのみ

Wordfence Securityは、WordPress用のセキュリティプラグインで、その中にファイアウォールがあるよ。

かのみ

このファイアウォールは、悪い人やプログラムからあなたのブログを守る役割を果たすの。

短く言えば、Wordfenceはあなたのブログの「ボディーガード」で、その一部としてファイアウォール門番として働いている感じよ!

STEP
ファイアウォール設定する

ワードプレス画面上部に注意事項として表示される
ワードプレスアプリケーションファイアウォールを
最適化する時間を取ってください』の
設定するはここをクリック』を選択。

ワードプレス画面上部に出てくる注意事項にある『ワードプレスアプリケーションファイアウォールを最適化する時間を取ってください。』の『設定するはここをクリック』を選択を促す画像。
STEP
重要な情報をダウンロードして保管しておく

ⒶはそのままでOK。
(HTACCESS)とⒸ(USERINI)クリックし、
ダウンロードしたものを
自分が分かるところに大切に保管

次へ』がクリックできるようになるので選択します。

Ⓑ(HTACCESS)とⒸ(USERINI)をクリックしてダウンロードしたものを自分が分かるところに大切に保管しておくことを促す画像。 『次へ』がクリックできるようになるので選択。
STEP
『インストールの成功』と表示されたら完了!

インストールの成功』と表示されたら
ファイアウォールが最適化が完了しました!

『インストールの成功』と表示された画像

Wordfence自動更新

STEP
Wordfenceを自動的に最新の状態に保つ

画面上部の注意書きに
Wordfenceを自動的に最新の状態に保つようにしますか?
とあるので
はい自動更新を有効化します』をクリック

画像に alt 属性が指定されていません。ファイル名: Wordfencesetting8rekakou.jpg
STEP
完了!

なんと上記をクリックするだけで完了です!

ログインセキュリティ

2段階認証

はぴねこ

2段階認証ってなんだニャ?

かのみ

確認項目が2回あることよ。
《普通にユーザー名とパスワードを入力して確認(第一の段階)》+《もう一つの確認(第2の段階)》を経てやっと正式にログイン出来るようになるの。より安全にアカウントを使用することができるのよ!

STEP
ログインセキュリティを設定していく

ワードプレス画面の
Wordfence>ログインセキュリティ
をクリック。

STEP
携帯を紛失した時に役立つ大切な情報を保管しておく

Two-Factor Authentication』タブで
Ⓑをクリックして、パソコンにダウンロードして大切に保管しておきます

Ⓑはリカバリーコードと言われて、携帯を無くしてワードプレスにログインできなくなったときに利用するとても大切な情報です。

STEP
あなたのスマホで『Google Authenticator』をダウンロ―ド

スマホのアプリで
Google Authenticator』をダウンロ―ド。
Googleストア・Appleストアどちらでも可能。

画像に alt 属性が指定されていません。ファイル名: Login-Security-6re.png
STEP
ダウンロードできたら、そのアプリを開きQRコードをスキャン

設定画面左上の三点リーダー)を開き、『 Authenticatorのコード』をクリックし、『コードを追加』をクリック。『QRコードをスキャン』をクリックし、パソコンのワードプレスに表示されている画像Ⓐ(上記のScan code  または Enter key)にスマホをかざします。

STEP
スマホアプリ(Google Authenticator)を開くと、6ケタの数字が表示されるのでⒸに記載します。

30秒ごとに新しいものが生成されますので、表示が変わってすぐに記載し始めると間に合います。(セキュリティのためか?スクショしましたが撮影保存されていませんでしたのでご了承下さい…)

STEP
以上で2段階認証の設置はひとまず完了です!

お疲れさまでした!

2段階認証が
正常に動作しているか確認してみよう!

一度ログアウトしてから
ログインして2段階認証になっているか確認してみましょう。

いつものようにログインしてください。
次に次の画面も現れると2段階認証の有効化に成功です!

スマホで『Google Authenticator』アプリを開き
左上3点リーダー
Authenticatorのコード』をクリック。

表示された6ケタの番号をワードプレス側に記載し
Login』ボタンをおして管理画面に入ることが出来たら完了です!

reCAPTCHAの設置

はぴねこ

reCAPTCHAって何?

かのみ

reCAPTCHA(リキャプチャ)は、ウェブサイトにコメントをする人が本当に人間か確認するシステムよ!

これを使うと、自動でコメントをする悪いプログラム(ボット)からのスパムや攻撃からあなたのブログを守ることができるの。

Invisible reCAPTCHA設定欄にWordPress等の設定部分が出てきません。

 03/02/2023 9:46 am


スウェルフォーラムより

注意!追記:不具合があったようです!

