信頼できるセキュリティプラグインがないと、WordPressウェブサイトはブルートフォース攻撃、悪意のあるコードインジェクション、データ盗難などの脅威にさらされます。Wordfence は、500万以上のアクティブインストールを誇る、世界で最も広く使用されているWordPressセキュリティプラグイン
強力な Web アプリケーション ファイアウォール、ディープマルウェア スキャナー、ログイン セキュリティ ツール、リアルタイムの脅威インテリジェンスなど、すべて WordPress 専用に構築された機能を提供します。
このチュートリアルでは、Wordfence をセットアップし、正しく構成し、WordPress サイトをあらゆるレベルで保護するために必要なすべての手順を説明します。.
TL;DR: Wordfenceのセットアップと保護の基本
- Wordfence をインストールし、ファイアウォールをすぐに有効にして、一般的な WordPress 攻撃をブロックします。.
- ログインの安全性を確保するため、2 要素認証とブルート フォース攻撃対策を有効にします。.
- 定期的にマルウェア スキャンを実行し、フラグが付けられた問題を遅滞なく修正します。.
- リアルタイムの脅威更新とより強力な保護を実現するには、プレミアム以上のプランにアップグレードしてください。.
WordPress用Wordfenceのインストールと設定
Wordfenceの使い始めは初心者でも簡単です。プラグインのインストールと設定一からご紹介します。
Wordfence をインストールしてファイアウォールを有効にする方法は?
WordPress ウェブサイトに Wordfence プラグインをインストールするには、次の手順に従います。
- WordPress 管理パネルにログインします
- 左側のメニューの「プラグイン」に移動し 「新規追加」。
- 検索結果で「Wordfence Security」のプラグインを検索します
- [今すぐインストール] をクリックし、 [アクティブ化] ボタン。
- セキュリティ通知を受信し、利用規約に同意するには、メールアドレスを入力してください
- ライセンス キーを追加するか、スキップして無料バージョンを使用してください。
Wordfenceを有効にすると、Wordfenceダッシュボードのツアーが表示されます。ダッシュボードには、現在のセキュリティステータス、最近のスキャン結果、ファイアウォールのアクティビティ、ログイン試行が表示されます。.
- ファイアウォールを有効にするには、 WordPress 管理メニューで「Wordfence」→「ファイアウォール」
- [ファイアウォール] ボタンをクリックし、 [Wordfence ファイアウォールの最適化]。
この手順では、サーバー構成を使用して、ファイアウォールを拡張保護モードで実行するように構成します。.
.htaccess ボタンが表示されます。これをクリックすると、Wordfence が .htaccess ファイルを更新し、WordPress の前にファイアウォールが読み込まれるため、ファイアウォール保護が強化。
「続行」ボタンをクリックして変更を保存し、セットアップを完了します。
WordfenceでWordPressのセキュリティを強化
ウェブサイト向けの強力なファイアウォール保護、マルウェア スキャン、リアルタイムの脅威防御をご確認ください。.
Wordfence 無料版 vs プレミアム版 vs ケア版 vs レスポンスプラン
Wordfenceは4段階の保護を提供します。各プランを理解することで、ニーズに最適なプランをお選びいただけます。.
- 無料版:ウェブアプリケーションファイアウォール、マルウェアスキャナー、ブルートフォース攻撃対策、ログインセキュリティ機能が含まれます。マルウェアシグネチャとファイアウォールルールは、プレミアムユーザーへの配信から30日後に更新されます。
- Wordfence Premium:リアルタイムのマルウェアシグネチャ、リアルタイムのIPブロックリスト、国別ブロック、プレミアムサポートが追加されます。トラフィックの多いビジネスウェブサイトに最適です。
- Wordfence Care:プレミアムのすべての機能に加え、専任のセキュリティアナリストがサイトを監視し、Wordfence をインストールおよび構成し、四半期ごとにセキュリティ監査を。
- Wordfence Response:最高レベルの保護レベル。24時間365日対応のインシデント対応と1時間以内のSLAを提供します。ダウンタイムが深刻な被害をもたらすミッションクリティカルなWordPressサイト向けに設計されています。
ほとんどの小規模から中規模のWordPressウェブサイトでは、無料版で堅牢なベースラインセキュリティを実現できます。Wordfence Premiumにアップグレードすると、リアルタイムの脅威インテリジェンスを利用でき、新たな攻撃をより迅速に阻止する上で大きな効果を発揮します。.
