Wordfence Securityの無料ライセンスを取得する
インストールが終わり有効化したら
無料ライセンスを取得するためにGET YOUR WORDFENCE LISENSEをクリックします。
’m OK waiting 30 days for protection from new threats.
青ボタンをクリックすると有料ライセンスの購入画面になります。必要な方は購入してください。
以後必要事項
メール
レポートの受け取り
利用規約
など入力しRegisterをクリックします。
「Get Wordfence Free」の項目では、以下のように設定します。
「You’re almost done!」と表示されたら、登録したメールアドレスを確認します。
Wordfence Securityからメールが届いたら、本文のInstall My License Automatically
をクリックします。
リンク先でライセンスインストールをクリックする。(ライセンスキーも一応メモしておきます。)
その後、WordPressの管理画面へ移動しライセンスインストールをクリックして
無償ライセンスインストール済みと表示されたら、無料ライセンスの取得は完了です。
Wordfence Securityの設定方法
Wordfence Securityを使いこなす前に、初期設定を済ませましょう。
Wordfence Securityの設定は
Wordfence Securityの自動更新設定
ファイアウォールの初期設定
Wordfence Securityのメール通知設定
Wordfence Securityの自動更新設定
Wordfence Securityには自動更新機能があるのでダッシュボードからWordfence→すべてのオプションで
一般的なオプションを展開し自動更新の部分にチェックを入れれば自動更新設定は完了です。
Wordfenceファイアウォールの初期設定
WordfenceファイアウォールをLearning Modeにする
ダッシュボードからWordfence→ダッシュボードをクリック
上図のようにファイアウォールを管理をクリックすると、ファイアウォール管理画面に進みます。
学習することで「安全にサイトを保護する方法や、読者さんと悪質なクローラーを見分ける方法」を理解します。
ファイアウォールが学習する前にサイト情報をダウンロードする
万が一ファイアウォールが誤って学習した場合、通信を勝手に遮断してしまう可能性があるので事前にバックアップデータを取得しておけば、万が一セキュリティでアクセスできなくなった時でも復旧は可能です。
クリックするとOptimize Wordfence Firewall(ファイアウォールの最適化)という画面が表示されます。
ファイアウォールが事前に学習するサーバーを指定してくれています。
.HTACCESSをダウンロードをクリックし保存。次に .USER.INをダウンロードをクリックして保存。
ダウンロードしたファイルは大切に保管しておいてください。
Learning Mode後にWordfence Securityが異常を起こした際、レンタルサーバー内のファイルをダウンロードしたデータに書き換えればOKです。
ダウンロードが完了したら次へをクリックしてください。
Learning Modeの進捗は【Basic Firewall Options】の円グラフで確認できます。
Wordfence Securityのメール通知設定
ブログのPV数が増えるとハッカーによる攻撃が増えるため、Wordfence Securityから送られてくる警告メールが増えてしまいます。
そこでメール設定画面でWordfence Securityからのメール通知量を最小限に設定します。
Wordfence→すべてのオプション】⇒【Email Alert Preferences】へとページを進めます。
以下を参考に【Email Alert Preferences】の項目にチェックを入れてください。
Wordfence Securityの使い方
Wordfence Securityには、
WordPressログイン画面からの不正ログインを防止
コメント欄に貼り付けられるスパムコメントをブロック
スキャン機能でサイト内を点検
の3つセキュリティ機能があります。
Wordfence Securityでブルーフォースアタック対策を実施する
ブルーフォースアタックとは、ハッカーがクローラーを使いログイン画面で手あたり次第にアカウント名やパスワードを入力してログインを試みることです。
サイトにセキュリティ対策が実施されておらずパスワードも短いと、簡単にログインされてしまいます。
Wordfence Securityでのブルーフォースアタック対策を解説します。
Wordfence→すべてのオプションの画面に進み、下にスクロールしていくと【Brute Force Protection】という項目があるのでクリックします。
ここではクローラーがブルーフォースアタックしてきた時に、ログイン画面からロックアウト(締め出す)させる条件を設定します。
2)Wordfence SecurityでreCAPTCHAを設置する
reCAPTCHAとは、お問い合わせページやログイン画面から侵入しようとする悪質なクローラーからサイトを守る無料サービスです。
以下のリンクに移動して案内に従い、reCAPTCHA V3の設定に必要なサイトキーとシークレットキーを入手します。
取得できたら
ダッシュボードに戻り【Wordfenc→ロングセキュリティ→Setting】とページを進めます。
上図の項目を表示できたら一番上のreCAPTCHAを有効にするにチェックを入れる
reCAPTCHA v3 Site Key:取得したサイトキーを入力
