WordPressブログのセキュリティ対策では、プラグイン「Wordfence」が有名で多くの方が利用しています。
しかし、設定が難しそうなプラグインなので、ブログ初心者にとっては不安もあるでしょう。
そこで今回は、プラグイン設定が苦手な方でもできるように詳しく解説します。
Wordfenceを設定しておくと、国内外からの攻撃を防げ安心してブログを運営できます。
「Wordfence」の特徴
セキュリティ対策のプラグイン「Wordfence 」は、次の機能があります。
- ファイアウォール
- ウイルススキャン
- IPブロック
- ライブトラフィック
- ログインの安全性の確保
難しそうな機能がそろっていますので、初心者に方には難しく感じるでしょう。
そこで、簡単にまとめると次のようなプラグインです。
一般的なブログサイトへの攻撃をはじめ、WordPress内部への攻撃、テーマやプラグインへの攻撃など高度な攻撃を防いでくれるプラグインです。
有料版と無料版がありますが、無料版でも十分なセキュリティ対策が可能です。
今回は無料版のプラグイン「Wordfence」をWordPressブログに設定したいと思います。
以下の説明手順で画像や設定順番、英語から日本語表記に更新するなど、新しく更新されている場合があります。基本は同じなので参考にしながら最新の手順に従って行ってください。
「Wordfence」をダウンロードする方法
WordPressで作ったブログにプラグインWordfenceを設定して使います。
初めにプラグインWordfenceをダウンロードします。
WordPressのダッシュボードからプラグインWordfenceを検索して探します。
「Wordfence」が見つかったらインストールし有効化ボタンをクリックして有効化します。
Wordfenceの設定方法
Wordfence securityはWordPressのプラグインです。
順番に説明します。
Wordfenceの初期設定
有効化すると、下記の表示になります
必要な情報を以下の手順で順番に入力します。
(1)連絡用、メーリングリスト用等に使うメールアドレスを①に入力します。
(2)セキュリティに関するメールを受け取る場合は②「YES」にチェックを入れます。
(3)プライバシーポリシー等を承諾するので③にチェックを入れます。
(4)最後に④の「CONTINUE」をクリックします。
有料版を利用するかどうか設定する
ここでは、有料版はいらないので「No Thanks」をクリックします。
ここまでで、「Wordfence」の初期設定は終了します。
Wordfenceの詳細設定
ここまでの手順が完了すると、WordPressのダッシュボードの左サイドバーに「Wordfence」が追加されています。
「Wordfence」メニューの「Dashboard」をクリックします。
すると下の表示がでます。
ダッシュボードの説明なので✖印をクリックして飛ばします。
すると、「Wordfence」のダッシュボードの上に表示が出ます。
ここでは、Firewallのファイルを最適化する設定を行います。
更新する設定を行います。
「CLIC HERE TO CONFIGURE」をクリックします。
「.HTACCESS」ファイルの設定
次に以下の画面が表示されます。
ここでは、ファイアーウォールの「.HTACCESS」ファイルを更新(最適化)します。
万が一失敗したときのためにファイルをダウンロードして保管しておきます。
通常のダウンロードと同じ手順です。
「DOWNLOAD .HTACCESS」をクリックしてファイルをダウンロードします。
ファイル名は現在のサイトURLが入った名称で作成されますので、どこか分かる場所に保存してください。
それが終わると次は「CONTINUE」をクリックします。
ここで詳細設定は終わります。
詳細設定が成功すると以下の表示になります。
無料版の「Wordfence」のインストールはこれで終了しました。
特に他の詳細設定をせずにデフォルトのままで、制度の高いセキュリティ対策利用は可能です。
その他、以下のメッセージが残っていると思います。
自動アップデートを希望するかですが、必要に応じて選択してください。
私は、テストもあるので「YES」にしました。
しかし、さらに詳細は設定をされる場合は、「Wordfence」のダッシュボードから各項目を読んで行ってください。
確認メールが通知される(2019年以前まで?)
2019年12月時点で確認メールの通知は無くなっていました。
以下はその前の事例です。
最初に入力したメールアドレスに、Wordfenceからお知らせメールが来ます。
当時は内容がすべて英文なので訳して読みます。
初めての設定で来たお知らせの例
「プラグイン」が古いと注意をしてきました。
すでにアップデートが3年もされていないので大丈夫か?というチェックがWordfenceから来ました。
プラグインが古いままアップデートされていないと注意喚起です。
ぼくの場合、6個が古いから危険だと指摘されました。嬉しい機能です。
その他に、有料版への案内など、いろいろお知らせが届きます。
2024年9月現在の利用状況
Wordfenceを設定したのは2019年12月21日ですから現在2024年9月は5年目です。
Wordfenceは様々な記録をしたりメールで直接知らせてくれます。
例えば以下の様な事例があります。
不正なアクセスをブロック
不正なアタックをブロックした記録です。
IPアドレス、国名、アタック回数などが記録されています。
特殊な攻撃をブロック
以下のデータはWordfenceがメールで自動報告した速度攻撃の記録です。
Wordfence Web Application Firewall は、過去10 分 の間に337の攻撃をブロックしました。
このような国内外からのアタックは、ブログを運営していると日常的に発生します。
もし、Wordfenceがなかったら、ブロックはできなかったでしょう。
不正なログインをブロック
また、WordPressブログに外部から不正なログインがあったかどうかも記録し保存しています。
アップデートされていないプラグインを知らせる
Wordfenceはアップデートされていない古くなったプラグインがあると警告をしてくれます。
また新しいソフトをインストールする時は、一時保留にしてインストールを許可していいかどうかを聞いてきます。
複雑な攻撃やブルートフォースをブロック
2023年4月のある1日だけでも複雑な攻撃が16件、ブルートフォースが1件が確認されています。
ブルートフォースは総当たりでパスワードを確認する方法です。
セキュリティを強化しないとWordpressブログが外部から乗っ取られる可能性もあります。
WordPressブログには日々様々な脅威あるアタックがWordfenceによりブロックされています。
このように外部からの不正なアクセスをブロックします。
Wordfenceは無料で使える安心なセキュリティのプラグインです。
Wordfenceインストール後の問題解決の関連記事
おわりに
セキュリティ対策プラグイン「Wordfence」のインストールから設定、使い方まで説明しました。
設定方法は日々更新されますが、指示通りに進めば問題はありません。
これで様々な攻撃からサイトを守ることが出来るようになりました。
nao(NAOテック)
