WordPressブログのセキュリティ対策ってしていますか?
WordPressは世界中で広く導入されているCMSで、想像以上に世界中から狙われています
この記事では、Wordfence Securityの設定方法と使い方について解説していきます。
Wordfence Securityとは?
Wordfence Securityは、セキュリティプラグインです。
不正アクセスやハッキング、スパムコメントやウィルスなどからサイトを守ってくれます。
以前、ブログに大量の攻撃が来たことがありましたが、Wordfence Securityが全てブロックしてくれたおかげで何も被害はありませんでした。
Wordfence Securityを入れていなかったらと思うとゾッとします…
WordPressブログを運営する上でセキュリティプラグインは必須です。
特にSWELLユーザーにWordfence Securityはおすすめなのでインストールしておきましょう!
Wordfence Securityのインストールとランセンス取得方法
Wordfence Securityのインストールと設定をしていきます。
Wordfence Securityのインストール方法
まずは、プラグイン「Wordfence Security」をインストールします。
WordPress管理画面の「プラグイン」→「新規プラグインを追加」をクリックします。
プラグインの検索に「Wordfence Security」と入力して、表示されたらインストールします。
インストールが完了したら「有効化」をクリックします。
これでインストールは完了!
ラインセンス取得方法
有効化が完了するとこの表示がされるので「WORDFENCEランセンスを取得」をクリックします。
Wordfenceの公式サイトに飛び、ライセンス選択ページが表示されます。
1番左の「Get a Free License」をクリックします。
「Are you sure you want delayed protection?」というポップアップが表示されるので、ボタンの下の「I’m OK waiting 30 days for protection from new threats」をクリックします。
「Get Wordfense Free」という画面が表示されるので、必要事項を入力します。
- メールアドレスを入力
- Yesを選択
- チェックを入れる
全て完了したら、「Register」をクリックします。
ライセンスキーがメールが送信されます。
届いたメールの「Install My License Automatically」をクリックします。
ワードプレスの管理画面に飛び「Wordfence のインストール」画面が表示されます。
「ライセンスインストール」をクリックします。
「無償ライセンスインストール済み」と表示されます。
これで無料ライセンス登録が完了しました!
「ダッシュボードへ」をクリックして初期設定をしていきます。
Wordfence Securityの初期設定方法
Wordfence Securityの初期設定をしていきます。
ダッシュボードへ飛ぶと、このようなガイドが表示されるので、「次へ」をクリックして進めていきましょう。
「了解」をクリックすると消えます。
自動更新を有効化
まず、Wordfence Securityの自動更新を有効化します。
バージョンが古いとセキュリティが弱まるので、必ず有効化しておきましょう。
Wordfence Securityのダッシュボードの上部に「Wordfenceを自動的に最新の状態に保つようにしますか ?」という項目があるので、「はい、自動更新を有効化します。」をクリックします。
手動で更新しなくていいので、毎回更新する手間が省けます!
ファイアウォールの状態を確認
「Wordfence」→「ダッシュボード」をクリックして、ダッシュボードを開きます。
「ファイアウォールを管理」をクリックします。
- 「学習モード」になっているか
- 「次の時に自動的に有効化」にチェックが入っているか
- 「次の時に自動的に有効化」の横に1週間後の日付が入っているか
を確認します。
初期設定でこの状態になっていれば何も変更しなくてOKです!
ファイルのバックアップをダウンロード
続いて、ファイルのバックアップをダウンロードしていきます。
「WORDFENCEファイアウォールの最適化」をクリック
- .HTACCESSをダウンロード
- .USER.INIをダウンロード
どちらもクリックしてダウンロードします。
完了したら「次へ」をクリックします。
ダウンロードが成功が表示されたら「閉じる」をクリックします。
ダウンロードしたファイルは大切に保管しておきましょう。
メール通知設定
メール通知設定をします。
初期設定のままだと毎日のようにメールが届くので設定しておくことがおすすめです。
「Wordfence」→「すべてのオプション」をクリックします。
「通知メールの設定」をクリックします。
以下の項目にチェックを入れます。
- Wordfenceが無効化されたらメールで知らせる
- Wordfence Webアプリケーションファイアウォールがオフになっている場合にメールで通知する
- この深刻度レベル以上のスキャン結果を通知する
- 有効なユーザーに対して「パスワード紛失」フォームが使用されたらアラートする
- 管理者権限のある人がサインインしたときにアラートする
- サイトで検出された攻撃が大幅に増加したらアラートする
チェックを入れたら、右上の「変更を保存」をクリックします。
これでメール通知設定は完了です。
WordPress(ワードプレス)のバージョンを隠す
WordPressバージョン情報は隠しておきましょう!
