SWELL開発者がおすすめセキュリティ系プラグインに挙げている「Wordfence Security」を導入したいんだけど、設定方法が分からないので教えてほしいです。
こういった悩みにお答えします。
本記事で解決できること
- Wordfenceの「無償ライセンス」のインストール方法
- Wordfenceの自動更新を有効化する方法
- WORDFENCEファイアウォールを最適化する方法
- Login Security(2段階認証、reCAPTCHA)の設定方法
- メール通知の設定方法
- ブルートフォース保護の設定方法
是非、最後までご覧ください。
News
以下にブロックエディタで使えるSWELL専用機能の記事をまとめていますので、良ければご覧ください。
「Wordfence Security」の設定方法【SWELL】
「Wordfence Security」をインストールします。
管理画面メニューから、「プラグイン」>「新規追加」を選択します。
「プラグインの検索…」にプラグイン名を入力します。
対象プラグインが検索でヒット後、「今すぐインストール」>「有効化」します。
Wordfenceの「無償ライセンス」をインストールします。
「Wordfence」を有効化した後、下記の画面が表示されます。
「GET YOUR WORDFENCE LICENSE」をクリックします。
「Get a Free License」をクリックします。
「Are you sure you want delayed protection?」と表示されます。
「I’m OK waiting 30 days for protection from new threats」をクリックします。
「Get Wordfence Free」と表示されます。
- Email:メールアドレスを入力します。
- Would you like WordPress security and vulnerability alerts sent to you via email:「Yes」を選択します。
- I have read and agree to the Wordfence License Terms and Conditions, the Services Subscription Agreement, and Terms of Service, and have read and acknowledge the Wordfence Privacy Policy.:「チェック」を付けます。
- 「Register」をクリックします。
補足(上記画面でNoを選択した方向け)
「Yes」へと変更する方法を紹介します。
- 「メールアドレス」を入力します。
- 「チェック」を付けて利用規約とプライバシーポリシーに同意します。
- 「サインアップ」をクリックします。
これで、最新情報を受け取れるようになりました。 ※日本語に翻訳しています。
では、続きの解説を行います。
「Your Wordfence License」というメールが届きます。
「Install My License Automatically」をクリックします。
また、下記画像のメールも届きます。 ※日本語に翻訳しています。
「Install Wordfence」が表示されます。
「ライセンスインストール」をクリックします。
「無償ライセンスインスール済み」と表示されます。
「ダッシュボードへ」をクリックします。
Wordfenceの自動更新を有効化します。
ダッシュボードへ移動しています。
Wordfenceを自動的に最新の状態に保つために「はい、自動更新を有効化します。」をクリックします。
補足(「今はしない」を選択した方向け)
「自動更新を有効化する方法」を紹介します。
「新しいバージョンがリリースされたら、Wordfenceを自動的に更新しますか?」にチェックを入れ、「変更を保存」をクリックすると有効化されます。
また、WordPressのバーション更新を忘れて古いバージョンのまま運営を続けていると、ハッキングや攻撃を受ける可能性が高まりますので、被害を受ける確率を下げるためにも「WordPressのバージョンを隠す」にもチェックを入れておきます。
とはいえ、ハッキングや攻撃の被害を限りなくゼロに近づけるためにもWordPressのバージョン更新は忘れずに常に最新の状態にしておくようにしましょう!
