Plug-in "Wordfence Security – Firewall & Malware Scan" to improve the security of Wordpress site

WordPressサイトのセキュリティを向上させるプラグイン「Wordfence Security – Firewall & Malware Scan」

公開日:2019年9月3日 セキュリティ
Knowledge Base 制限

Wordpressサイトのセキュリティって気にしたことありますか??

先日知人から、そのまた知人にサイトを確認してもらったら「サイトにウイルス仕込まれて、そのサイトのドメインが検索エンジンのブラックリストに載ってる」と言われ、挿入されたコードなどを削除するのに苦労したという話を聞き、他人事ではないと思い、何かいい方法はないかなぁ、そんなときにはやっぱり専門家(プラグイン)だろうということで、いろいろと試した結果個人的にこれがいい!と判断したのが今回紹介する「Wordfence Security – Firewall & Malware Scan」です。

「Wordfence Security – Firewall & Malware Scan」は有名なプラグインですのであえて解説記事を書く必要もないかなとも思ったのですが、このプラグインはたくさんの機能や設定があるにも関わらず日本語対応していないことから敬遠する日本の方も多いのでは?と考え、日本語化ファイルの配布も含めて紹介することにしました。

WordPressはそもそも多くの方に使用されている無料のサイト作成ツール。当然同じツールを使うわけですから、悪意を持った方が何か悪いことをしようと思ってWordpressのとあるサイトで成功すれば・・・たちまちその他のサイトも・・ということになりますよね?

ちょっと脱線しますけど、将棋は最初の形が一番堅固な状態(いちばん責められにくい状態)で攻撃するために駒を動かすことで隙が産まれるゲームと誰かから聞いたことがあります。

それと同じでWordpressも何も追加していない、何も変更していない状態(テーマやプラグインを変更したり追加したりしていない状態)が強いのは確かで追加したものに対してセキュリティチェックは必須です。が、Wordpressはそもそもコメントを残す(だれかが何かを入力する口)機能を持っているので、悪意を持った人はそこから管理側の口を開け、何かをどうにかするということもするそうです。他にもアプリからサイトの操作をしたり、メールで記事を投稿できたりする機能もそうした人たちからすれば口となるようで、そこを起点に攻撃されることもあるそうです。

WordfenceはそれらWordpress本体の脆弱性対策とともにプラグインやテーマのチェック、攻撃者かどうかを判断してブロックする機能、実際に悪い動作をするコードなどの検出などをしてくれる総合セキュリティプラグインですから、他のセキュリティ対策と併せて使用することでより攻撃されにくいサイトを作ることができます。

【Wordfence Security – Firewall & Malware Scan】プラグインの用途や機能

大きな機能については次の通りです

  • ブルートフォース攻撃からの保護
  • マルウェア検知(駆除はできません)
  • 公式サイトにある同じバージョンのプラグイン・テーマとサイト内のそれとの比較
  • 不正アクセスされたとみなされるアクセスからの防御(ファイアーウォール)
  • 何かサイトに脅威があった場合のメール通知
  • 管理者やユーザーがログインしたときの通知

そして何より、パソコンの対策ソフトと同じくWordfenceで情報収集したデータを一定期間ごとに自動で適用してセキュリティチェックをしてくれるのが魅力です(後述しますが無料版には少し制限があります)。

こうしたプラグインがきちんと動作しているのか?本当に改ざんなどを検知してくれるのか?セキュリティに関する警告が一切ないけど本当に動作してるの?というのを確認するというのは難しいですからついついまかせっきりになりやすいですよね?私もそう思ってわざと?サイト用にプラグインのソースを部分的に変更しているサイトへ導入してみました。

すると・・・カスタマイズした部分に関してきちんとファイル名まで表示して「改ざんされていませんか?」と警告してくれました。自身でやったと確信できることに対して「大丈夫?」と警告してくれたことで、個人的にはひとまずきちんと動作していることが確認できて安心しました。

※このサイトにも2019年9月現在導入しています。

このプラグインは任意のメールアドレスへ警告情報を送信することができますので、業者の方などで複数のWordpressサイトの保守が必要な場合にも大変重宝すると思います

REST APIのリクエストとレスポンスを記録するためのプラグイン「REST API Log」

WordPressでアーカイブのスラグをユーザー名と異なるものにしてセキュリティーをアップするプラグイン「Edit Author Slug」

WordPressで登録済みユーザーのユーザー名を変更できるプラグイン「Username Changer」


この紹介記事を最後に編集したときの環境・バージョンなど

プラグインは製作者によって日々更新されていくため、この紹介記事が最新バージョンのものであるとは限りません。参考までにこの記事の最終更新日時点におけるテスト環境、プラグインバージョン、プラグイン導入時の留意点などを記載しておきます。

