WordPressでWordfence Securityをインストールして設定する方法

今日のデジタル世界において、WordPressウェブサイトのセキュリティ保護は不可欠です。ハッカーからサイトを保護する最善の方法の1つは、Wordfenceセキュリティプラグインを使用することです。

Wordfenceは広く使用されているプラグインで、サイトを安全に保つための堅牢なセキュリティ機能を提供します。悪意のあるトラフィックをブロックし、ウェブサイトのセキュリティステータスを監視するためのツールを提供します。

当社ではサイト保護のためにCloudflareを使用していますが、この記事のためにWordfenceをレビューするために徹底的な調査を行いました。次のセクションでは、Wordfenceセキュリティプラグインをインストールして設定する簡単な手順を説明します。

Wordfenceとは？ WordPressサイトをどのように保護するのか？

WordPressセキュリティは、ウェブサイト所有者にとって最大の懸念事項の1つです。なぜなら、1回のハッキングでサイト全体がシャットダウンしたり、顧客データが盗まれたりする可能性があるからです。

そこでWordfenceが登場します。

Wordfenceは、ハッキング、マルウェア、DDOS、ブルートフォース攻撃などのセキュリティ脅威からウェブサイトを保護するのに役立つWordPressセキュリティプラグインです。

ウェブサイトアプリケーションファイアウォールが付属しており、ウェブサイトへのすべてのトラフィックをフィルタリングし、疑わしいリクエストをブロックします。

このプラグインには、WordPressのコアファイル、テーマ、プラグイン、アップロードフォルダ全体をスキャンして変更や不審なコードを検出するマルウェアスキャナーも搭載されています。これにより、ハッキングされたWordPressサイトをクリーンアップできます。

基本的なWordfenceプラグインは無料ですが、プレミアムバージョンも利用可能です。このバージョンでは、国別ブロック、リアルタイムで更新されるファイアウォールルール、スケジュールスキャンなどのより高度な機能にアクセスできます。

これを踏まえ、Wordfenceをインストールして簡単に設定し、最大限のセキュリティを確保する方法を見ていきましょう。

WordPressにWordfenceをインストールして設定する方法

まず、Wordfence Securityプラグインをインストールして有効化する必要があります。詳細については、WordPressプラグインのインストール方法のステップバイステップガイドを参照してください。

有効化すると、プラグインはWordPressの管理バーにWordfenceという新しいメニュー項目を追加します。これをクリックすると、プラグインの設定ダッシュボードに移動します。

このページでは、ウェブサイト上のプラグインのセキュリティ設定の概要が表示されます。最近のIPブロック、ログイン試行失敗、ブロックされた攻撃の合計などのセキュリティ通知や統計情報も表示されます。

Wordfenceの設定は異なるセクションに分かれています。デフォルトの設定はほとんどのウェブサイトで機能しますが、必要に応じてレビューして変更する必要があります。

このガイドで説明するすべてのステップの概要を以下に示します。

1. Wordfenceを使用してWordPressサイトをスキャンする
2. Wordfenceファイアウォールの設定
3. Wordfenceを使用した不審なアクティビティの監視とブロック
4. Wordfence の高度な設定とツール

準備はいいですか？まずスキャンを実行しましょう。

Wordfenceを使用してWordPressサイトをスキャンする

開始するには、まず Wordfence » スキャンに移動し、「新規スキャンを開始」ボタンをクリックします。

Wordfenceは、WordPressファイルをスキャンし始めます。

このスキャンでは、公式のWordPressコアファイルおよびプラグインファイルのファイルサイズの変更を検索します。また、ファイル内を調べて、疑わしいコード、バックドア、悪意のあるURL、および既知の感染パターンをチェックします。

通常、これらのスキャンを実行するには多くのサーバーリソースが必要です。

良いニュースは、Wordfenceがスキャンを可能な限り効率的に実行する上で優れた仕事をしていることです。スキャンが完了するまでの時間は、データの量と利用可能なサーバーリソースによって異なります。

また、スキャンの進行状況は、スキャンページの黄色のボックスに表示されます。これらの情報のほとんどは技術的なものですが、心配する必要はありません。

スキャンが完了すると、Wordfence が結果を表示します。

ウェブサイト上の疑わしいコード、感染、マルウェア、または破損したファイルを見つけた場合は通知します。また、これらの問題を修正するために取ることができるアクションを推奨します。

この例では、サイトで 32 件の重大なエラーが見つかったことがわかります。

Wordfenceには、「削除可能なすべてのファイルを削除」ボタンと「修復可能なすべてのファイルを修復」ボタンがあります。これらのボタンを使用すると、すべてのファイルを削除するか、すべてのファイルを修復して、一度にエラーを解消できます。

各エラーの横にある「詳細」をクリックすると詳細を確認したり、「無視」をクリックすると無視したりできます。

Wordfenceファイアウォールの設定

Wordfenceには、ウェブサイトアプリケーションファイアウォール、またはPHPベースのアプリケーションレベルファイアウォールが付属しています。

Wordfence ファイアウォールは 2 つの保護レベルを提供します。デフォルトで有効になっている基本レベルでは、Wordfence ファイアウォールを WordPress プラグイン として実行できます。

