初心者さんSWELLに入れたセキュリティ系プラグイン「Wordfence Security」の使い方は?
このような疑問にお答えします。
「Wordfence Security」の公式サイトは英語ばかりですが、右クリックで日本語化してしまえば問題なし。
プラグイン導入後はすべて日本語で表示されるのでご安心ください。
はじめに「Wordfence Security」の概要を紹介し、次にインストール方法、設定方法を解説。
この記事を読めば「Wordfence Security」をSWELLにサクッと導入できますよ!
SWELLの推奨プラグインはこちら
Wordfence Securityとは
「Wordfence Security」とは、WordPress専用に開発されたセキュリティプラグインです。
これ一つで「ハッキング」や「マルウェア感染」対策できます。
主な機能
- ファイアーウォール
- マルウェアスキャナ
- ログインセキュリティ
- 二段階認証
SWELL公式でも推奨。
選択肢1 : Wordfence Security
基本的にはこのプラグインを使ってます。
reCaptcha v3も簡単に導入できますし、「とりあえず入れとけば安心だ」とよく聞くので…笑
Wordfenceを導入する場合はそれで十分だと思うので、それ以外のセキュリティ系は基本的に入れていません。
推奨プラグインと非推奨・不要・注意すべきプラグインについて
エイタちなみに、選択肢2は「XO Security」
XO Securityの詳細はこちら
Wordfence Securityのインストール
Wordfence Securityのインストール方法です。
「ダッシュボード」>「プラグイン」>「新規プラグインを追加」
検索窓に「Wordfence Security」を入力。
見つけたら「今すぐインストール」をクリック。
「有効化」をクリックすれば完了。
エイタ有効化したら、そのまま「無料ライセンス」入手するよ
無料ライセンスの取得
無料ライセンスの取得方法は以下のとおり。
「新たな脅威から保護されるまで30日待っても問題ありません」をクリック。
- Eメール
-
メールアドレスを入力。
- WordPressのセキュリティと脆弱性の警告を電子メールで送信したいですか?
-
「はい」を選択。
- Wordfenceの利用規約
-
チェックを入れます。
すべて入力したら「登録する」をクリック。
入力したメールアドレスにWordfenceから「ライセンスキー」が送信されます。
「Install My License Automatically」をクリック。
すると、WordPressのダッシュボードに遷移します。
「ライセンスインストール」をクリック。
「ダッシュボードへ」をクリック。
Wordfenceのダッシュボードに遷移します。
「次へ」をクリックし解説を読めば完了。
Wordfence Securityの設定方法
Wordfence Securityの設定方法です。
「ダッシュボード」>「Wordfence」からどうぞ。
自動更新を有効化
Wordfenceを最新の状態に保つために、自動更新をオンにします。
「はい、自動更新を有効化します」をクリック。
ファイアウォール
ファイアウォールの設定をします。
「防火壁」を意味する言葉。
IT分野ではハッキングや情報漏洩を防いでくれる機能のことです。
Wordfenceのファイアウォール設定画面に遷移します。
「ダッシュボード」>「Wordfence」>「ファイアウォール」>「ファイアウォールを管理」からでもOK
「.HTACCESS」をダウンロード(テキスト)、保存したら「次へ」をクリック。
「閉じる」をクリックすれば完了。
- Webアプリケーションファイアウォールの状態
-
「学習モード」になっていればOK
「次のとき自動的に有効化」をオン。(日付は一週間後)
- 保護レベル
-
「拡張保護を解除」となっていればOK
Wordfenceはサイト内容を理解し、どう保護すればいいのかを学習。
一週間後に「学習モード」から「有効であり保護中」に切り替わります。
ブルートフォース保護
「ブルートフォース保護」を設定します。
ブルートフォース(Brute-force)は「力任せ」「強引」という意味。
暗号を解読する手法のことで、可能な限りすべてのパスワードを組み合わせるやり方。
「無効なユーザー名を即座にロックアウトする」にチェック。
枠内に「admin」と入力しEnterをクリックします。
「admin」と入力する理由は、ハッカーに狙われやすいから。
