もしあなたがWordPressのスパム被害(ブルートフォースアタック・バックドアウィルスなど)に困っているなら、WordPressのプラグイン「Wordfence Security」が助けになるかもしれません。
「Wordfence Security」は、WordPressサイトのセキュリティを強化するためのプラグインで、世界中でインストールされており、以下のような特徴があります。
- ファイアーフォールを設置してくれる
- マルウェアスキャンを自動で行ってくる
- リアルタイムでトラックを監視してくれる
- 強力なログインセキュリティを設置できる
- 攻撃者のIPアドレスをブロックできる
- 脆弱性を発見して報告してくれる
- アラートやレポートでお知らせ
「Wordfence Security」は無料プランをインストールするだけでも、あなたのブログのブルートフォースや、SQLインジェクション、クロスサイトスクリプティング(XSS)などを予防してくれる超強力なセキュリティプラグインです。
また、ここまでの専門用語が全然分からないぜ!って人でも、とりあえず「Wordfence Security」をインストールしておけば、大体のスパム被害を予防できると考えておけばOKです!
今回は「Wordfence Security」の基本的な使い方や設定方法はもちろん、実際にささみりんが「Wordfence Security」を導入して救われたケースなども紹介するので、ぜひ参考にして下さい。
また、ささみサロンではブログのセキュリティ対策はもちろん、あなたがブログで稼ぐための本物のノウハウを公開中です。今なら無料で参加できるので、あなたも今すぐささみサロンに参加して本物のブログノウハウをゲットして下さいね!
よく分かる目次
Wordfence Securityとは?
Wordfenceとは
スパムから守ってくれる
Wordfence Securityとは、WordPressのセキュリティ系プラグインの中で非常に評価の高いプラグインの一つです。特にWordPressのコアファイルに不正なコードが含まれていないかをチェックする能力が高いことに定評があります。
他にも、ファイアウォールを設置してくれたり、ログインセキュリティの強化や、マルウェアの検知まで行ってくれるので、WordPressに必要なほとんどのセキュリティ対策を行ってくれます。
画像
Wordfence Securityとは
ファイアウォール マルウェアスキャン
ログインセキュリティ ファイルの改ざん検知
セキュリティ対策はほぼこれでOK!
後で話しますが、過去にささみりんもバックドアウィルスやクロスサイトスクリプティング(XSS)などの攻撃被害を受けた時に、Wordfence Securityを導入することで、パタリと被害が止まった経験が何度もあります。
それ以降、WordPressでブログを運営するときは必ず真っ先にWordfence Securityを導入するようにしているくらい、WordPressでのサイト運営には欠かせないセキュリティ系プラグインとなります。
セキュリティと聞くと難しく聞こえるかもしれませんが、実際の導入手順はとても簡単です。あなたの大切なブログを守るためにも、今すぐ導入することをおすすめしますよ!
Wordfence Securityのインストール手順
インストール手順
インストール手順
Wordfence Securityのインストール手順は他のWordPressプラグインと全く同じです。
以下、画像付きでインスール手順をまとめたので、初めてWordPressのプラグインをインストールする方は参考にして下さい。
インストール手順①:「プラグイン」⇒「新規プラグインを追加」を選択
インストール手順②:検索窓に「Wordfence Security」と入力
インストール手順③:「インストール」⇒「有効化」を選択
Wordfence Securityのインストールと有効化が完了すると、自動的にWordfence Securityの設定画面に移動する場合がほとんどです。
そのため、急に別の画面に表示が切り替わっても、焦らず次の項目で解説するWordfenceの基本設定の手順を進めて行って下さい。
Wordfence Securityの基本設定
インストール手順
設定方法を解説!
