サイトのセキュリティを向上させるプラグイン「Wordfence Security – Firewall & Malware Scan」

WordPressサイトのセキュリティって気にしたことありますか？？

先日知人から、そのまた知人にサイトを確認してもらったら「サイトにウイルス仕込まれて、そのサイトのドメインが検索エンジンのブラックリストに載ってる」と言われ、挿入されたコードなどを削除するのに苦労したという話を聞き、他人事ではないと思い、何かいい方法はないかなぁ、そんなときにはやっぱり専門家（プラグイン）だろうということで、いろいろと試した結果個人的にこれがいい！と判断したのが今回紹介する「Wordfence Security – Firewall & Malware Scan」です。

「Wordfence Security – Firewall & Malware Scan」は有名なプラグインですのであえて解説記事を書く必要もないかなとも思ったのですが、このプラグインはたくさんの機能や設定があるにも関わらず日本語対応していないことから敬遠する日本の方も多いのでは？と考え、日本語化ファイルの配布も含めて紹介することにしました。

WordPressはそもそも多くの方に使用されている無料のサイト作成ツール。当然同じツールを使うわけですから、悪意を持った方が何か悪いことをしようと思ってWordPressのとあるサイトで成功すれば・・・たちまちその他のサイトも・・ということになりますよね？

ちょっと脱線しますけど、将棋は最初の形が一番堅固な状態（いちばん責められにくい状態）で攻撃するために駒を動かすことで隙が産まれるゲームと誰かから聞いたことがあります。

それと同じでWordPressも何も追加していない、何も変更していない状態（テーマやプラグインを変更したり追加したりしていない状態）が強いのは確かで追加したものに対してセキュリティチェックは必須です。が、WordPressはそもそもコメントを残す（だれかが何かを入力する口）機能を持っているので、悪意を持った人はそこから管理側の口を開け、何かをどうにかするということもするそうです。他にもアプリからサイトの操作をしたり、メールで記事を投稿できたりする機能もそうした人たちからすれば口となるようで、そこを起点に攻撃されることもあるそうです。

WordfenceはそれらWordPress本体の脆弱性対策とともにプラグインやテーマのチェック、攻撃者かどうかを判断してブロックする機能、実際に悪い動作をするコードなどの検出などをしてくれる総合セキュリティプラグインですから、他のセキュリティ対策と併せて使用することでより攻撃されにくいサイトを作ることができます。

【Wordfence Security – Firewall & Malware Scan】プラグインの用途や機能

大きな機能については次の通りです

• ブルートフォース攻撃からの保護
• マルウェア検知（駆除はできません）
• 公式サイトにある同じバージョンのプラグイン・テーマとサイト内のそれとの比較
• 不正アクセスされたとみなされるアクセスからの防御（ファイアーウォール）
• 何かサイトに脅威があった場合のメール通知
• 管理者やユーザーがログインしたときの通知

そして何より、パソコンの対策ソフトと同じくWordfenceで情報収集したデータを一定期間ごとに自動で適用してセキュリティチェックをしてくれるのが魅力です（後述しますが無料版には少し制限があります）。

こうしたプラグインがきちんと動作しているのか？本当に改ざんなどを検知してくれるのか？セキュリティに関する警告が一切ないけど本当に動作してるの？というのを確認するというのは難しいですからついついまかせっきりになりやすいですよね？私もそう思ってわざと？サイト用にプラグインのソースを部分的に変更しているサイトへ導入してみました。

すると・・・カスタマイズした部分に関してきちんとファイル名まで表示して「改ざんされていませんか？」と警告してくれました。自身でやったと確信できることに対して「大丈夫？」と警告してくれたことで、個人的にはひとまずきちんと動作していることが確認できて安心しました。

このプラグインは任意のメールアドレスへ警告情報を送信することができますので、業者の方などで複数のWordPressサイトの保守が必要な場合にも大変重宝すると思います

この紹介記事を最後に編集したときの環境・バージョンなど

プラグインは製作者によって日々更新されていくため、この紹介記事が最新バージョンのものであるとは限りません。参考までにこの記事の最終更新日時点におけるテスト環境、プラグインバージョン、プラグイン導入時の留意点などを記載しておきます。

プラグインを使用（試用）したテスト環境

• テストサーバー：カラフルボックス
• WordPressのバージョン：5.2.2
• PHPのバージョン：7.3.11
• テーマ：HABONE(オリジナルテーマ)
• プラグインのバージョン：本記事で紹介しているバージョン7.4.0／最新バージョン 8.0.5
• 公式サイト（wordpress.org上）：https://wordpress.org/plugins/wordfence/
• 公式サイト（作者サイト）：

本記事を参考にWordPressサイトへプラグインの導入を検討される方へ

WordPressは古くから無料で配布されているサイト作成ツール（CMS）で、随時改良が加えられており、さまざまなバージョンが存在します。

さらにWordPressを動かすためのプログラムであるPHP、サイトのデータを保存しておくためのデータベースについても様々なバージョンがあります。

そしてWordPress本体同様にプラグインについてもさまざまなバージョンが存在します。

本記事を参考にプラグインの導入をお考えの方は、以下に留意の上でインストールするようにしてください。

• テスト環境での動作に基づいた紹介記事ですので、すべての環境で正常に動作するかどうかは不明です
  ※本記事の内容についてはページ内に記載しているプラグインバージョンのものになります。現在のバージョンと異なる場合、機能や日本語対応の状況などが異なる場合があります。
  ※また、テスト環境、テストしたプラグインバージョン等の表示が本文内にない場合、ページタイトル下にある最終更新日当時の情報となりますので、現在のバージョンでは全く違う機能となっているかも知れません。
• プラグインに無料版と有料版（Pro版）がある場合、特に記載がなければ無料版の情報のみを紹介しています
• このページでプラグインを使用する際に必要なショートコードやコードなどは、コピーして使用することができますが、環境によっては記号などが文字化けすることがあります。コピーしたのに動作しない場合は特に「”」「’」などの記号を入力し直してみてください。
• プラグイン本体の動作不具合や質問などは公式サイトのフォーラムなどで行ってください（ここでは質問にお答えすることはできません）