これは、ファイアウォールが他のWordPressプラグインと一緒にロードされることを意味します。これにより、多くの脅威から保護できますが、WordPressのテーマやプラグインがロードされる前にトリガーされるように設計された脅威は見逃してしまいます。

保護の第2レベルは拡張保護と呼ばれます。これにより、WordPressコア、プラグイン、テーマよりも前にWordfenceを実行できます。これにより、より高度なセキュリティ脅威に対する保護が大幅に向上します。

拡張保護を設定するには、まず Wordfence » Firewall ページに移動し、「Manage Firewall」をクリックする必要があります。

「Protection Level」の下で、「Optimize The Wordfence Firewall」を選択しましょう。

Wordfenceはバックグラウンドでいくつかのテストを実行し、サーバー構成を検出します。Wordfenceが選択した構成と異なるサーバー構成であることがわかっている場合は、別の構成を選択できます。

次に、Wordfenceは現在の.htaccessファイルをバックアップとしてダウンロードするように求めます。

「.htaccessをダウンロード」ボタンをクリックできます。バックアップファイルをダウンロードした後、「続行」ボタンをクリックしてください。

Wordfenceは、WordPressの実行前に実行できるように.htaccesファイルを更新します。

その後、ファイアウォールページにリダイレクトされ、保護レベルが「拡張保護」と表示されます。

「学習モード」ボタンも表示されます。

Wordfenceを最初にインストールすると、ユーザーとウェブサイトのやり取りを学習し、正当な訪問者をブロックしないようにします。

1週間後、自動的に「有効化および保護中」モードに切り替わります。

Wordfenceを使用した不審なアクティビティの監視とブロック

Wordfenceは、ウェブサイトへのすべてのリクエストの非常に役立つログを表示します。これは、Wordfence » Toolsに移動することで表示できます。次に、「Live Traffic」タブが選択されていることを確認してください。

ここでは、ウェブサイトのさまざまなページをリクエストしているIPアドレスのリストを確認できます。

例えば、見知らぬユーザーからのログイン試行の失敗のような不審なアクティビティをすべて検出できます。各項目には、自動的に次のことができます。

• IPアドレスをブロックして、サイトへのアクセスを制限します。
• それらのWHOIS検索を実行してください。
• 「最近のトラフィックを表示」オプションを使用して、アクティビティに関する詳細情報を確認してください。

日付とトラフィックの種類でアクティビティをフィルタリングしたい場合は、「高度なフィルターを表示」オプションにチェックを入れることができます。

人間、登録ユーザー、クローラー、Googleクローラー、ログインとログアウト、ロックアウトされたトラフィック、ファイアウォールによってブロックされたトラフィックなど、トラフィックをフィルタリングできます。

このページでは、個々のIPアドレスやネットワーク全体をブロックできます。

不審なIPアドレスは、Wordfence » Firewall に移動し、「Blocking」タブをクリックすることで手動でブロックすることもできます。ここでは、IPアドレス、国、またはカスタムパターンに基づいてブロックルールを作成できます。

次に、「このIPアドレスをブロック」をクリックすると、ルールが有効になります。

その下には、ブロックしたユーザーのリスト全体が表示されます。

また、各禁止に関するルール、理由、その他の詳細も表示されます。

Wordfence の高度な設定とツール

Wordfenceは、多くの便利なオプションを備えた強力なプラグインです。Wordfence » すべてのオプションページにアクセスして確認できます。

ここでは、機能を個別にオン/オフできます。また、メール通知、スキャン、その他の高度な設定を有効または無効にすることもできます。

Wordfence vs Sucuri – どちらが良いか？

さて、WordfenceはSucuriと比べてどうなのか疑問に思っている方もいるでしょう。Sucuriは、ウェブサイトアプリケーションファイアウォール、マルウェアスキャナー、および削除機能を備えた、もう一つの人気のウェブサイトセキュリティスイートです。

WordfenceとSucuriはどちらもWordPressのセキュリティを向上させるための優れた選択肢です。しかし、SucuriにはWordfenceよりもわずかに優位性をもたらすいくつかの機能があると私たちは考えています。

そのうちの一つがファイアウォールです。

Wordfence WAFはアプリケーションレベルのファイアウォールであり、サーバー上で起動します。一方、SucuriのウェブサイトファイアウォールはDNSレベルのファイアウォールです。これは、ウェブサイトへのすべてのトラフィックがウェブサイトに到達する前に、まず彼らのクラウドプロキシを経由することを意味します。

完全なレビューについては、Wordfence vs Sucuri – どちらが良いか？の記事をご覧ください。

この記事が、Wordfenceをウェブサイトにインストールして適切に設定する方法を学ぶのに役立ったことを願っています。また、WordPressサイトがハッキングされる主な理由や、DDoS攻撃を停止および防止する方法に関するガイドも参照することをお勧めします。

この記事が気に入ったら、WordPressのビデオチュートリアルについては、YouTubeチャンネルを購読してください。 TwitterやFacebookでもフォローできます。