Wordfence Web アプリケーション ファイアウォールの設定
Wordfence ファイアウォールは、着信トラフィックを検査し、悪意のあるリクエストが WordPress サイトに到達する前にブロックするWeb アプリケーション ファイアウォール (WAF)
正しく設定するには、 「Wordfence」→「ファイアウォール」、 「ファイアウォールオプション」。ファイアウォールオプションページで設定する主な設定は次のとおりです。
- Web アプリケーション ファイアウォールの状態:有効かつ保護に設定。
- 保護レベル:高度なカスタム ファイアウォール ルールが必要な場合を除き、デフォルトのままにしておきます。
- ファイアウォールルール: Wordfenceはこれらのルールを自動的に更新します。プレミアムユーザーは、ルールのリアルタイム更新を受け取ります。
- 学習モード: Wordfenceを初めてインストールすると、ファイアウォールは1週間学習モードで動作します。これにより、リクエストをブロックする前に、サイトのトラフィックパターンを学習することができます。この期間が経過したら、有効モードに切り替えてください。
- 許可リストに登録された URL:支払いゲートウェイや Cloudflare などのサードパーティ統合など、ブロックしてはいけない URL を追加します
- ブルートフォース攻撃対策:ログイン試行とパスワードリセットの回数に制限を設定します。このセクションでは、偽のユーザーエージェントを使用するボットをブロックすることもできます。
これらのファイアウォール オプションを構成したら、 [保存]すべての変更を適用します。
ブルートフォース攻撃を防ぐためのログインセキュリティの有効化
ブルートフォース攻撃は、WordPressウェブサイトを標的とする最も一般的な脅威の一つです。ハッカーは自動ボットを使用してユーザー名とパスワードの組み合わせを推測し、管理パネルへのアクセス権を獲得します。.
Wordfence のログイン セキュリティ機能は、これらの攻撃が成功する前に阻止します。.
Wordfence → ログイン セキュリティに移動して、次の設定を構成します。
- 二要素認証(2FA) :管理者と編集者のロールで2FAを有効にします。ユーザーはスマートフォンの認証アプリでQRコードをスキャンして設定します。これにより、重要な保護層が追加されます。
- reCAPTCHA :ログイン ページと登録ページに Google reCAPTCHA を追加して、スパム ボットによる自動ログイン試行をブロックします。
- ブルートフォース攻撃対策設定: IPアドレスがロックアウトされるまでのログイン失敗回数を設定します。一般的なデフォルトは5回です。
- 強力なパスワードの強制:弱い資格情報によるセキュリティ侵害のリスクを軽減するために、すべてのユーザーに複雑なパスワードの使用を要求します。
- XML-RPC認証を無効にする: XML-RPCはブルートフォース攻撃に利用される可能性があります。XML-RPCを無効にすることで、この一般的な攻撃経路を遮断できます。
これらのログイン セキュリティ機能は連携して動作し、WordPress 管理者を不正アクセス。
Wordfenceマルウェアスキャナーとリアルタイム脅威インテリジェンス
ファイアウォールを超えて、Wordfence には WordPress ファイル、プラグイン、テーマ、データベースを検査して脅威を検出する強力なマルウェア スキャナーが含まれています。.
Wordfence マルウェア スキャナーはどのようにして悪意のあるコードを検出するのでしょうか?
Wordfenceマルウェアスキャナーは、WordPressのコアファイル、プラグイン、テーマを既知の正常なリポジトリと比較します。変更されたファイル、悪意のあるコードが挿入されたファイル、または完全に置き換えられたファイルを検出します。.
スキャナーは次の項目をチェックします:
- マルウェアとバックドア:クリーンアップ後でもハッカーがサイトに再侵入できる隠しコード。
- ファイルの変更:公式バージョンと一致しない WordPress コア ファイルの変更。
- 悪意のある URL:コンテンツまたはコードに埋め込まれ、既知のフィッシング サイトやマルウェア サイトを指すリンク。
- ファイル権限:機密データが公開されたり、不正な書き込みを許可したりする不適切なファイル権限。
- 疑わしいコード パターン:ハッキングでよく使用される難読化された PHP 関数。
スキャンを実行するには、 「Wordfence」→「スキャン」、 「新しいスキャンを開始」。WordfenceはWordPressサイト全体をスキャンし、見つかったすべての問題をスキャン結果にリストします。
リアルタイムのマルウェアシグネチャと脅威インテリジェンス
Wordfenceは独自の脅威インテリジェンスプラットフォームを運営しています。このプラットフォームは、Wordfenceが稼働しているすべてのWordPressサイトにおける脅威を分析し、最新のマルウェアシグネチャをプッシュすることで、ネットワーク上のすべてのユーザーを保護します。.