【Wordfence Security – Firewall & Malware Scan】プラグインの設定画面や表示の日本語化と翻訳

【Wordfence Security – Firewall & Malware Scan】プラグインは日本語化が可能な言語ファイルが同梱されていますので、翻訳を行えば日本語での使用が可能ですが、設定項目が少ないので特に困ることはないと思います

当サイトで私が翻訳した【Wordfence Security – Firewall & Malware Scan】プラグインの日本語化ファイルを提供しています。翻訳ファイルについての詳しい説明は以下のページをご覧ください。

【Wordfence Security – Firewall & Malware Scan】プラグインの日本語翻訳ファイル

※一応Wordfenceは後に紹介するインストール手順を行えばある程度ほったらかしでセキュリティアップをしてくれるのですが、細かな設定ができるようになっていて、より最適な動作をさせることができますし、何より警告メールや説明文が非常に多いプラグインですので、誤って設定を間違えたり、重要なセキュリティ上の警告があるのに無視してしまったりしないよう日本語化した方が断然使いやすいと思います。

【Wordfence Security – Firewall & Malware Scan】プラグインのインストールと設定

インストール方法

インストールはプラグインの新規追加でプラグイン名を入力して検索してインストールするか、WordPressのプラグイン公式配布ページからダウンロード後、管理画面からアップロードインストールしてください（プラグインの公式ページは本ページ内記載のリンクをクリック、もしくは、WordPress公式サイトで検索してください）。

WordPressを使い始めて間もない方（初心者の方）は、より詳細なプラグインのインストール手順や、インストール時に起こる問題などへの対処方法をまとめた【WordPress】プラグインのインストール＆追加方法とエラー対処の方法も併せてご覧ください。

基本的な設定方法や使い方

インストールして有効化するといきなり先に進めない状況が現れます（笑）。

聞かれているのは

• Wordfenceが検知したサイトのセキュリティアラートを送信するメールアドレスの入力
• 上のメールアドレスを別のメーリングリストに登録してWordPressのセキュリティに関する情報を受信するか否かの選択
• Wordfenceの規約と個人情報の取り扱いに同意するか？のチェック

の３つ。英語だと何が何だか・・・という方も多いと思います。

この３つの入力や選択をすると「Continue」ボタンが表示され先に進むことができます。

※日本語化すると↓の画像のように、この画面から既に日本語で表示されますので、インストール前に日本語化することをおすすめします。

次の画面では有料版（プレミアムライセンス）購入の斡旋画面が表示されますので「No Thanks(いいえ、結構です)」をクリックすると無料版がインストールされます
※プレミアムライセンス自体は必要であれば後から購入・追加できます

これでインストール作業はひとまず終了です。
その後バックグラウンドでWordfenceがシステムのチェックなどを行った後、「学習モード」というモードで動作するようになります。

学習モードはそのサイトがどのような方からアクセスされているのか（どんなトラフィックがあるのか？）というのを学習して、セキュリティ状態をより最適化するためのモードで、おおよそ一週間このモードで動作するように自動設定されます
※設定により学習モードを止めることもできますが、特に止める必要はないでしょう。

初期設定が完了し、Wordfenceが稼働しているかどうかは管理画面のメニューから「Wordfence」をクリックすると分かります

※上は日本語化済みの画面になります

一番上の青い帯部分が「Wordfenceによる保護が有効になっています」となっていればひとまず大丈夫です。

その後はバックグラウンドでサーバーの状況等も監視しながらセキュリティ上問題がないかスキャンをしてくれ、問題があれば都度インストール時に登録したメールアドレスへ警告メールが来るようになります。

細かい設定をいろいろと行うことでよりサイトに合った設定にしたり、メールを送る重要度を変更したりすることができます（英語が苦手な方は日本語化した方が無難だと思います）。

画像の上に赤枠で囲んである部分もWordfenceの案内なのですが、こちらは日本語化されませんでしたので訳しておきます
To make your site as secure as possible, take a moment to optimize the Wordfence Web Application Firewall:
サイトを可能な限り安全にするには、Wordfence Web Application Firewallを最適化してください。
If you cannot complete the setup process, click here for help.
　初期設定がどうしても完了できないときはヘルプを参照ください

ファイアーウォールについては後から調整すればOKですし、前述したように正常稼働しているようでしたらヘルプを参照する必要はないと思いますので、「Dismiss」をクリックして画面を消しても問題ないでしょう。

無料版と有料版の違い

有料版（プレミアム版）では主に以下の機能が追加されます

• リアルタイムで最新の脅威から守ってくれる（無料版は30日遅れの脅威データを受信し、それについてスキャンを実行する）
• 国ごとのアクセス制御
• サイトのドメインがブラックリストに載っていないかのチェック

うーん無料版だと30日遅れかぁ・・・と悩みどころですが、ひとまず無料版で運営してみて脅威があまりにも見つかるようだったら有料版へと考えればいいと思います。

また、サイトドメインの安全性についてはaguseなどの無料サービスでブラックリストとして登録されていないかの確認もできますし、何より検索エンジン経由でのアクセスがあるようでしたらリストには載っていないということですから安心していいのではないかと思います。