- プラグイン「Wordfence Security – Firewall & Malware Scan」のインストール方法は?
- Wordfenceのアンインストール(削除)方法は?
- Wordfenceの最適な設定方法は?
という人のために、プラグイン「Wordfence Security – Firewall & Malware Scan」のインストール方法、アンインストール方法、最適な設定方法を、画像付きで解説します。
Wordfenceをインストールしたけど、やっぱり削除しよう、という人はちょっと待ってください。
Wordfenceを通常のプラグインと同じように削除すると、サーバーのデータベースにWordfenceのデータが残ってしまいます。
データが残らないように、アンインストールする時は、専用の設定をしておきましょう。
1.前提条件・事前準備・参考記事
WordPressのセキュリティに関しては、以下を参考にしてください。
- WordPress(サイト)運営者が知るべきサイバー攻撃の種類と対策
- WordPressのおすすめセキュリティ系プラグインを比較した結果【Cocoon】
- Googleアカウントの作成方法(データSIMだけでもOK)
- Wordfenceの(アン)インストール方法と最適な設定方法
- Wordfence Securityの全ての設定方法を3万文字で解説
- WordfenceとGoogle認証システムで2段階認証(2FA)を設定する方法
- Wordfenceの使い方、画面の見方を6万文字で解説
- XO Securityの設定方法
- SiteGuard WP Pluginの設定方法
- BBQ(Block Bad Queries:ブロックバッドクエリ)の設定方法
- Invisible reCaptcha for WordPressの設定方法【Google reCATCHA】
- ログイン(2段階認証)エラー対策【Invisible reCaptcha、Wordfenceの2FA、ConoHa WING】
- UpdraftPlus(アップドラフトプラス)の設定方法と使い方
2.セキュリティ対策プラグイン「Wordfence Security – Firewall & Malware Scan」とは
2-1.Wordfenceとは
「Wordfence Security – Firewall & Malware Scan」は、総合的なセキュリティ対策のプラグインです。
WordPressは、初期設定のままだとセキュリティが貧弱です。
セキュリティが弱ければ、悪意ある第三者にサイトを攻撃(ブルートフォース攻撃、リスト攻撃、DDoS攻撃等)された場合、最悪、サイトを乗っ取られます。
そこで、セキュリティ対策が必要になります。
プラグイン「Wordfence Security – Firewall & Malware Scan」は、不正ログイン、Webページ改ざん、スパムを防止します。
Wordfenceは、WordPressに入れておきたいセキュリティ系プラグインの1つですね。
ブルートフォース攻撃(総当たり攻撃/ブルートフォースアタック)とは、WordPressのログインファイルにアクセスし、繰り返しユーザーネーム・パスワードを入力して、ログインを試みる攻撃です。
ブルートフォースアタックの対策をしないと、何万回、何億回とログイン試行をされ、最終的にログインされてしまいます。
パスワードリスト攻撃(リスト型攻撃/アカウントリスト攻撃)とは、何らかの手法によりあらかじめ入手してリスト化したID・パスワードを利用してWebサイトにアクセスを試み、結果として利用者のアカウントで不正にログインされてしまう攻撃です。
DDoS攻撃(Distributed Denial of Service attack/分散型サービス拒否攻撃)とは、様々な手段で負荷を与えることで、攻撃対象のサービスを停止させる攻撃です。
DDoS攻撃が実行されると、攻撃対象のサーバーは大量のアクセスや通信の処理のためにリソースを割くことになり、Webサイトやサービスが正常に作動できなくなります。
2-2.Wordfenceの主な機能
Wordfenceの主な機能は、以下になります。
- Wordfenceの自動更新
- 何かサイトに脅威があった場合のメール通知
- 訪問者のIPアドレスを安全に取得(なりすまし防止)
- WordPressのバージョンを隠す
- UploadsディレクトリのPHPコード実行を無効にする(バックドア対策:不正アクセス後の裏口封鎖)
- ファイアウォール(不正アクセスしたIPアドレスなど特定の通信のブロック)
- ブルートフォースアタック対策(ログイン施行を何万回とさせない)
- 強力なパスワードの強制
- ログインエラーメッセージの一律化(エラーメッセージから推測させない)
- 全てのユーザーIDを隠す
- レート制限(DDoS攻撃対策:アクセス集中によるサーバーダウンを防ぐ)
- マルウェア検知(駆除はできません)
- リアルタイム・トラフィック(通信内容)の記録
- Wordfenceの設定のインポートとエクスポート(他サイトで設定をコピー可能)
- 2段階認証
2-3.Wordfenceをインストールするメリット
Wordfenceをインストールするメリットは、以下になります。
- サイトを守るために、ほとんどののセキュリティ対策ができる。
- 2段階認証ができる。
- 無料。
2-4.WordPressのセキュリティにおすすめするプラグインの組み合わせ
WordPressのセキュリティにおすすめするプラグインの組み合わせは、以下になります。
Wordfenceをセキュリティの主軸とし、他のプラグインで補完します。
テーマはCocoonを使用した場合です。
- Wordfence Security – Firewall & Malware Scan:総合セキュリティ
- XO Security(またはSiteGuard WP Plugin):ログインセキュリティ、ワンタイムパスワード(2段階認証)遅延対策、等