- プレミアム ユーザーは、マルウェアが検出されるとすぐにリアルタイムのマルウェア署名を受け取ります。
- 無料版のユーザーは同じ署名を受け取りますが、30 日遅れます。
この脅威インテリジェンスはファイアウォールとスキャナーに直接送信されます。WordPressサイトで新しい攻撃パターンが検出されると、Wordfenceはマルウェアシグネチャとファイアウォールルールを更新し、すべての顧客を保護します。.
WordfenceはリアルタイムのIPブロックリストも管理しています。このリストは、Wordfenceネットワーク全体でWordPressウェブサイトを積極的に攻撃しているIPアドレスをブロックします。.
プレミアム ユーザーは、このブロックリストをリアルタイムで利用して、ログイン ページに到達する前に何千もの悪意のある IP アドレスをブロックできます。.
スキャン結果の解釈とセキュリティ問題の修正
Wordfenceスキャンが完了すると、重大度別に整理された問題の詳細なリストが表示されます。スキャン結果の解釈と対処方法は次のとおりです。
- 重大な問題:これらは直ちに対処が必要です。通常、アクティブなマルウェア、バックドア、またはコアファイルの変更を示します。
- 警告:これらは、古いプラグインやテーマ、疑わしいファイルの変更など、注意が必要な潜在的なセキュリティ上の懸念事項を警告します。
- 情報結果:サーバーの構成または設定に関する優先度の低い通知です。
それぞれの問題に対して、Wordfence は特定のオプションを提供します。
- ファイルの修復: Wordfence は、感染したファイルを公式 WordPress リポジトリのクリーンなバージョンに置き換えます。
- ファイルの削除:アップロード フォルダー内のPHP ファイルなど、存在してはならないファイルを削除します
- 詳細を表示:アクションを実行する前に、フラグが付けられたコードを調べます。
ファイルを修復または削除する前に、必ずWordPressサイトをバックアップしてください。これにより、クリーンアッププロセス中に予期せぬ変更が発生した場合でも保護されます。.
エンタープライズ向けスケーラブルなマルウェアスキャンを実現する Wordfence CLI
多数の WordPress サイトを管理する大規模な操作や、ブラウザ インターフェースのないサーバー上で WordPress を実行する場合、Wordfence CLI は強力なツールです。.
Wordfence CLIは、メインのWordfenceプラグインと同じマルウェアシグネチャを使用するオープンソースのコマンドラインマルウェアスキャナーです。複数のサイトを同時にスケーラブルにマルウェアスキャンできるように設計されています。.
Wordfence CLI の主な利点:
- 速度:ブラウザベースのスキャナーよりも大幅に高速に、大規模なWordPress インストールを
- サーバー リソース: WordPress に依存せずに効率的に実行され、 Web ホスティング環境の負荷が軽減されます。
- 自動化: CI/CD パイプラインと自動化されたセキュリティ ワークフローに統合します。
- エンタープライズでの使用: WordPress 代理店、Web ホスティング プロバイダー、複数のサイトを管理するセキュリティ チームに最適です。
GitHubで入手でき、コマンドライン経由で Linux サーバー上で実行されます。
Wordfence Centralによる高度なセキュリティ管理
複数のWordPressウェブサイトのセキュリティを個別に管理するのは時間がかかります。Wordfence Centralは、すべてのサイトを単一のダッシュボードで監視することで、この問題を解決します。.
Wordfence Centralで複数のWordPressサイトを管理する
central.wordfence.comの 1 つの中央管理インターフェースに接続する無料のプラットフォームです。
Wordfence Central ダッシュボードから、次のことができます。
- セキュリティ ステータスを一目で確認できます。
- 各サイトにログインしなくても、アクティブなアラートとセキュリティ通知を確認できます
- スキャンをリモートで実行し、1 つの場所からスキャン結果を確認します。
- サイトのネットワーク全体のログイン試行とライブ トラフィックを監視します
- Wordfence が接続されたサイトで脅威を検出すると、電子メールアラートを受信します
Wordfence Centralは、無料版を含むすべてのWordfenceユーザーに無料でご利用いただけます。プレミアムライセンスをお持ちの方は、追加機能と新しいツールへの優先アクセスをご利用いただけます。.
続きを読む:機関が見逃しがちなWordPressサイトのセキュリティリスク
セキュリティのためのWordfence設定テンプレートの作成
Wordfence Central の最も便利な機能の 1 つは、セキュリティ構成テンプレートを作成する機能です。.
テンプレートとは、Wordfenceの設定をまとめて保存したもので、複数のサイトに一括で適用できます。WordPressサイトごとに手動で設定する代わりに、テンプレートを1つ作成し、ネットワーク全体に適用します。.