ここからはWordfenceのインストールが完了したあとの具体的な設定方法について解説します。
恐らく、Wordfence Securityを有効化した直後は自動的にWordfence Securityの初期設定画面に移動するかと思いますが、もし移動しなかった場合はダッシュボードの左下にある「Wordfence」をクリックして基本設定に進めて下さい。
まずはWordfence Securityを有効化した直後に必ず必要になる基本設定の手順を順番に解説します。
その後、追加で設定した方がいいWordfenceの設定がいくつかあるので、それらについては、この後で詳しく解説を行います。
まずは以下の手順に従ってWordfence Securityの基本設定を進めましょう。
- Wordfenceの公式サイトへ移動
- Freeプランを選択
- ライセンスキーを取得&登録
基本設定①:「Wordfenceライセンスを入手」をクリック
多くの場合、Wordfenceを有効化すると自動的にこの画面が表示されます。
もし表示されない場合は、ダッシュボードの左下にある「Wordfence」の項目をクリックするか、画面右上に表示されている「レジュメの設置」をクリックすればいつでもWordfenceの設定を進めることができます。
Wordfenceの基本設定が最後まで完了すると、上のような「Wordfenceのインストールが不完全」という表示が消えます。
そのため、「Wordfenceのインストールが不完全」と表示されている場合は、画面の青枠で囲っている「レジュメの設置」をクリックして、Wordfence Securityの基本設定に進んで下さい。
基本設定②:Wordfenceの「Free」プランを選択
2024年7月時点ですが、Wordfence Securityには全部で4つのプランが存在します。ただ、現時点ではFreeプランでも十分にセキュリティ効果を感じることができるかと思います。
実際、ささみりんもFreeだけで各サイトのセキュリティ対策をしていますが、今のところそこまで大きな問題は発生していません。
一応、簡単にWordfenceの無料版と有料版の比較をまとめてみました。
| 無料版 |
|
|---|---|
| 有料版 |
|
無料版と有料版の最大の違いは「①最新のセキュリティルールをリアルタイムで反映されるか」と「②Wordfenceからのサポートを受けられるか」の2点です。
また有料プランをレベルアップさせると、マルウェアを見つけた時点で自動で削除してくれるなどのサポートが強化されていきます。
ただ、30日遅れではあるものの基本的なセキュリティ対策については有料版と大きな差はないので、個人ブログレベルなら無料版でも十分かなと個人的には思っています。
Freeプランを選択すると上記のようなポップアップが表示されますが、30日遅れでのルール更新に問題がなければ、下のリンクを選択すればOKです。
この辺は各自の判断でお願いします。
基本設定③:メールアドレス等を入力して「登録」を選択
無料プランを選択すると、メールアドレス等の表示がされます。ここで入力したアドレスにWordfenceからのセキュリティ通知が届くようになるので、何か最適なアドレスを登録しましょう。
またセキュリティ通知が不要な場合は「いいえ」を選択するのも一つの方法です。
最後に同意文にチェックを入れて「登録」をクリックすると、登録したメールアドレスにWordfenceからのライセンスキーが届きます。
ヤフーメールに届くとライセンスキーが飛び出してしまっていますが、気にせずライセンスキーを正しくコピーします。
このライセンスキーを保管しておくと、複数サイトを運営するときにも色々と便利かなと思います。(ライセンス違反になるので詳しくは言えませぬが…)
もしライセンスキーの入力が面倒臭いときは上の「ライセンスを自動的にインストールする」をクリックしてもOKです。
どちらの方法でもWordfenceは正しく動くのでどちらか好きな方を選びましょう。
基本設定④:ライセンスキーをWordPressに登録
Wordfenceのバージョンにもよって異なりますが、もし「ライセンスを自動的にインストールする」を選択すると、WordPressの画面に戻ってくるかと思います。
あとは入力した内容に間違いないかを確認して「ライセンスインストール」をクリックすればインストール作業は完了です。
(備考)手動でインストールを選択した場合
以下、参考までにライセンスキーを手動でインストールする手順について解説します。
どちらの方法でもWordfenceはインストールできるので、どちらか好きな方法を採用して下さい。
手動手順①:「既存のライセンスをインストール」を選択
手動手順②:必要事項を入力して「ライセンスインストール」を選択
手動手順③:必要事項を入力して「ライセンスインストール」を選択