PHPが8以上の人は不具合が発生すると記載を見つけました。
私のPHPは8.0.25でしたが大丈夫でした。どうやらreCAPTCHAの更新がが止まっていたからという話からの不具合ということで、不具合報告から4ヶ月ですが私は問題ありませんでした。導入はよく調べてから自己責任でお願いします。

STEP
GoogleのreCAPTCHAサイトで2種類のキーを取得する

reCAPTCHAを設置するためにはまずGoogleからAPIキーを取得する必要があります。GoogleのreCAPTCHAサイトにアクセスし、新しいサイトを登録し、APIキーを取得しましょう。

      \ APIキーを取得する方法はこちら /

reCAPTCHA v3でAPIキーを取得する方法

上記の説明では下記の2種類のキーがもらえます。

STEP
WordfenceでreCAPTCHAでの設置作業

ワードプレスの管理画面(ダッシュボード)で
Wordfence』>『Login Security
をクリックします

画像に alt 属性が指定されていません。ファイル名: Wordfence0622kakou.jpg
STEP
スクロールして真ん中くらいにある『reCAPTCHA』を探します。(詳細は下記へ)
STEP
reCAPTCHAの項目で必要な記載をしていきます。

Ⓐに『✓(チェック)』を入れます。
Ⓑにはサイトキー
Ⓒにはシークレットキー
Ⓓが『0.5』になっているか確認します。

最後に右上部に記載されている『SAVE(保存)』をクリックします。

STEP
完了です!
reCAPTCHAが正常に動作しているか確認してみよう!

一度自分のサイトをログアウトしてみて下さい。
reCAPTCHAが確認出来たら成功です!

すべての設定

ワードプレス画面
Wordfence>すべての設定
をクリック。

一般的なオプション

ここでは
『ワードプレスのバージョンを隠す』に
チェックを入れておきます。

チェックを入れるべき項目リスト
  • 新しいバージョンがリリースされたら、Wordfence を自動的に更新しますか ? 
  • Wordfence に最も安全な方法で訪問者の IP アドレスを取得させましょう。なりすましを防止し、ほとんどのサイトで使用できます。 (推奨)
  • Wordfence のサーバーを経由した訪問者の IP ロケーションの検索 
  • WordPress のバージョンを隠す 
  • ウィンドウがフォーカスを失ったときにライブ更新を一時停止する 

通知メールの設定

通知メールの設定は
以下の設定にチェックを入れてください。

チェックを入れるべき項目リスト
  • Wordfence が無効化されたらメールで知らせる
  • Wordfence Web アプリケーションファイアウォールがオフになっている場合にメールで通知する
  • この深刻度レベル以上のスキャン結果を通知する
  • 有効なユーザーに対して「パスワード紛失」フォームが使用されたらアラートする
  • 管理者以外のユーザーがサインインしたときにアラートする
  • サイトで検出された攻撃が大幅に増加したらアラートする

アクティビティレポート

アクティビティレポートの
『要約メールを有効化』
のチェックを外します。

チェックを入れるべき項目リスト
  • WordPress のダッシュボードでアクティビティレポートウィジェットを有効化

ファイアウォールオプション(ブルートフォース保護)

ブルートフォース保護を有効化を『オン』にして各数字を決めていきます。
お好みで設定してもらって構いません。以下は私が設定した数値もの記載しています。よかったら参考にしてください♪

Ⓐにはこのキーワードを書けば、
即ブロックにできます。
記載しておきましょう。

Ⓐのキーワードは『admin』や
『サイトドメインの一部』
などを記載しておくとのがおすすめです。

上部5項目:参考値
  • ブルートフォース保護を有効化をON
  • 何回ログインに失敗するとロックアウトされるか …10
  • 何回パスワードを忘れたらロックアウトするか…
  • どの期間の失敗をカウントするか…6時間
  • ユーザーをロックアウトする期間…6時間
チェックを入れるべき項目
  • 無効なユーザー名を即座にロックアウトする
  • 情報漏えいで流出したパスワードの使用防止
  • 強力なパスワードの強制
  • WordPress のログインエラーで有効なユーザーを表示させないようにする
  • 「admin」ユーザー名が存在しない場合にその登録を防止
  • ‘/?author=N’ スキャン、oEmbed API、WordPress REST API および WordPress XML サイトマップによるユーザー名の発見を防ぐ
  • WordPress アプリケーションパスワードの無効化
  • プロフィール更新時のパスワード強度チェック
  • リアルタイム Wordfence Security ネットワークに参加する

追加オプション

Ⓐは通常チェックを入れなくてOK。
Ⓑは空欄でOK

チェックを入れるべき項や参考値リスト
  • 情報漏えいで流出したパスワードの使用防止
  • WordPress のログインエラーで有効なユーザーを表示させないようにする
  • 「admin」ユーザー名が存在しない場合にその登録を防止
  • ‘/?author=N’ スキャン、oEmbed API、WordPress REST API および WordPress XML サイトマップによるユーザー名の発見を防ぐ
  • WordPress アプリケーションパスワードの無効化
  • プロフィール更新時のパスワード強度チェック
  • リアルタイム Wordfence Security ネットワークに参加する
はぴねこ

最後に左上の『設定する』をクリックするのを忘れないようにニャ!