これは特に次の場合に役立ちます:
- クライアントのセキュリティを管理する代理店
- 開発者は、一貫したセキュリティ設定を必要とする新しい WordPress サイトを展開しています。
- すべての Web プロパティにわたって標準化されたプラグイン設定を必要とする企業
テンプレートを作成するには、Wordfence Centralを開き、「テンプレート」セクションに移動して、お好みのファイアウォールオプション、スキャンオプション、ログインセキュリティ設定、アラート設定を定義します。テンプレートを保存し、サイトに割り当てます。.
これにより、大幅な時間の節約となり、ネットワーク内のすべての WordPress ウェブサイトが同じレベルの保護を受けることが保証されます。.
Wordfenceセキュリティ監査ログによるアクティビティの監視
Wordfenceセキュリティ監査ログは、WordPressサイト上のすべての重要なアクティビティを記録します。これには、設定の変更、プラグインの有効化、ユーザーログイン、ファイルの編集などが含まれます。.
監査ログは次の場合に不可欠です。
- 侵害されたアカウントまたは悪意のあるプラグインによって行われた不正な変更を検出します
- アクティビティ ログを必要とするセキュリティ標準への準拠
- 何がいつ変更されたかを確認して問題をトラブルシューティングします
- セキュリティインシデント発生後に何が起こったのかを理解するためのフォレンジック調査
監査ログには、Wordfence Central または各サイトの Wordfence プラグイン設定からアクセスできます。ログは検索とフィルタリングが可能で、特定のイベントを見つけたり、特定のユーザーのアクションを追跡したりすることが容易です。.
プレミアムサポートと実践的なWordPressセキュリティサービス
ソフトウェア保護以上のものを必要とする企業向けに、Wordfence は WordPress セキュリティ専門家のチームによる実践的なセキュリティ サービスを提供しています。.
WordfenceプレミアムサポートとリアルタイムIPブロックリスト
Wordfence Premiumでは、Wordfenceサポートチームに直接アクセスできます。プレミアムサポートをご利用のお客様は、セキュリティの問題、設定に関する質問、スキャン結果などについて、より迅速な対応と直接的なサポートを受けることができます。.
リアルタイムIPブロックリストにもアクセスできます。このリストは、Wordfenceネットワーク全体で収集された脅威データに基づいて継続的に更新されます。世界中のWordPressサイトを積極的に攻撃しているIPアドレスを、ログインページやファイアウォールに到達する前に自動的にブロックします。
この機能だけで、WordPress ウェブサイトに毎日流入する悪意のあるトラフィックの量を大幅に削減できます。.
Wordfence Care: 専任のセキュリティアナリストと監視
Wordfence Careは、専任のセキュリティアナリストと連携することで、ソフトウェアの枠にとらわれないサービスを提供します。これは、すべてを自社で管理するのではなく、専門家による監視を求める企業向けに設計された実践的なサービスです。.
Wordfence Care では、専任のアナリストが次のことを行います。
- 特定のサーバー構成とサイト設定に合わせて Wordfence を正しくインストールして構成します
- サイトのセキュリティ上の脅威を監視し、ユーザーに代わってアラートに対応します。
- 四半期ごとにセキュリティ レビューを実行して新しい脆弱性を特定し、セキュリティ設定を強化します。
- サイトが感染した場合にはマルウェアの除去を提供します
Wordfence Care は、社内にセキュリティの専門知識が不足しているものの、高いレベルの保護と安心感を必要とする企業オーナーやサイト運営者に最適です。.
Wordfenceの対応:24時間365日のインシデント対応と1時間以内のSLA
これはWordfenceの最も高度なセキュリティサービスです。トラフィック量が多く、収益性の高いWordPressウェブサイト向けに設計されており、ダウンタイムやセキュリティ侵害がビジネスに深刻な影響を及ぼす可能性があります。
Wordfence Responseの主な機能:
- 24時間365日のインシデント対応: Wordfence チームは年中無休で24時間対応しています。
- 1 時間の SLA: Wordfence は、セキュリティ インシデントに 1 時間以内に対応することを保証します。
- 実践的な修復:チームが積極的に感染を除去し、バックドアを削除し、サイトを復元します。
- インシデント後のレビュー:問題を解決した後、チームは発生した事象とその再発防止策に関する詳細なレポートを提供します。
電子商取引サイト、メンバーシップ プラットフォーム、その他のビジネス クリティカルな WordPress アプリケーションの場合、Wordfence Response は、応答時間を保証したエンタープライズ レベルのセキュリティを提供します。.