手動でライセンスキーのインストールが完了した場合も、インストールに成功すれば上記の画像が表示されます。(画像の詳細は各バージョンによって異なるので注意)
基本的にはここまでのインストール手順によって、必要最低限のセキュリティ対策(ファイアウォール・マルウェア攻撃の防止)などが有効になっています。
ただ、いくつか合わせてセットしておくと便利なオプションもあるので、以下、代表的なカスタマイズ設定の手順を解説します。
Wordfence Securityでおすすめの設定方法
おすすめの設定
おすすめな設定
ここまで解説した基本設定でもWordfence Securityは十分効果を発揮してくれます。
ただ、せっかくWordfence Securityをインストールしたのなら、オプションで設定されている機能もフルに活用して、よりWordPressを安全に運用してみましょう。
特に以下の設定は、一度設定を行えばより強力にスパム攻撃から守ってくれるのでおすすめです。
- 自動更新を有効にする
- 2要素認証(2FA)を設定する
- reCAPTCHA v3を設定する
- 指定IPアドレスをブロック
- 指定リファラーをブロック
設定方法①:Wordfenceの自動更新を有効にする
設定方法①
Wordfence Securityは頻繁にプラグインが更新されるので、手動で更新するよりもWordPressの自動更新機能に任せた方が手っ取り早いです。
またWordfenceの場合、基本設定が完了した直後から「自動更新を有効にしますか?」という表示がされるので、「はい」を選択しておけば間違いありません。
2024年7月時点での話になりますが、今のところWordfence Securityを自動更新にしていて致命的なトラブルが発生したことはありません。
なので、Wordfence Securityに関しては、下手に手動更新で管理するよりも自動更新でお任せしてしまいましょう。
設定方法②:2要素認証(2FA)を設定する
設定方法②
2要素認証(2FA)とは、アカウントのセキュリティを強化する方法で最近よく利用されている認証方法のひとつです。(ログインIDとPASSを入力すると、登録アドレスにワンタイムパスワードが届くアレです。)
Wordfence Securityでも2要素認証を設定できるので、これを設定すればほぼ不正ログインをシャットアウトすることができます。
ただし、Wordfenceの2要素認証はGoogleが提供する「Google Authenticator(Android版 / iOS版)」を利用するタイプになるので、設定が若干面倒臭いです。
けれど、不正ログインをほぼ100%駆逐できるので、もしブログを絶対に守りたいと思うならこのログインセキュリティを導入しましょう。
以下、「Wordfence Security」と「Google Authenticator」を使った2要素認証の設定手順です。
このログインセキュリティだと、WordPress内にあるQRコードを読み取れる人しかWordPressにログインできなくなるため、不正ログインをほぼ駆逐できます。
ただ、WordPressに気軽にログインしたいという利便性はかなり落ちます。そのため、もし利便性を優先させたい場合は、Wordfenceの「ログインセキュリティ」にある「設定」タブで、2要素認証が実行される頻度を調整も可能です。
ただ、このセキュリティ方法を導入すると、外出先でWordPressにログインしようとした時に、スマホの電源が落ちていると悲惨な目にあいます。。
また、スマホを紛失した時にも、一時的にWordPressにログインできなくなってしまうので、そういう意味でもささみりんはあまり採用していません。
そこでおすすめしたいのが次のreCAPTCHA v3という方法です。
設定方法③:reCAPTCHA v3を設定する
設定方法③
reCAPTCHAとは、Googleが提供するCAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)の一種です。
簡単に言えば、ウェブサイトに対し人間かコンピューターかの区別をする技術だと考えると分かりやすいです。
2要素認証ほどではありませんが、reCAPTCHA v3もボットによる不正アクセスやスパム投稿に効果があるだけでなく、こちらに何か特別な操作が要求されることもないので、とりあえず導入しておけば間違いありません。
以下、reCAPTCHA v3を導入してWordfenceに設定する手順です。
- 「Google reCAPTCHA」で必要事項を入力
- サイトキーとシークレットキーをそれぞれコピー
- Wordfenceの「ログインセキュリティ」⇒「設定」タブを開く
- reCAPTCHAの項目を探してキーをそれぞれ入力する
- 画面右上の「保存」をクリックして完了!