WordPressインストール時にユーザー名を変更しないと「admin」になります。
エイタユーザー名を変更していないと、自分もロックアウトされるので注意
ユーザー名の設定は「ダッシュボード」>「ユーザー」からできます。
最後に画面右上「変更を保存」をクリックして完了。
スキャン
スキャン機能を使うと、WordPress内にある「悪質なファイル」や「悪意あるURL」がないか点検してくれます。
「ダッシュボード」>「Wordfence」>「スキャン」
異常のある場合、「エラー」マークが表示されます。
スキャン設定により、マルウェアスキャン中に1個のパスがスキップされました
種類: スキップパス
内容を見るとサーバーの異常ではなく、「スキャン設定」を変更する必要があるみたいです。
「スキャンオプションとスケジューリング」をクリック。
「基本設定」をクリック。
「WordPressインストール外のファイルをスキャン」にチェックしたら、画面右上「変更を保存」をクリック。
ブラウザバックします。
再度「新しいスキャンを開始する」をクリック。
スキャンが終わると、エラーが解消されたのを確認できます。
ツール
「ツール」ではスパムコメントの対策ができます。
記事とは関係ないコメント、不正なサイトURLを大量に書き込む行為のこと。
アダルトサイト、詐欺サイトへの誘導が目的です。
スパムコメントが公開されたままの状態だと、読者を危険に晒すことになります。
コメント欄を開放するならスパム対策は必須です。
「ダッシュボード」>「Wordfence」>「ツール」
アクセスログをクリックすると詳細が展開されます。
「WHOISを実行する」をクリック。
【アクティビティの詳細】に表示されている、IP単体をブロックしてもあまり意味はありません。
【WHOIS LOOKUP】の「このネットワークをブロック」のいずれかをクリックし、ネットワークごとアクセスを遮断します。
4つの選択肢は下にいくほど強力。
ブロックするネットワークのIPアドレス範囲が広がるからです。
エイタ上から2つ目or3つ目以上がおすすめ
「このネットワークをブロック」のいずれかをクリックすると、ブロックルールを作成できます。
【ブロック理由】の入力は必須なので「spam」と記入。
最後に【このパターンに一致する訪問者をブロック】をクリックすれば完了です。
ブロックしたネットワーク一覧の確認は「ダッシュボード」>「ファイアウォール」>「ブロック」からどうぞ。
ログインセキュリティ
ログインセキュリティの設定は2つ。
reCaptcha
「reCaptcha」とは、Googleが提供するボットと人間を識別するサービス。
「ログイン」や「お問い合わせ」から侵入しようとする、悪意あるアクセスからウェブサイトを守るツールです。
「ダッシュボード」>「Wordfence」>「ログインセキュリティ」
「ログインページとユーザー登録ページで reCAPTCHA を有効にする」にチェック。
サイトキー、シークレットキーを貼り付けたら画面右上の「保存」をクリックして完了。
一旦、WordPressをログアウト。
ログイン画面にreCAPTCHAマークが表示されていればOK
2段階認証
2段階認証とはウェブサイトにログインする際、IDとパスワード以外にアプリやセキュリティコードで追加認証する仕組みのこと。
セキュリティ強化につながります。
2段階認証の設定には「Google Authenticator」というアプリが必要です。
スマホにインストールしましょう。
「Authenticator アプリからコードを入力する」に記載されている、リカバリーコードをダウンロード。
リカバリーコードは2段階認証できなくなったときに入力すると、ログインできるようになります。
エイタマスターキーみたいなもの。大切に保管してね
画面左側のQRコードを「Authenticator アプリ」で読み取ります。
スマホアプリ【Google Authenticator】を開き「+」をタップ。
「QRコードをスキャン」をタップ。
カメラが起動するので、PC画面に表示されているQRコードを読み取ってください。
読み取りが終わるとAuthenticatorの画面に「Wordfence:ドメイン」と追加されます。
6桁の数字が2段階認証コードです。(30秒毎に自動変更)
アプリに表示されているWordfenceの2段階認証コードを入力。
「有効化」をクリックすれば完了です。
「Wordfence 2FA アクティブ」と表示されます。
一旦、WordPressをログアウト。
再度ログインする際に「Wordfence 2FA」の入力欄が表示されます。