階層化セキュリティ戦略でWordPressを保護する
単体のツールではWordPressサイトを保護できません。Wordfenceは、階層化されたセキュリティ戦略の一部として使用すると最も効果的に機能します。.
Wordfence と一緒に実装する主要なレイヤーは次のとおりです。
- 最新の状態を保つ: WordPress、プラグイン、テーマは常に最新バージョンにしてください。古いソフトウェアはWordPress感染の最大の原因です。
- 安全なウェブホスティングを選びましょう:ホスティング環境はセキュリティの基盤です。サーバーレベルのファイアウォールとマルウェアスキャン機能を備えた信頼できるホスティング会社を選びましょう。
- 定期的にバックアップする:自動バックアップをオフサイトに保存しておきましょう。クリーンなバックアップファイルは、攻撃後の復旧に最適な選択肢です。
- ユーザーアクセスの制限:ユーザーに必要な権限のみを付与します。管理者アカウントの数を必要最小限に減らします。
- HTTPS を使用する:サーバーと訪問者のブラウザ間で転送されるデータを保護するために、サイトで SSL/TLS 暗号化を使用していることを確認します。
Wordfenceは、ファイアウォール、マルウェアスキャナー、ブルートフォース攻撃対策、そして脅威インテリジェンスレイヤーを管理します。これらの追加対策を組み合わせることで、WordPressウェブサイトに強力な多層防御を構築できます。
結論: なぜ Wordfence が WordPress セキュリティでリードしているのか?
Wordfence Securityは、現在入手可能なWordPressセキュリティプラグインの中で最も包括的なプラグインです。強力なウェブアプリケーションファイアウォール、ディープマルウェアスキャナー、リアルタイムの脅威インテリジェンス、そして実践的なセキュリティサービスを1つの緊密に統合されたプラットフォームに統合しています。.
Wordfence を初めて設定する初心者でも、数十の WordPress サイトのセキュリティを管理する代理店でも、Wordfence は WordPress ウェブサイトのあらゆる層を保護するツールを提供します。.
無料版は、個人サイトや中小企業のサイト向けに堅牢な保護を提供します。Wordfenceのプレミアム、ケア、レスポンスの各プランは、より高いリスクと厳しいセキュリティニーズを持つ企業向けに、段階的に強化された保護を提供します。.
このチュートリアルの手順に従って、ファイアウォールを設定し、ログインセキュリティを有効にし、最初のスキャンを実行し、サイトをWordfence Centralに接続してください。これらの手順を今日から実行することで、WordPressサイトのセキュリティが大幅に強化され、その状態を維持できます。.
Wordfenceに関するよくある質問
Wordfence は無料ですか?また、無料版でウェブサイトのセキュリティは十分ですか?
はい、Wordfenceはファイアウォール、マルウェアスキャナー、ログインセキュリティ、アラート機能を備えた無料版を提供しています。ブログや中小企業のサイトに最適です。ただし、ファイアウォールルールとマルウェアシグネチャの適用は30日間遅延されます。新たな脅威に対するリアルタイム保護が必要な場合は、プレミアム版をご検討ください。.
Wordfence ファイアウォールは WordPress サイトをどのように保護しますか?
Wordfenceウェブアプリケーションファイアウォールは、悪意のあるトラフィックがサイトに到達する前にブロックします。ブルートフォース攻撃、エクスプロイト、疑わしいIPアドレスへのアクセスを阻止します。プレミアムユーザーは、ファイアウォールルールのリアルタイム更新と、最新のIPブロックリストへのアクセスをご利用いただけます。.
Wordfence マルウェアスキャンはどのくらいの頻度で実行する必要がありますか?
少なくとも週に1回はスキャンを実行してください。無料版では3日ごとにスキャンがスケジュールされます。有料プランでは、無制限にスキャンをスケジュールできます。また、疑わしいアクティビティが疑われる場合は、いつでも手動スキャンを実行できます。.
Wordfence は WordPress ウェブサイトの速度を低下させますか?
Wordfenceはパフォーマンスに最適化されています。適切なファイアウォール設定と制御されたライブトラフィックログにより、サーバーの負荷を軽減できます。設定が適切に最適化されていれば、ほとんどのウェブサイトでは目立った速度低下は発生しません。.
Wordfence Premium、Care、Response の違いは何ですか?
Premiumでは、リアルタイムのアップデートと優先サポートをご利用いただけます。Careには、インストール、最適化、監視、インシデント対応が含まれます。Responseでは、ミッションクリティカルなサイト向けに、24時間365日体制のインシデントサポートを1時間以内の応答時間で提供します。.