不正ログイン対策だけで見れば、reCAPTCHA v3は2要素認証ほど信用できるセキュリティ対策ではありません。けれど、ボットを使った不正操作に対しては効果的な対策なので、導入して損はありません。
設定方法もそこまで複雑ではないので、reCAPTCHA v3の詳しい設定方法は下の記事を参考にしてぜひやってみて下さい。
Wordfence Securityは本当にセキュリティ効果があるのか?
効果あり?
本当に効果があるの?
正直、Wordfence Securityを初めてインストールするときは、初期設定の手順が多いので「何だか面倒臭そう…」とあなたは感じていませんか?
それに、過去にスパム被害を受けたことがない人ほど、わざわざ「Wordfence Security」みたいなセキュリティを導入する必要なんてないのでは?と疑問に感じるかもしれません。
けれど、結論から言えば「Wordfence Security」はめちゃくちゃ重要です。
以下、実際にささみりんがスパム被害を受けて「Wordfence Security」によって予防できた事例を紹介したいと思います。
ケース①:WordPress内のバックドアウィルスを防いだ
Wordfenceの実績①
ファイル改ざんを防いだ
まずWordfence Securityで一番助かっているのが「バックドア攻撃」を防いでくれていることです。
ささみりんがペラサイト量産のガチ勢だった頃は、多い時で300サイト以上を保有していましたが、その時に1サイトでもバックドアに感染すると、契約先のサーバーが丸々停止してしまいます。(と言うか、停止しました(笑))
この時、同時のささみりんの場合は以下の手順で自力でバックドア攻撃から回復し、サーバーを復旧させることに成功しました。
- データベースをバックアップ
- サーバー内のファイルとを全削除
- データベースもすべて削除
- レンタルサーバーに復旧依頼
- (復旧後)再びWordPressをインストール
- Wordfence Securityを新たに有効化
- データベースを再度読み込む
この手順は、バックドアウィルスがデータベースに侵入していないことが前提になりますが、過去にささみりんがWordPressでバックドアに感染した場合は、上記の手順で何とかなりました。
ただ、これがSQLインジェクション(データベースを改ざんするタイプのスパム攻撃)だとまた話がややこしくなるのですが、今のところWordPressに多いのは不正なファイルの挿入なので、この手順で何とかなるかと思います。(たぶん…)
そして、Wordfence Securityを導入してからは、こうしたバックドアウィルスの感染によるサーバーの強制停止を受けたことがないので、一定の効果があるのだと思います。
ケース②:ショートコードのリダイレクト改ざんを防いだ
Wordfenceの実績②
改ざんを防いだ
WordPressで被害を受けるスパム攻撃の中に「クロスサイトスクリプティング(XSS)」と言うものがあります。これはあなたが作成したブログコンテンツの一部を改ざんし、意図しない挙動を起こさせるスパム攻撃です。
実は、以前までこのささみブログもこのXSSのスパム攻撃を受けており、どうしたもののかを頭を悩ましていました。
そんな時に、Wordfence Securityの存在を思い出し、慌てて導入したところ、それ以降のXSS攻撃がパタリとやんだのです。
- 該当のプラグインを更新
- Wordfence Securityを有効化
- 怪しいIPアドレスをすべてブロック
クロスサイトスクリプティング(XSS)による手口の一例は、クライアントサイドで実行されるJavaScriptを操作して、ページの内容やリンク先を動的に変更させるなどがあります。
そのため、怪しいプラグインを更新し、Wordfence Securityで予防しつつ、怪しいIPアドレスをブロックすることで、クロスサイトスクリプティング(XSS)を予防することができます。
元はと言えば、ささみりんが2018年制のプラグインをそのまま放置したり、Wordfence Securityのインストールを完全に忘れていたのが原因なのですが、セキュリティ対策の重要性を痛感した一幕でした。