プラグインを使用(試用)したテスト環境

  • テストサーバー:カラフルボックスWordPressサイトのセキュリティを向上させるプラグイン「Wordfence Security – Firewall & Malware Scan」
  • WordPressのバージョン:5.2.2
  • PHPのバージョン:7.3.8
  • テーマ:ha-Basic(オリジナルテーマ)
  • プラグインのバージョン:記事更新時のバージョン 7.4.0/最新バージョン 7.4.0

この記事を参考にプラグインの導入をする際以下に留意ください

  • テスト環境での動作に基づいた紹介記事ですので、すべての環境で正常に動作するかどうかは不明です
  • 無料版と有料版(Pro版)がある場合、特に記載がなければ無料版の情報のみを紹介しています
  • このページでプラグインを使用する際に必要なショートコードやコードなどは、コピーして使用することができますが、環境によっては記号などが文字化けすることがあります。コピーしたのに動作しない場合は特に「”」「’」などの記号を入力し直してみてください。
  • プラグイン本体の動作不具合や質問などは公式サイトのフォーラムなどで行ってください(ここでは質問にお答えすることはできません)
  • この記事を参考にしてプラグインの導入を行われた方はページ末尾のコメント(使用した感想)への協力をお願いします

【Wordfence Security – Firewall & Malware Scan】プラグインの設定画面や表示の日本語化と翻訳

【Wordfence Security – Firewall & Malware Scan】プラグインは日本語化が可能な言語ファイルが同梱されていますので、翻訳を行えば日本語での使用が可能ですが、設定項目が少ないので特に困ることはないと思います

当サイトで私が翻訳した【Wordfence Security – Firewall & Malware Scan】プラグインの日本語化ファイルを配布しています。翻訳ファイルについての詳しい説明は

をご覧ください。

※一応Wordfenceは後に紹介するインストール手順を行えばある程度ほったらかしでセキュリティアップをしてくれるのですが、細かな設定ができるようになっていて、より最適な動作をさせることができますし、何より警告メールや説明文が非常に多いプラグインですので、誤って設定を間違えたり、重要なセキュリティ上の警告があるのに無視してしまったりしないよう日本語化した方が断然使いやすいと思います。

【Wordfence Security – Firewall & Malware Scan】プラグインのインストールと設定

インストール方法

インストールはプラグインの新規追加でプラグイン名で検索してインストールするか、ページ先頭の画像をクリックして表示されるWordpressのプラグイン公式配布ページがダウンロードしてからアップロードインストールします。

インストール方法の詳しい解説は

を参照ください

基本的な設定方法や使い方

インストールして有効化するといきなり先に進めない状況が現れます(笑)。

聞かれているのは

  • Wordfenceが検知したサイトのセキュリティアラートを送信するメールアドレスの入力
  • 上のメールアドレスを別のメーリングリストに登録してWordpressのセキュリティに関する情報を受信するか否かの選択
  • Wordfenceの規約と個人情報の取り扱いに同意するか?のチェック

の3つ。英語だと何が何だか・・・という方も多いと思います。

この3つの入力や選択をすると「Continue」ボタンが表示され先に進むことができます。

※日本語化すると↓の画像のように、この画面から既に日本語で表示されますので、インストール前に日本語化することをおすすめします。
WordPressサイトのセキュリティを向上させるプラグイン「Wordfence Security – Firewall & Malware Scan」

次の画面では有料版(プレミアムライセンス)購入の斡旋画面が表示されますので「No Thanks(いいえ、結構です)」をクリックすると無料版がインストールされます
※プレミアムライセンス自体は必要であれば後から購入・追加できます
WordPressサイトのセキュリティを向上させるプラグイン「Wordfence Security – Firewall & Malware Scan」

これでインストール作業はひとまず終了です。
その後バックグラウンドでWordfenceがシステムのチェックなどを行った後、「学習モード」というモードで動作するようになります。

学習モードはそのサイトがどのような方からアクセスされているのか(どんなトラフィックがあるのか?)というのを学習して、セキュリティ状態をより最適化するためのモードで、おおよそ一週間このモードで動作するように自動設定されます
※設定により学習モードを止めることもできますが、特に止める必要はないでしょう。

