悩んでる人Wordfence Securityの使い方を教えて・・
ヒデハルこういった疑問に答えます。
あなたのWordPressサイト、実は知らないうちに危険にさらされているかもしれません。
サイバー攻撃や不正アクセスは年々巧妙になり、セキュリティ対策はもはや「いつか必要」ではなく「今すぐ必要」な時代です。
「でも専門知識がないし、何から始めればいいの・・?」
そんな不安を抱えるあなたにぴったりなのが、WordPressプラグインのWordfence Securityです。
この記事では、Wordfenceのインストール方法から設定手順、無料版と有料版の違い、万が一のトラブル対応まで、徹底的にわかりやすく解説します。
この記事を読み終えれば、あなたのWordPressサイトが安全で安定した環境へと生まれ変わります。
ぜひ最後まで読み進めて、今日から安心な運営を始めましょう!
Wordfence Securityとは何か
Wordfence Securityとは何かを解説します。
- Wordfence Securityとは?
- SWELL開発者も推奨しているプラグイン
- 無料版と有料版の違いとは(リアルタイムIPブロック、脆弱性スキャンなど)
Wordfence Securityとは?
Wordfence Securityとは、Defiant社が開発したWordPress専用のセキュリティプラグインで、世界中で500万以上のサイトに導入されています。
このプラグインの最大の特徴は、多層的な防御機能を1つのパッケージで提供している点です。
- アプリケーションファイアウォール(WAF)
- マルウェアスキャン
- ログイン試行の監視
- ブルートフォース攻撃の防御
- 2段階認証(2FA)
- reCAPTCHAの導入など
初心者でも使いやすいインターフェースが用意されており、導入直後から基本的なセキュリティ対策を簡単に実現できます。
さらに、サーバー側にインストールされる「エンドポイント型WAF」であることも特徴のひとつです。
これはクラウド型WAFとは異なり、自サイトのサーバー上で直接攻撃をブロックする仕組みです。そのため、攻撃の検出と対応が迅速に行われ、誤検知も少ないと評価されています。
総じてWordfenceは、初心者から上級者まで幅広いユーザーに支持される、非常にバランスの取れたセキュリティプラグインです。
SWELL開発者も推奨しているプラグイン
本サイトで利用しているWordPressテーマはSWELL。
そのSWELLの開発者も、セキュリティプラグインとして、このWordfence Securityをおすすめしています。
>>推奨プラグインと非推奨・不要・注意すべきプラグインについて
無料版と有料版の違いとは(リアルタイムIPブロック、脆弱性スキャンなど)
Wordfence Securityには無料版と有料版があり、それぞれ提供される機能に大きな違いがあります。
まず無料版でも、WAF、マルウェアスキャン、ログインセキュリティなど多くの基本機能を備えています。
ただし、マルウェア定義ファイルやファイアウォールルールの更新には30日程度の遅延があります。これは一般ユーザーでも使いやすいように配慮されている一方、最新の脅威に即座に対応するにはやや不利です。
一方、有料版(プレミアム)では、ファイアウォールやマルウェアスキャナの定義ファイルがリアルタイムで更新されます。さらに、リアルタイムIPブロックリスト機能により、既知の攻撃元IPを自動的に遮断できます。
これに加え、国別IPブロック、高度なレート制限、カスタムブロックルール、プレミアムサポートも提供され、企業サイトや大規模サイトには特に有効です。
つまり、個人ブログなら無料版でも十分ですが、ビジネス用途や高トラフィックサイトでは有料版の即応性が大きな安心材料となります。
Wordfence Security のインストール方法
Wordfence Security のインストール方法を解説します。
有効化すると、すぐに以下の「Wordfenceライセンス取得」画面が表示されます。
以上で、Wordfence Security のインストールは完了。
Wordfence Security の無料ライセンス取得方法
続いて、無料ライセンスの取得方法を解説します。
Wordfenceの公式サイトに遷移するので、「Get a Free License」をクリックします。
「Are you sure you want delayed protection?」というポップアップが表示されるので、ボタン下にある「I’m OK waiting 30 days for protection from new threats.」をクリックします。