- BBQ: Block Bad Queries:データベース不正操作対策
- Invisible reCaptcha for WordPress:スパム対策
- UpdraftPlus(アップドラフトプラス):バックアップ
WordPressのセキュリティに関するプラグインの比較、おすすめ、各種プラグイン設定のリンク集は、以下の記事を参考にしてください。
WordPressのおすすめセキュリティ系プラグインを比較した結果【Cocoon】
3.Wordfenceをインストールする方法
Wordfenceをインストールする手順は以下です。
- Wordfenceをインストールする
- Wordfence用のメールアドレスを登録する
3-1.Wordfenceをインストールして有効化する
まず、Wordfenceをインストールして有効化します。
- 管理メニュー「プラグイン」>「新規追加」>「Wordfence Security」を検索>「Wordfence Security – Firewall & Malware Scan(作成者: Wordfence)」を「今すぐインストール>「有効化」
以上で、Wordfenceのインストールと有効化は完了です。
3-2.「Wordfence Security」から通知を受け取るメールアドレスを登録する
プラグインを有効化すると、「インストール成功、メールアドレス入力」画面になります。
- 「受信メールアドレス」を入力します。以後、このメールアドレスにWordfenceからの通知が届きます。
- WordPressに関するセキュリティ警告やWordfenceからのお知らせを受け取るメーリングリストへ参加するか否かです。
参加しないので「NO」を選択します。 - 利用規約とプライバシーポリシーの同意です。「チェック」をクリックします。
- 全ての操作・入力が完了したら、「CONTINUE」をクリックします。
3-3.プレミアム(有料版)を利用する場合は、ライセンスキーを入力する
「インストール成功、メールアドレス入力」画面で「CONTINUE」をクリックすると、「プレミアムライセンスキー入力」画面になります。
- 有料版のプレミアムを利用する場合は、ライセンスキーを入力し、「INSTALL」をクリックします。
- 有料版のプレミアムを購入する場合は、「UPGRADE TO PREMIUM」をクリックします。
- ここでは無料版のインストールをするので、「No Thanks」をクリックします。
これで、Wordfenceのインストールが完了しました。
4.インストール直後に行う、ファイアウォールの最適化をする方法
Wordfenceは、インストールしただけだとファイアウォールが最適化されていません。
例えば、記事を投稿しただけでエラーが検出される可能性があります。
なので、Wordfenceインストール後は、ファイアウォールの最適化をします。
4-1.WEBアプリケーションファイアウォールを最適化する
画面を更新するか、管理メニュー「プラグイン」をクリックすると、「ファイアウォール最適化」画面が表示されます。
- Wordfenceの自動更新をするか否かです。自動更新はした方が良いので、「Yes,enable auto-update.」をクリックします。
- ファイアーウォールの最適化の設定をするか否かです。設定を開始するため、「CLICK HERE TO CONFIGURE」をクリックします。
4-2.「.HTACCESS」ファイルの最適化をする
「ファイアウォール最適化」画面で「CLICK HERE TO CONFIGURE」をクリックすると、「Optimize Wordfence Firewall(Wordfenceファイアウォール最適化)」画面になります。
- 自動的に自分のサーバーの種類になっています。ConoHa WINGなら、「LiteSpeed/lsapi (recommended based on our tests)」を選択します。
- 「DOWNLOAD .HTACCESS」をクリックして、ファイルをダウンロードします。「htaccess_Backup_for_(ドメイン名).txt」という名前のバックアップファイルがダウンロードされます。ファイルは保存しておきます。
「DOWNLOAD .USER.INI」が出た場合は、同様にダウンロード、保存をします。 - 全て操作したら、「CONTINUE」をクリックします。
4-3.ファイアウォールの最適化の成功を確認する
「Optimize Wordfence Firewall(Wordfenceファイアウォール最適化)」画面で「CONTINUE」をクリックすると、「Installation Successful(インストール成功)」画面になります。
- これで、ファイアウォールの最適化に成功しました。「CLOSE」をクリックします。
4-4.自動更新と「Learning Mode(学習モード)」の使い方
「Installation Successful(インストール成功)」画面で「CLOSE」をクリックすると、「Firewall Options(ファイアウォールオプション)」画面になります。
- 「RESTORE DEFAULTS(初期設定に戻す)」:クリックすると、初期設定に戻ります。
- 「CAHNCEL CHANGES(キャンセルの変更)」:クリックすると、直前の設定だけ戻します。
- 「SAVE CHANGES(変更の保存)」:クリックすると、変更した内容が保存されます。
- 「Web Application Firewall(Webアプリケーションファイアウォール)」:ファイアウォールが学習中です。
- 「Firewall Rules: Community(ファイアウォールルール:コミュニティ)」:ファイアウォールの基準を学習中です。