初期設定が完了し、Wordfenceが稼働しているかどうかは管理画面のメニューからWordfenceをクリックすると分かります
WordPressサイトのセキュリティを向上させるプラグイン「Wordfence Security – Firewall & Malware Scan」
※上は日本語化済みの画面になります

一番上の青い帯部分が「Wordfenceによる保護が有効になっています」となっていればひとまず大丈夫です。

その後はバックグラウンドでサーバーの状況等も監視しながらセキュリティ上問題がないかスキャンをしてくれ、問題があれば都度インストール時に登録したメールアドレスへ警告メールが来るようになります。

細かい設定をいろいろと行うことでよりサイトに合った設定にしたり、メールを送る重要度を変更したりすることができます(英語が苦手な方は日本語化した方が無難だと思います)。

画像の上に赤枠で囲んである部分もWordfenceの案内なのですが、こちらは日本語化されませんでしたので訳しておきます
To make your site as secure as possible, take a moment to optimize the Wordfence Web Application Firewall:
サイトを可能な限り安全にするには、Wordfence Web Application Firewallを最適化してください。
If you cannot complete the setup process, click here for help.
 初期設定がどうしても完了できないときはヘルプを参照ください

ファイアーウォールについては後から調整すればOKですし、前述したように正常稼働しているようでしたらヘルプを参照する必要はないと思いますので、「Dismiss」をクリックして画面を消しても問題ないでしょう。

無料版と有料版の違い

有料版(プレミアム版)では主に以下の機能が追加されます

  • リアルタイムで最新の脅威から守ってくれる(無料版は30日遅れの脅威データを受信し、それについてスキャンを実行する)
  • 国ごとのアクセス制御
  • サイトのドメインがブラックリストに載っていないかのチェック

うーん無料版だと30日遅れかぁ・・・と悩みどころですが、ひとまず無料版で運営してみて脅威があまりにも見つかるようだったら有料版へと考えればいいと思います。

また、サイトドメインの安全性については

などの無料サービスでブラックリストとして登録されていないかの確認もできますし、何より検索エンジン経由でのアクセスがあるようでしたらリストには載っていないということですから安心していいのではないかと思います。

このプラグインの脆弱性に関する情報

プラグインはWordpressで作ったサイトを簡単に充実させることができる魔法の追加機能ですが、それを狙って悪意のあるコードを挿入したり、情報を盗み取ったり、最悪の場合はサイトを壊す、乗っ取るといった行為を行う入り口になってしまう可能性があります(これを脆弱性といいます)。

ここではこのプラグインに関して【WPScan脆弱性データベース】で脆弱性が確認されている情報を紹介します。お使いのプラグインのバージョンに該当する情報がある場合には、対策済みのバージョンへ更新する対策が取られていないようであれば別のプラグインの利用を検討するなどの対応をおすすめします。

脆弱性情報一覧

英語サイトからの取得データのため、一覧は英語表示、リンク先も英語ページとなりますので、英語が苦手という方は、同時翻訳が可能なブラウザを使用して閲覧してください
よく出てくる脆弱性警告と簡単な解説・参考サイト
※個人的な理解や解釈ですので、より詳しい内容についてはご自身でお調べください

Cross-Site Scripting (XSS)

フロントエンドから入力などを行うことができるサイトで、フォームに悪質なコードを仕込み、さまざまな方法でログイン情報などを盗み取る行為。より詳しい情報は以下のサイトを見てください(英語サイトです)

SQL Injection

何かを入力して条件などを設定する機能に対して悪意を持って条件を入力することで改ざんを行ったり、情報を盗み取ったりされる可能性を示す警告のことです。

※※ ここにリンク一覧がない場合、現在このプラグインの脆弱性情報はありません ※※
  • 2018.10.18 / Wordfence <= 7.1.12 - Username Enumeration Prevention Bypass
  • 2014.12.08 / Wordfence <= 5.1.4 - Cross-Site Scripting (XSS)
  • 2014.12.01 / Wordfence 5.2.2 - XSS in Referer Header
  • 2014.10.07 / Wordfence <= 5.2.4 - Multiple Vulnerabilities (XSS & Bypasses)
  • 2014.09.27 / Wordfence 5.2.3 - Multiple Vulnerabilities

WPScan脆弱性データベースの概要

以下WPScanに掲載されている概要の引用文です。WPScanの詳細はこちらを参照ください。

WPScanは、非営利目的の無料のブラックボックスWordPress脆弱性スキャナーであり、セキュリティの専門家やブログの管理者がサイトのセキュリティをテストするために作成されています。

WPScan脆弱性データベースを使ったセキュリティスキャンプラグイン

WPScanへの登録(無料)が必要ですが、現在サイトにインストールされているプラグインやテーマに関して他者から攻撃を受ける可能性があるか(安全なものかどうか)を管理画面からチェックできます。

プラグインの使用感や使用している環境など情報をお待ちしております

最後までご覧いただきありがとうございました。いかがでしたか?この記事は役に立ちましたか??