reCAPTCHA v3 Secret:取得したシークレットキーを入力
- reCAPTCHA 人間/簿っと間値スコア:0.5(おそらく人間)を選択
設定が完了したら、ページ上部にスクロールして保存をクリックします。
実際にサイト管理ページからログアウトして再度ログインページを表示させると
サイト管理ページからログアウトして、ログインページを表示させます。
上図のように右下に
reCAPTCHAマークが反映されていたら、reCAPTCHA V3の設定は成功です。
3)Wordfence Securityで2段階認証機能を設置する
2段階認証機能とは、Wordpressにログインさせるために2回セキュリティコードを入力させる機能です。
ユーザー名パスワードを入力後、この画面が表示されここに
自分の携帯電話に表示された2FAコードを入力します。
このコードは、30秒ごとに変更されます。
2段階機能を設置すると、完全にWordPressに不正ログインできなくなります。
なぜなら1段階目の認証機能を突破できても、2段階目の認証機能を30秒で突破するのは不可能だからです。
Wordfence Securityを使い、2段階認証機能を設置する方法
STEP
Wordfence→ログインセキュリティ→2要素認証にはいります。
上図の画面が表示されたら【Enter Code from Authenticator App】の項目にある【DOWNLOAD】をクリックします。
携帯を紛失してログインできなくなった時に使用しますので使うスマホ以外の場所に大切に保管しておいて下さい。
スマホにGoogle Authenticatorアプリをダウンロードします。
GoogleストアとAppleストアの両方からダウンロードできます。
Google Authenticatorの【開始】をクリックし、画面が切り替わったら【QRコードをスキャン】を選択します。
STEP
Google Authenticatorがカメラモードに切り替わるので、上図のようにコードをスキャンします。
Google Authenticatorに2FAコードが表示されます。
【Enter Code from Authenticator App】の空欄に2FAコードを入力し、【ACTIVE】をクリックすれば2段階認証機能の設置は完了です。
2段階認証機能が稼働するか確認する方法
WordPressのダッシュボードからいったんログアウトし、ユーザー名とパスワードを入力しログインします。
次の画面に切り替わったら成功です。
スマホのGoogle Authenticatorに表示された2FAコードを確認して入力します
30秒ごとにコードが変化し続けるので、2段階機能は安心して利用できます。
2段階認証できずWordPressにログインできない場合の対処方法
リカバリーコードは12桁の英数字で、全部で5回使用できます。
ダウンロードしたリカバリーコードを1行分貼り付ければ、ログインできます。
5回も携帯電話をなくすことは無いので安心だよ。リカバリーコードはパソコンの中に大事に保管しておくね。
Wordfence Securityでスパムコメントをブロックする
スパムコメントとは、記事内容とは関係ない広告リンクのついたコメントのことです。
Wordfence→ツール→ライブトラフィックに進め
画面を下にスクロールしていくと、ログインしようとしたユーザーとクローラーが一覧で表示されます。
上図のように「アドレス/wp-comments-post.php」が記載されたクローラーがスパムボットです。
【RUN WHOIS】をクリックし、管理者情報を確認します。
スパムボットの管理者情報が表示されたら、画面一番下のブロックIPをクリックし、スパムボットを配信するネットワークを遮断します。
ブロックしたネットワーク情報の一覧はWordfence→ファイアウォール→ブロッキング
これがいわゆるブラックリストですね。
スパムメール対策にはWordfence Securityに加えて、専用のスパムメール対策プラグインの導入が有効です。
Wordfence Securityのスキャン機能でサイト内を点検する
Wordfence Securityのスキャン機能を使うことで、WordPress内に悪質なファイルやURLが埋め込まれていないか点検することができます。
Wordfence→スキャンと進めます。
上図の画面が表示されたら
新しいスキャンを開始するをクリックします。
終わると
スキャン完了後、すべての項目にチェックマークがついていたらサイトに問題はありません。
チェック項目にアラートマークは表示されたら、サイトに問題があります。
Wordfence Securityが危険なファイルを特定してくれます。
悪質なファイルがあった場合は【DELETE FILE】をクリックすると削除できます。
スキャンの精度のレベルを変更することもできます。スキャンの管理をクリックすると
Wordfence Securityはサイトを自動でスキャンしてくれる
実は【START NEW SCAN】を押さなくても、自動で定期的にサイト内をスキャンしてくれます。
無料プランだとスキャンのスケジュールは、Wordfence Securityまかせになります。
Wordfence Securityを削除するときは
削除するときはテーブルが残っていたりするので削除する前に
WordPressのダッシュボードからWordfence→すべてのオプション→Wordfence の一般的なオプションを展開すると下の方に
があるのでチェックを入れて保存しWordfenceを削除する
これでWordfence Securityのデータを残さずに、プラグインを削除できます。