- 「Brute Force Protection(ブルートフォース保護)」:ブルートフォースアタック(パスワード総当り攻撃)の設定が完了しています。
- Web Application Firewall Status(Webアプリケーションファイアウォールのステータス):
- 「Enabled and Protecting(ファイアウォールを有効)」:今すぐ保護する場合に、選択します。
- 「Leaning Mode(学習モード)」:記事の投稿などの通常操作を誤検知しないよう、通常は「Leaning Mode」を選択します。
- 「Disabled(無効)」:ファイアウォールを無効化するなら、選択します。
- 「Leaning Mode」を選択し、チェックを入れます。
インストール時から7日間学習し、右側の日付になったら自動的に「Enabled and Protecting」に切り替わります。
学習モード完了日は変更できます。
ファイアウォールの最適化をしてから最初の7日間は「Learning Mode(学習モード)」となり、ファイアウォールが機能していません。
学習モード中は、例えば以下の操作を行い、通常の操作がエラーの原因ではないと学習させ、誤検知を減らします。
- 投稿を書いてプレビュー・公開する
- 子テーマから親テーマへ一時的に切り替え、元に戻す
- 他のテーマに切り替え、元に戻す
- ウィジェットを1つ追加して。削除する
- テストのコメントを書いて、削除する
- プラグインの設定を変更し、元に戻す
- 他のプラグインの機能を使い、元に戻す
学習モード後は、何らかのエラーがあれば学習モードにし、エラーが無くなれば「Enabled and Protecting(ファイアウォールを有効)」にします。
5.Wordfence Securityをアンインストールする方法
通常のプラグインと同じように「プラグインの停止→削除」をすると、Wordfenceのテーブルとデータ、「wordfence-waf.php」ファイルが残ってしまいます。
なので、アンインストール前に、以下3つの操作をします。
- 「Two-Factor Authentication」で、2段階認証を削除する
- 「Delete Wordfence tables and data on deactivation」で、Wordfenceのテーブルとデータを削除する
- 「Protection Level」で、「wordfence-waf.php」ファイルを削除する
この3つの操作をしたら、通常のプラグインと同じように「プラグインの停止→削除」をして良いです。
5-1.2段階認証を削除する
Wordfenceで2段階認証を設定していた場合は、先に2段階認証を削除します。
管理メニュー「Wordfence」>「Login Security」をクリックし、「Two-Factor Authentication」画面にアクセスします。
- 上から2個目「Wordfence 2FA Active」の「DEACTIVATE(非アクティブ化)」をクリックします。すると、「Deactivate 2FA」画面になります。
- 2段階認証を削除して良いか確認されます。「DEACTIVATE(非アクティブ化)」をクリックします。
これで、Wordfenceの2段階認証が削除できました。
5-2.Wordfenceのテーブルとデータを削除する
管理メニュー「Wordfence」>「All Options」をクリックし、「All Options」画面を開きます。
- 1個目「Wordfence Global Options」→3個目「General Wordfence Options」→9個目「Delete Wordfence tables and data on deactivation (非アクティブ時にWordfenceテーブルとデータを削除する)」にチェックを入れます。
- 「SAVE CHANGES(変更の保存)」をクリックします。
チェックを入れた状態でWordfenceプラグインを無効化すると、テーブルとあらゆるデータが消え、初めてWordfenceをインストールした状態に戻ります。
5-3.拡張保護ファイル「wordfence-waf.php」を削除する
5-3-1.拡張保護ファイル「wordfence-waf.php」の削除を開始する
管理メニュー「Wordfence」>「All Options」をクリックし、「All Options」画面を開きます。
- 2個目「Firewall Options」→1個目「Basic Firewall Options」→1個目右「Protection Level(保護レベル)」→「REMOVE EXTENDED PROTECTION(拡張保護を削除)」をクリックします。
5-3-2.2つのファイル「DOWNLOAD .HTACCESS 」「DOWNLOAD .USER.INI」をダウンロードし、拡張保護ファイルを削除する
「All Options」画面で「REMOVE EXTENDED PROTECTION(拡張保護を削除)」をクリックすると、「Uninstall Wordfence Firewall」画面になります。
- 自動的に自分のサーバーの種類になっています。ConoHa WINGなら、「LiteSpeed/lsapi (recommended based on our tests)」を選択します。
- 「DOWNLOAD .HTACCESS 」をクリックし、「htaccess_Backup_for_ドメイン名.txt」ファイルをダウンロードします。
- 「DOWNLOAD .USER.INI」をクリックし、「user.ini_Backup_for_ドメイン名.txt」ファイルをダウンロードします。
- 全て操作したら、「CONTINUE」をクリックします。
5-3-3.拡張保護ファイルの削除を確認する
Uninstall Wordfence Firewall」画面で「CONTINUE」をクリックすると、「Waiting for Changes」画面になります。