ページの末尾にはコメント欄を用意しております。貴サイトで使用したときの感想や環境などの情報をお寄せいただけると、このプラグインに興味を持った方への有用な情報となりますので、ぜひ情報提供をお願いします。

  • 基本的にいただいた情報への返信は行いませんのでご了承ください
  • プラグインの不具合・使用に関する質問、このページで紹介している内容に関する問い合わせにはお答えしていません
  • 誹謗中傷などこのページに不相応と思われるコメントについては公開を控えさせていただく場合があります

Wordpressのカスタマイズ、不具合解消、プラグインの使用方法などのご相談はすべてココナラのダイレクトメッセージからお受けしております。まずはこちらのバナーからお気軽にお問い合わせください。

※一度もココナラを使ったことがない方はココナラへの無料登録が必要です。こちらから登録後、上のリンクをクリックする、またはココナラトップページから「ひまあーと」を検索してお問い合わせください。

※お問い合わせ内容により有料での対応となる場合がありますのでご了承の上ご相談ください

Wordpressの本

Amazonの人気商品楽天市場の人気商品
【送料無料】 WordPress標準デザイン講座20LESSONS WordPress5 / Gutenberg対応 / 野村圭 【本】

【送料無料】 WordPress標準デザイン講座20LESSONS WordPress5 / Gutenberg対応 / 野村圭 【本】

2,786 円 (税込) 送料込
基本情報ジャンル建築・理工フォーマット本出版社翔泳社発売日2019年06月ISBN9784798156514発売国日本サイズ・ページ303p 23×19cm関連キーワード 9784798156514 【FS_708-2】出荷目安の詳細はこちら>>楽天市場内検索 『在庫あり』表記について 
【中古】 WordPressレッスンブック 2.8対応 ステップバイステップ形式でマスターできる /エビスコム【著】 【中古】afb

【中古】 WordPressレッスンブック 2.8対応 ステップバイステップ形式でマスターできる /エビスコム【著】 【中古】afb

108 円 (税込)
エビスコム【著】販売会社/発売会社:ソシム発売年月日:2009/09/18JAN:9784883376735//付属品〜CD−ROM1枚付
楽天ウェブサービスセンター CS Shop
ひまあーと(管理人)
  • 記事の作者: ひまあーと(管理人)

  • ☆最後までお読みいただきありがとうございました。記事作者のひまあーとです。
    ☆Wordpressでサイトをカスタマイズしていく上で有用な情報を配信しつつ、「ココナラ」でサイトカスタマイズのお手伝い、不具合の修復、サイト引っ越し代行などをさせていただいております。
    ☆Wordpressネタが多いですが、趣味の「園芸」「卓球」などの情報や日々の出来事などもどんどん増やしていきますのでよろしくお願いいたします。


いつでもご相談・サイトカスタマイズの依頼を受け付けています

Wordpressのカスタマイズ、不具合解消のご相談はすべてココナラのダイレクトメッセージからお受けしております。まずはこちらのバナーからお気軽にお問い合わせください。

※一度もココナラを使ったことがない方はココナラへの無料登録が必要です。こちらから登録後、上のリンクをクリックする、またはココナラトップページから「ひまあーと」を検索してお問い合わせください。


【スポンサーリンク】


記事の拡散にご協力をお願いします

閲覧いただきありがとうございました。役に立つ情報でしたら是非SNSでシェアをお願いします

関連情報


プラグインを使用した感想

他の方の参考になるよう記事の感想やプラグインの使用感などをお寄せください(プラグインの使い方やカスタマイズ方法についてのコメントは受け付けていませんので送信いただいても返信は致しません)

名前・メールアドレスは必須入力項目ですが、メールアドレスは公開されません。また、メールアドレスはコメントに対する通知等に使用する以外の用途には使用しませんので安心して入力ください。※記事に相応しくないと思われるものは公開しない場合がありますのでご了承の上投稿ください

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)