ケース③:ブルートフォースアタックを防いだ
Wordfenceの実績③
マジで厄介
ブルートフォースアタック(総当たり攻撃)とは、すべてのIDとPASSの組み合わせをプログラムを使って総当たりで試すスパム攻撃の一つです。
当然、総当たりで攻撃を受けるのでいつかは突破される訳なので、普段からIDやPASSを複雑なものにして定期的に変更することが大切な訳ですが、実際問題として、そんな面倒なことなんてやってられません。
そんな時にWordfence Securityをインストールすれば、reCAPTCHA(v3)や二要素認証(2FA)を無料でかんたんに導入できるので、ブルートフォースアタックにも一定の効果を発揮してくれるのです。
- reCAPTCHA v3を導入する
- 二要素認証(2FA)を設定する
- 怪しいIPアドレスをブロック
「Wordfence Security」を使えば、ブルートフォースアタックで有効とされるこれらの対策をすべて行ってくれるので、かなりの予防効果があります。
もちろん、スパム対策に絶対はないのですが、それでも効果的にスパム被害を抑えたいなら「Wordfence Security」はとても有効であることを知ってくれると嬉しいです。
今回はささみりんが実際に被害を受けたスパム被害の事例を紹介しましたが、これらの被害は決して対岸の火事ではありません。
管理サイトの数が増えたり、ブログのアクセス数が増えるほどスパムアタックの標的にされる確率が上がるので、そういうもしもの時に備えて「Wordfence Security」の導入は大事だと考えてくれたら幸いです。
WordPressを使って安全に稼ぎ続ける方法!
今回はWordfence Securityの基本的なインストール手順と、おすすめのセキュリティ設定について解説をしました。
また、もしあなたがWordPressを使って安全に稼げるようになりたいと思うなら、ささみりんと一緒に「ささみサロン」で勉強してみませんか?
ささみサロンは「フロービジネスからの脱却」を目指して、ペラサイト・ブログ・コミュニティの3つのノウハウを延べ1,000本以上のコンテンツにして毎日解説している「日本一真面目なオンラインサロン」になっています。
- 公開コンテンツは1,000本以上!
- 毎週土曜日にオンラインセミナー!
- 専用のSNSで質問し放題!
ささみサロンは2019年の7月から始まりましたが、今では延べ1,000人以上の人に参加して頂いております。
また、実際に参加しているメンバーからは「セミナーがすごく分かりやすい」「本当に稼げるようになった」など有難い言葉をたくさん頂いております。
今なら無料で参加できるので、もしあなたが本気でブログで稼げるようになりたいと思うなら、今すぐささみサロンに参加して下さいね!きっとあなたのブログ人生が大きく変わりますよ!
Wordfence Securityでよくある質問
FAQ
よくある質問
この記事の最後に「Wordfence Security」でよくある質問をFAQ形式でまとめました。
もしここにない質問や疑問点などがあれば、いつでも気軽に「ささみサロン@SNS」で聞いてくれると嬉しいです。
今なら無料で参加できるので、あなたも今すぐささみサロンに参加して、ささみりんにWordfence Securityやブログの質問をぶつけに来て下さいね!
質問①:「Wordfenceのインストールが不完全」と表示されるんですが
もしあなたのWordPressの管理画面で「Wordfenceのインストールが不完全」と表示されている場合、Wordfence Securityの基本設定が完全には終わっていない状態にあると言えます。
この場合、「Wordfenceのインストールが不完全」と表示されている、右側に「レジュメの設置」という項目があるので、それをクリックして残りのWordfence Securityの設定を進めると表示が消えます。
詳しい手順はこの記事にまとめているので「Wordfence Securityの基本設定」を参照して下さい。
質問②:Wordfence Securityの無料版と有料版の違いは何ですか?