「Waiting for Changes」画面で5分程度待つと、「Uninstallation Complete」画面になります。
- 「Uninstallation Complete」画面になったら、「CLOSE」をクリックします。5分程度待ちます。
これで、拡張保護ファイル「wordfence-waf.php」の削除ができました。
5-4.通常通りの方法で、プラグインのアンインストールをする
- 2段階認証を削除する
- Wordfenceのテーブルとデータを削除する
- 「wordfence-waf.php」ファイルを削除する
以上3点の操作をした後は、通常のプラグインのアンインストール操作をしても、Wordfenceのデータが残らなくなります。
6.Wordfenceの厳選した推奨設定
Wordfenceは、設定項目が無数にあります。
ここでは、最小限かつ最適な、Wordfenceの推奨設定を紹介します。
Wordfenceのインストール後は、以下の設定をすればOKです。
全部で14箇所設定します。
全て入力・選択したら、ページ右上「SAVE CHANGES」をクリックし、変更内容を保存します。
- 1個目「Wordfence Global Options」
- 3個目「General Wordfence Options」>1個目「Update Wordfence automatically when a new version is released?」に「チェック」を入れる
- 5個目「Email Alert Preferences」>9個目「Alert me when someone with administrator access signs in」の「チェック」を外す
- 6個目「Activity Report」>1個目「Enable email summary」>「Once a month」を選択する
- 2個目「Firewall Options」
- 3個目「Brute Force Protection」>1個目「Enable brute force protection」>1個目「Lock out after how many login failures」の「10」を選択する
- 3個目「Brute Force Protection」>1個目「Enable brute force protection」>2個目「Lock out after how many forgot password attempts」の「1」を選択する
- 3個目「Brute Force Protection」>1個目「Enable brute force protection」>3個目「Count failures over what time period」の「12 hours」を選択する
- 3個目「Brute Force Protection」>1個目「Enable brute force protection」>6個目「Immediately block the IP of users who try to sign in as these usernames」に「admin」を入力する
- 3個目「Brute Force Protection」>1個目「Enable brute force protection」>7個目「Prevent the use of passwords leaked in data breaches」の「For all users with “publish posts” capability」を選択する
- 3個目「Brute Force Protection」>2個目「Additional Options」>5個目「Block IPs who send POST requests with blank User-Agent and Referer」に「チェック」を入れる
- 4個目「Rate Limiting」>1個目「Enable Rate Limiting and Advanced Blocking」>2個目「If anyone’s requests exceed」の「240 per minute」「throttle it」を選択する
- 4個目「Rate Limiting」>1個目「Enable Rate Limiting and Advanced Blocking」>3個目「If a crawler’s page views exceed」の「240 per minute」「throttle it」を選択する
- 4個目「Rate Limiting」>1個目「Enable Rate Limiting and Advanced Blocking」>5個目「If a human’s page views exceed」の「240 per minute」「throttle it」を選択する
- 5個目「Tool Options」
- 1個目「Live Traffic Options」>6個目「Amount of Live Traffic data to store (number of rows)」を「2000」から「500」に修正する
- 6個目「Tool Options」
- 3個目「Login Security Options」>「LOGIN SECURITY OPTIONS」をクリックしてWordfenceメニュー「Login Security」>→「Settings」に飛び、2段階認証の設定をする
どうしてこの設定にするんだ?と疑問に思う場合、設定方法の詳細を知りたい場合、その他Wordfenceに関しては、以下の記事を参考にしてください。
7.まとめ
Wordfenceのインストール後は、ファイアウォールの最適化をします。
その他の設定は、かなりのボリュームになるので、Wordfenceの詳細記事を参考にしてください。
また、Wordfenceをアンインストールする際は、Wordfenceのデータ削除を行うのを忘れずに。