WORDFENCEファイアウォールを最適化します。
ファイアウォールについて雑に解説
サイバー攻撃者の外部ネットワークと個人の内部ネットワークの間に立ち不正アクセスやサイバー攻撃を防ぐ仕組みのことです。
管理画面メニューから、「Wordfence」>「ダッシュボード」を選択します。
Wordfenceダッシュボードに移動しました。
「ファイアウォールを管理」をクリックします。
ファイアウォールのオプションに移動しました。
「WORDFENCEファイアウォールの最適化」をクリックします。
ファイルのバックアップをダウンロードします。
「.HTAACCESS」と「.USER.INI」をダウンロード後、「次へ」をクリックします。
補足(ダウンロードした「.HTACCESS」と「.USER.INI」の使い道について)
学習モード終了後にWordfence Securityが異常を起こした際にレンタルサーバー内のファイルをダウンロードしたファイルに置換すればOKです。
※今回は、エックスサーバーを使用していますが、FTPソフトでも同じことができるため記事を貼っておきます。
では、紹介します。
この中にある、「.htaccess」と「.user.ini」を置換します。
では、続きの解説を行います。
インストール成功と表示されます。
「閉じる」をクリックします。
ファイアウォールの最適化前後の変化です。
ファイアウォール
赤枠内のパーセンテージが変化しています。
WORDFENCEファイアウォール最適化【前】
WORDFENCEファイアウォール最適化【後】
Webアプリケーションファイアウォール
赤枠内のパーセンテージが変化しています。
WORDFENCEファイアウォール最適化【前】
WORDFENCEファイアウォール最適化【後】
「Login Security」の設定をします。
管理画面メニューから、「Wordfence」>「Login Security」を選択します。
「2段階認証」の設定を行います。
QRコードをスマホで読み込んでいきます。
スマホでの読み込み方法
- アプリ名:Google Authenticator
この数字は30秒ごとに生成され直します。
リカバリーコードをダウンロードします。
QRコードを読み込んだ後に生成された「Wordfence 2FA Code」を入力します。
コードを入力後に「ACTIVATE」をクリックします。
「ACTIVATE」をクリック後に下記の画面が表示されます。
これで2段階認証を設定できました。
補足(リカバリーコードの使い道)
主にスマホが壊れた(紛失した)などでWordfence 2FA Codeを生成できなくなった際に使用することになるかと思います。
では紹介します。
同じコードは使用不可で5回までリカバリーコードを使用できます。
これで、WordPressの管理画面にログインすることができます。
「reCAPTCHA」の設定を行います。
「reCAPTCHA」の設定には、サイトキーとシークレットキーが必要になります。
取得していない方は下記の記事で取得方法を解説していますのでご覧ください。
タブをSettingsへと切り替えます。
下へとスクロールします。
「reCAPTCHA」の項目があります。
- Enable reCAPTCHA on the login and user registration pages:チェックを付けます。
- reCAPTCHA v3 Site Key:サイトキーをコピペします。
- reCAPTCHA v3 Secret:シークレットキーをコピペします。
- reCAPTCHA human/bot threshold score:0.5(probably a human)を選択します。
- 「SAVE」をクリックします。
設定した2段階認証とreCAPTCHAを確認していきます。
ワードプレスのログイン画面にアクセスすると、reCAPTCHAが表示されています。
必要項目を入力してログインします。
2段階認証の画面が表示されました(下記画像)。
ここで、スマホを開いて「Wordfence 2FA Code」を入力して「Log In」をクリックするこでWordPressの管理画面にログインできます。
すべての設定(通知メールの設定)をします。
管理画面メニューから、「Wordfence」>「すべての設定」を選択します。
「通知メールの設定」を開きます。
下記画像を参考に設定を行います。
すべての設定(ブルートフォース保護の設定)をします。
ブルートフォース攻撃を雑に解説
ブルートフォース攻撃(総当たり攻撃)とは、ハッカーがログイン画面で◯回通りの組み合わせのIDやパスワードの入力をコンピューターに実行させる(自動化)ことでログインを試みることです。
この攻撃を防ぐための設定を行っていきます。
管理画面メニューから、「Wordfence」>「すべての設定」を選択します。
「ブルートフォース保護」を開きます。
- 何回ログインに失敗するとロックアウトされるか:ログインの失敗回数になります。
- 何回パスワードを忘れたらロックアウトするか:パスワードを変更した回数になります。
- どの期間の失敗をカウントするか:ログインの失敗回数をリセットする期間のことです。
- ユーザーをロックアウトする期間:ログイン画面からロックアウトさせる期間のことです。
- ※上記の4項目の設定は好みによると思います。
(参考までに)下記が僕の設定になります。
補足(下記画像のブルートフォース保護にある赤枠の項目について)
赤枠の項目は、ユーザーIDの表示・非表示に影響します。
「ユーザーID」が表示されず下記の画面が表示されます。
News
以下にブロックエディタで使えるSWELL専用機能の記事をまとめていますので、良ければご覧ください。
今回は以上です。