「Wordfenceの一般的なオプション」をクリックします。
「WordPressのバージョンを隠す」にチェックを入れて、「変更を保存」をクリックします。
チェックを入れたら、右上の「変更を保存」をクリックします。
Wordfence Securityの使い方
Wordfence Securityは、ブルートフォースアタック(パスワードを強引に解読しようとする攻撃)対策やreCAPTCHAとの連携ができます。
セキュリティを高めるためにも
- ブルーフォースアタック対策
- reCAPTCHAの設定
- 2段階認証の設定
をすることをおすすめします。
ブルーフォースアタック対策
「Wordfence」→「すべてのオプション」をクリックします。
「ブルートフォース保護」をクリックします。
「ブルートフォース保護を有効化」がオンになっていることを確認して、数字を設定していきます。
- 何回ログインに失敗するとロックアウトされるか
- 何回パスワードを忘れたらロックアウトするか
- どの期間の失敗をカウントするか
- ユーザーをロックアウトする期間
数字は数が小さいほどセキュリティが強いですが、自分が失敗する可能性もあるので少し緩く設定しています。
「無効なユーザー名を即座にロックアウトする」にチェックを入れて、「admin」と入力します。
通知オプションは初期設定のままでOKです。
設定が完了したら、右上の「変更を保存」をクリックします。
ブルートフォース保護の数字は、バランスを見て設定してください!!
reCAPTCHAの設定
ログイン時にreCAPTCHAを表示することで、自動化されたツールによる攻撃を防ぐことができます。
まだreCAPTCHAの設定をしていない人は、まずインストールと設定をしましょう。
まず、Google reCAPTCHAにログインして「v3 Admin Console」をクリックします。
歯車マークをクリックします。
reCAPTCHAのサイトキーとシークレットキーをコピーします。
WordPressの管理画面に戻り、「Wordfence」→「ログインセキュリティ」をクリックします。
設定タブを選択します。
「ログインページとユーザー登録ページで reCAPTCHA を有効にする」にチェックを入れて、先ほどコピーしたサイトキーとシクレットキーを貼り付けて保存します。
これで完了です!
2段階認証の設定
Authenticatorアプリを使用して2段階認証を設定することができます。
毎回認証コードを入れないとでログインが面倒になりますが、セキュリティがとても高まるのでおすすめです!
「Wordfence」→「ログインセキュリティ」をクリックします。
「二要素認証」を選択して、リカバリーコードをダウンロードします。
ダウンロードしたら、大切に保管しておきましょう!
次に、スマホにAuthenticatorアプリをインストールします。
「コードを追加」をタップします。
「QRコードをスキャン」をタップするとカメラが起動します。
Wordfenceの二要素認証画面のQRコードを読み取り、Authenticatorアプリに表示された数字を入力して「有効化」をクリックします。
「Wordfenceの2要素認証は現在、アカウントで有効になっています。」と表示されたら完了です。
これで2段階認証の設定は完了です!
ログイン情報を入力すると
Wordfence 2FAコードが求められます。
Authenticatorアプリに表示された数字を入力するとログインできます。
30秒ごとにコードが変化し続けるので、不正ログインはほぼ不可能になります!
wordfence securityの設定方法と使い方まとめ
wordfence securityの設定方法と使い方を解説しました。
- Wordfence Securityのインストールとランセンスを取得
- 自動更新を有効化
- ファイアウォールの状態を確認
- ファイルのバックアップをダウンロード
- メール通知設定
- WordPressのバージョンを隠す
- ブルーフォースアタック対策
- reCAPTCHAの設定
- 2段階認証の設定
安全なブログ運営をしていくために、セキュリティ対策はしっかりしましょう!
最後まで読んでいただきありがとうございました。