2024年7月時点では、Wordfence Securityには全部で4つの料金プランがあり、大きく分けて無料版と有料版に分けることができます。
そして無料版と有料版の大きな違いは「①セキュリティルールの更新スピード」と「②チャットサポートの有無」だと考えると分かりやすいです。
| 無料版 |
|
|---|---|
| 有料版 |
|
有料版ならセキュリティルールがリアルタイムで自動更新されるのに対し、無料版だと有料版で適用されたルールが30日遅れで適用されます。
また、無料版は具体的なサポートはユーザー同士の掲示板しかありませんが、有料版ならWordfenceからの直接的なチャットサポートを受けることができます。
これら2つが無料版と有料版の主な違いとなります。
この辺の違いをどう取られるかは個人の自由ですが、ぶっちゃけ無料版でも十分かなと思っているのがささみりんです。
質問③:Wordfence Securityのメール通知が多すぎるんですが…
Wordfence Securityは放っておくとかなりの頻度でメールが届くので、ぶっちゃけうざいです。そのため、メールなんて必要ないぜって思っている人は、最初のインストールの時点からメール通知を「いいえ」にするのがおすすめです。
また、Wordfence Securityをすでにインストール済みの人は、ダッシュボードにある「Wordfence」⇒「すべてのオプション」から「通知メールの設定」を探して、すべてのチェックボタンを外せばOKです。
ささみりんの場合は全部のチェックを外した状態で運用していますが、特にそれで今のところ問題ありません。(問題が起きてからでは遅いのではあるのですが…)
この辺も各ブロガーの価値観や各サイトの重要度にもよって異なると思うので、各自で自由に判断するのがいいかと思います。
質問④:Wordfence Securityにログインできないのですが…
時々、Wordfence Securityをインストールしたら、WordPressにログインできなくなったという報告を受けることがあります。(※他のブログでもそういった報告があるようです。)
で、結論から言えば対処方法は色々とあるらしく「①Wordfence Securityを一時的に無効化(アンインストール)する」か「②干渉しやすい2要素認証もしくはreCAPTCHA v3を無効化する」で上手くいきやすいみたいです。
- Wordfence SecurityをFTP経由等で削除or無効化
- 一旦WordPressにログインする
- 再度Wordfence Securityを有効化する
- 「2要素認証」もしくは「reCAPTCHA v3」を無効化
まだ、ささみりんの方ではWordfence Securityが原因でWordPressにログインができなくなった症状に遭遇したことがないので、ネットの記事をまとめると上の手順で何とかなるようです。
ただ、もし似たような症状が起きた場合は、一度ささみりんの方でも検証して備忘録的にWordfence Securityでログインできなくなった場合の対処法をまとめたいと思います。
WordPressを使うならWordfence Securityは絶対入れよう!
まとめ
Wordfenceがおすすめ
今回はWordfence Securityの使い方や設定方法について色々と解説しましたが、WordPressでブログを運用するならWordfenceは本当に必須のセキュリティ系プラグインだと思います。
実際、ささみファンドで運用しているサイトには全てWordfence Securityをインストールしていますし、ささみサロンで提供している共用WordPressにもWordfence Securityを導入しています。
それくらいWordfence Securityはセキュリティ系のプラグインでは、もっとも優秀で信用できるプラグインなので、ぜひあなたも使ってみることをおすすめします!
Wordfence Securityのまとめ
- ファイアウォールが設置できる
- ブルートフォースやマルウェアにも対応
- 2要素認証やreCAPTCHA v3も使える
セキュリティに関するプラグインは他にも色々とありますが、ぶっちゃけWordfence Securityさえあれば何とかなるかなと感じるシーンが多いです。
もしあなたがWordPressに対して何のセキュリティ対策を持たず、ノーガードで戦っているなら、何か起こる前にWordfence Securityをインストールしておくことをおすすめします。
ささみサロンではこうしたWordPressのセキュリティ対策についての話はもちろん、WordPressやブログを使った稼ぎ方について解説しています。
今なら無料で参加できるのであなたも今すぐささみサロンに参加して、ブログで稼ぐ本物のノウハウを手に入れて下さいね!あなたのブログ人生を一緒に変えていきましょう!