Ⓐの『空白の User-AgentReferer を使用して POST 要求を送信する IP をブロックする』とは?
  • User-Agent: これは、あなたが使っているブラウザ(例:Chrome、Firefox)やコンピューター(例:Windows、Mac)についての情報です。
  • Referer: あなたがクリックする前にいたウェブページのアドレスです。たとえば、Googleで検索してからページに来たなら、そのGoogleのページのアドレスがここに入ります。
  • POST 要求: ウェブページに情報を送るときの一つの方法です。例えば、フォームに入力して「送信」ボタンを押すと、その情報はPOST要求としてサーバーに送られます。

「空白の User-Agent と Referer を使用して POST 要求を送信する IP をブロックする」というのは、これらの情報が空白(つまり、教えてくれない)でサイトにアクセスしてくる人々を、自動で入れないようにする設定です。


この設定は厳格なので、誤って正常なトラフィックまでブロックしてしまう可能性があるためチェックが外すことも推奨されています。

ですが、もしサイトが頻繁に攻撃を受けている、高いセキュリティが求めれている場合はチェックを入れておく方が安全とも言えます。

Ⓑを空欄にしておく訳
  1. シンプルがベスト: デフォルトのブロックメッセージは通常、既によく設計されています。特にカスタマイズが必要ない場合、それをそのまま利用するのが最も簡単です。
  2. セキュリティ: カスタムテキストを設定すると、そのテキストが何らかの形で悪用される可能性があります。例えば、あまりにも多くの情報を提供すると、攻撃者にクラックのヒントを与えてしまう可能性があります。
  3. 管理の手間: カスタムテキストを設定した場合、それを更新や管理する必要が出てくる可能性があります。特に必要なければ、その手間を省くこともできます。

スキャンしてみよう

はぴねこ

すきゃんって?

かのみ

スキャンはね、コンピュータやウェブサイトを調べて、セキュリティの問題や不具合を見つけることだよ

ワードプレス画面 Wordfence>スキャン をクリックします。

『新しいスキャンを開始する』をクリックするだけで
自動でスキャンを開始してくれます。
(ほぼ初期状態のブログで5分程待ちました。)

新しいスキャンを開始する』をクリックすることを促す画像

今回は全てに『✓(チェックマーク)』が出ましたが、
『注意マーク!』が出ているときは対応しましょう。

スキャン後全てに『✓(チェックマーク)』が入っていることが表示されている画像


悪質なファイルがある場合はクリック一つで削除できるようにもなっています。

ちなみにデフォルトでは『スキャンタイプ』は標準となっていますが、もしセキュリティ面で不安があるような場合は精度を上げることも検討してください。

エックスサーバーの人はWAF設定もプラスもおすすめ!

はぴねこ

セキュリティはWordfence Securityだけじゃダメなの?

かのみ

Wordfence Securityは非常に優れたセキュリティプラグインだからこのプラグイン自体が、ある種のWAFの役割を果たしているんだけどね

はぴねこ

ワフ?意味不明ニャ

かのみ

Wordfence Security
あくまで「アプリケーションレベル」の防御で
WordPressに対する攻撃を防ぎぐよ

かのみ

エックスサーバーのWAF設定
「ネットワークレベル」(サーバー自体に対する攻撃の防御)でのブログを防御してくれるのよ

かのみ

両方で防御を行うことで、
ブログの安全性はより高まるの

あわせて読みたい
エックスサーバーでWAF設定の方法:5ステップでセキュリティを完璧に! 自分の大切なブログが突然アクセスできなくなったとか、ブログが何者かに攻撃されている…そんな噂を聞いたことありませんか?怖いですよね。もしあなたのサーバーがエッ…

まとめ

いかがでしたか?今回はWordfence Securityの設定と使い方について詳しく解説してきました。最後に、安全なウェブサイトを運営することは非常に大事です。何か問題が起きてからでは遅いので、是非この機会に設定を見直してみてください。それでは、良いウェブライフをお過ごしください。

プラグイン

関連記事

クリックでジャンプできる目次