Google Authenticatorに表示されている6桁の2FAコードを入力。
「ログイン」をクリックすればログインできるはずです。
エイタもしログインできなければ、リカバリーコード(英数字12桁)を入力すればOK
通知
通知メールの設定をします。
「ダッシュボード」>「Wordfence」>「すべてのオプション」
基本、そのままで問題ありません。
私は2か所変更しています。
- 管理者権限のある人がサインインしたときにアラートする
-
チェックOFF:自分がログインする度にメールが来てしまう
- 管理者以外のユーザーがサインインしたときにアラートする
-
チェックON:ハッキングされた可能性あり
最後に「変更を保存」をクリックすれば完了。
エイタ「Wordfence Security」の設定は以上です。お疲れさまでした
Wordfence Securityの削除方法
Wordfence Securityの削除(アンインストール)方法です。
「ダッシュボード」>「プラグイン」>「Wordfence Security」
【すべてのWordfenceのテーブルとデータを削除】を選択し「データの無効化と削除」をクリック。
「拡張保護を解除」をクリック。
【.HTACCESS】と【.USER.INI】をダウンロードし、「次へ」をクリック。
エイタダウンロードしたテキストは大切に保管
アンインストールされるまで5分ほど待ちます。
アンインストールが完了したら「閉じる」をクリック。
再度、上記画面が表示されるので【すべてのWordfenceのテーブルとデータを削除】を選択し「データの無効化と削除」をクリック。
「データの無効化と削除」をクリック。
「削除」をクリックすれば完了です。
データが完全に削除されたのか確認
プラグイン「Plugins Garbage Collector」を使って、Wordfence Securityのデータが完全に削除されたのか確認します。
WordPressのデータベース内をスキャンし一覧表示。
不要なデータを一気に削除できます。
インストール、有効化したら以下の手順に進んでください。
「ダッシュボード」>「Wordfence」>「Database Cleanup」
【隠しテーブルを表示する】にチェックを入れ、「データベースをスキャン」をクリック。
Wordfence Securityのテーブルデータはすべて消えています。
もし残っているときは(赤字)、チェックを入れ左下の「Delete selected tables」をクリックし削除してください。
赤字でも「wp_swell_balloon」は消さないように。
SWELL利用者は【ふきだし】が消えてしまいます。(復旧も簡単にできるけど…)
Wordfence Securityに関するよくある質問
最後に、Wordfence Securityに関するよくある質問をまとめておきます。
- Wordfence Securityを導入するとサイトは重くなりますか?
-
Wordfenceには自動スキャン機能が搭載されているため、サイトによって重くなる可能性があります。
自動スキャンを無効化するといいでしょう。
ダッシュボードから「Wordfence」>「すべてのオプション」>「スキャンのスケジューリング」
【Wordfence のスキャンをスケジュールする】を無効にします。
画面右上の「変更を保存」をクリックして完了。
その他、サイトの高速化についてはこちら
- Wordfence Securityを日本語化するには?
-
Wordfence Securityは日本語対応です。
プラグイン導入後はすべて日本語で表示されます。
一方、Wordfence公式サイトは日本語対応していません。
無料ライセンスを取得するときは「右クリック」で日本語翻訳してください。
- Wordfence Securityは有料版を使うべきですか?
-
無理に有料版を使う必要はありません。
しかし、有料版は一つのページで複数サイトを管理できます。
複数サイトのセキュリティ強化をしたい方は、有料版の導入を検討するといいかもしれません。
まとめ|SWELL公式サイト推奨のセキュリティ系プラグイン「Wordfence Security」
今回は、SWELL公式サイト推奨のセキュリティ系プラグイン「Wordfence Security」の使い方をまとめました。
以前はすべて英語表記でしたが、現在は日本語対応しています。
インターフェイスもシンプルなので初心者さんも操作に迷いません。
「Wordfence Security」を導入し、安心安全なサイト運営をしましょう。
\国内人気No.1/
あわせて読みたい
