- インストールしたみたけれど英語ばっかりでどこをどう設定したらいいのかわからない
- プラグインを有効化するだけでセキュリティ対策ができるって聞いたけれど本当なのかな?
- ワードプレスを安心して運営したいから初心者にも簡単で、わかりやすい設定が知りたい
くろすけいろんなサイトで「Wordfence Security」は優秀なセキュリティプラグインって紹介されてるけど・・・英語ばっかり・項目が多すぎ・そもそもセキュリティって難しそうでとっつきにくくないですか?
だから、「めんどくさい」を理由にセキュリティ系プラグインを導入していない人も多いと思います。でも、ワードプレスでサイトを運営するなら最低限のセキュリティ対策は必要です。!
この記事で解決できること!
ワードプレス初心者でもファイアウォールの設定ができる
「Wordfence Security」の設定画面はすべてが英語表記になっているので画像をたくさん使って、日本語表記に訳しながら解説していくので最後まで諦めずに頑張りましょう!
- WordPress バージョン: 5.5
- WP Revisions Control バージョン: 1.3
- WordPressテーマ :「SWELL」バージョン2.2.1.3(子テーマを使用)
「Wordfence Security」のインストール手順
くろすけまず「Wordfence Security」をインストールしてメールアドレスを登録するところまで進めていきましょう。
ワードプレスのダッシュボードから【プラグイン】➡【新規追加】をクリック。
「プラグインを追加」が開いたらキーワード欄に「Wordfence Security」と入力すると自動で検索結果が表示されます。
「有効化」が完了すると下記のような画像とともに英文で「You have successfully installed Wordefense….. 」と表示されます。
くろすけ「Wordefenseのインストールが成功しました。もし、あなたのサイトのセキュリティに警告があれば、どこに連絡すればいいのか教えてくれませんか?」と記載されています。
ということで一番上のボックスにメールアドレスを入力しましょう。
- メールアドレスを入力
- 「セキュリティに関するニュースを受け取りますか?」と聞かれているので「YES」または「NO」を選択
- 「Wordefenseの規約とプライバシーポリシーに同意する」にチェック
メールアドレスの入力と必要事項を選択したら【CONTINUE】を選択します。
次はプレミアムキー(有料版)を求める画面が表示されるので右下の「No Thanks」を選択して断っちゃいましょう。
ここまでの設定が完了すると自動的にプラグインの一覧に戻ります。
左のメニューに「Wordfense」が追加されているので設定をおこなうために【Wordfense】>【Dashboard】をクリックしましょう。
Wordfense Security の設定方法
「Wordfense」の管理画面(=Dashboard)に移動すると以下のような画面が表示されます。これは「Wordfense」の簡単なチュートリアル。特に読む必要はないので【NEXT】をクリックして飛ばしましょう。
チュートリアルは以下の順に表示されるので【NEXT】➡【NEXT】➡【GOT IT】をクリックして読み飛ばしてOK。
- 「This is your Dashboard」
- 「Easily Monitor Your Wordfence Protection」
- 「Global Wordfence Options」
くろすけチュートリアルを読み飛ばしたら「ファイアウォールの最適化」をおこないます。設定はものすごく簡単なので画像を見ながら作業を進めていけば大丈夫♪
ファイアーウォールを最適化する
もともとファイアウォールは火災が起こったときに被害を最小限に食い止めるための「防火壁」のこと。そこから意味が転じてワードプレスへの不正な(許可されていない)アクセスを制限する機能です。Wordfenseでは「ファイアウォールの最適化」をおこなっておけば最低限のセキュリティが保証されるので最初に済ませておきましょう!
「CLICK HERE TO CONFIGURE」をクリック。
「CLICK HERE TO CONFIGURE」をクリックするとOptimize Wordfence Firewallと記載されたポップアップが表示されます。
【DOWNLOAD .HTACCESS】をクリックして「.htaccess」ファイルをダウンロードします。
ファイル名は「htaccess_Backup_fo_あなたのサイトドメイン」で保存されているので削除してしまわないように注意です!
Wordfenseがファイアウォールを最適化するためにあなたのサイトの「.htaccess」ファイルを書き換えます。なにかエラーが起こったときなどに以前の状態に戻すために「.htaccess」ファイルのバックアップのが必要になります。
「.htaccess」ファイルをダウンロードすると【CONTINUE】のボタンが濃くなるのでクリック。
ブルートフォースの設定をする
次はブルートフォースの設定を変更します。
ワードプレスの管理画面にログインするためには「ユーザー名」と「パスワード」の2つを入力しますよね?ブルートフォースはプログラムによって何回も違うパスワードを入力してログインを試みようとする攻撃です。
パスワードは長ければ長いほど見破られにくくなりますが入力が面倒ですよね・・・。
ブルートフォースを防ぐためにパスワードを入力できる回数を制限ことで不正なログインを防ぐことができます。
デフォルトの設定よりも、もう少しだけ条件を厳しくしておきましょう。
「All Options」を選び、「Firewall Options」項目の3つ目に「Brute Force Protection」があります。
- Lock out after how many login failures
何回ログインに失敗したら対象のユーザーをブロックするか ➡「10回」に変更 - Lock out after how many forgot password attempts
何回パスワードを忘れたら対象のユーザーをブロックするか ➡「5回」に変更 - Count failures over what time period
ログインの失敗を数える期間を設定する ➡「1時間」に変更 - Amount of time a user is locked out
ブロックしたユーザーが次にアクセスできるまでの時間を設定する ➡ そのまま - immediately lock out invalid usernames
おもに「admin」や「login」といったユーザー名を使用してログインを試みようとするので、あらかじめ登録しておくとアクセスがあった時点でブロックしてくれます
設定を変更したら「SAVE CHANGES」をクリックして保存しましょう。
メール通知を最低限に設定する
「Wordfence」には、なにか異常があったときにメールで知らせてくれる便利な機能がついています。でも、初期設定のままだとちょっとしたことでメールを送信してきます。
メール通知の設定は【All Options】➡【Wordfence Global Options】➡【Email Alert Preferences】で変更しましょう。
以下の画像のとおりにチェックボックスを選択しておけば本当になにかあったときだけメールで通知してくれるので安心です。
- 「Wordfence」が無効化されたら通知する
- ファイアーウォールが無効化されたら通知する
- スキャン結果が次のレベル(Medium)の場合は通知する
- 管理者が新しいデバイスでサインインしたら通知する
- 管理者以外の誰かがサインインしたら通知する
- サイト上で大規模な攻撃を完治したら通知する
最後に「SAVE CHANGES」をクリックして保存しましょう。
まとめ
Wordfense Securityの設定を済ませておけば、あなたのサイトに対する悪意あるアクセスを防ぐことができます。ただ、プラグインの機能に頼るばかりではなく、
- ログインパスワードは少なくとも8桁以上に設定する
- ワードプレス・プラグインのバージョンは更新して常に最新の状態を保っておく
- 何年も更新されていないプラグインは定期的に更新されているものに置き換える
といった自衛策を試みるようにしましょう。
もし、プラグインについての疑問や質問はドシドシ受け付けているので、お気軽にコメントしてくださいね。
コメント