「Get Wordfense Free」という画面が表示されるので必要事項の入力とチェックをし、「Register」をクリックします。
- Email:メールアドレスを入力(ライセンスキーを受け取るためのメールアドレス)
- Would you like WordPress security and vulnerability alerts sent to you via email?:メールでレポートを受け取るかどうか→Yesを選ぶ
- 利用規約の同意にチェック
登録のメールアドレスにライセンスキーが送信されるので、メールを確認します。
メールフォルダを確認すると以下のようなWordfenceからのメールが届いています。
このメール本文内に「Install My License Automatically」と書かれたボタンがあるのでクリックします。
ボタンをクリックするとライセンスキーが自動インストールされます。
ワードプレスの管理画面に遷移し「Wordfence のインストール」画面が開くので、「ライセンスインストール」ボタンをクリックします。
「無償ライセンスインストール済み」と表示されます。これで無料ライセンス登録が完了です。
サブドメインにWordfence Securityを導入する場合
上記の手順でWordfence Securityの無料ライセンスを一度取得した後、サブドメインに対してWordfence Securityを導入する際の手順を解説します。
サブドメインに対してWordfence Securityを導入する手順
サブドメインに対しても、前述の手順でWordfence Securityのプラグインをインストールして、有効化します。
以下の画面で、「既存のライセンスをインストール」をクリックします。
ライセンスキーには、前述の手順で取得済みのライセンスキーをコピペして、「ライセンスインストール」をクリックします。
すると以下の画面になります。
Wordfence Security の初期設定方法
続いては、初期設定方法を見てきましょう。
Wordfence Securityのダッシュボードを開いた時に以下のようなガイドが表示されます。このガイドは、「次」をクリックして進めます。
Wordfence Securityのファイアウォール最適化方法
まずは、ファイアウォールの設定から。
ファイアウォール(WAF)は、Wordfenceの中核機能であり最初に設定すべき項目です。
WAFは、悪意あるリクエストをサーバーに到達する前にブロックします。
Wordfence Securityのプラグインを入れると上部にこのような表示が出てきますので「設定するにはここをクリック」をクリックします。
以下のようなポップアップが開くので、「.HTACCESSをダウンロード」をクリックします。
※.HTACCSESSファイルのバックアップがPCにダウンロードされます。
「.HTACCESSをダウンロード」が完了したら「次へ」をクリックします。
インストール成功という画面が表示されます。
以上で、ファイアウォール最適化設定が完了です。
ファイアウォールの「ラーニングモード(学習モード)」
Wordfence Securityプラグインを初めて導入したとき、ファイアウォールは最適化のためにラーニングモード(学習モード)に入ります。
ラーニングモード(学習モード)というのは、数日間のサイト利用状況を観察しつつ、自動的にセキュリティルールを最適化する機能です。これにより誤検知を減らしつつ、効果的に保護を始められます。
インストールしてから1週間が学習モード期間として設定されています。
Wordfence Securityの使い方
Wordfence Securityでやっておきたいセキュリティ対策は以下の3つ。
- ブルートフォース保護設定
- reCAPTCHAの設置
- 2段階認証の設定
ブルートフォース保護設定
ブルートフォースとは、総当たり攻撃とも呼ばれ、考えられるすべての組み合わせを順番に試してパスワードや暗号を突破しようとする攻撃手法です。
たとえば、パスワードが「123456」なら、攻撃者は「000001」から順番に試していき、正解にたどり着くまで繰り返します。パスワードが短かったり、単純な文字列だったりすると短時間で突破されやすくなります。
ブルートフォース攻撃は自動プログラムを使って大量の試行を行うため、ログインページや認証システムが標的になります。
これを防ぐには、強力なパスワード設定に加え、Wordfenceのようなセキュリティプラグインで試行回数制限を設けたり、2段階認証を導入するのが効果的です。
ブルートフォース保護は、ログイン試行による攻撃を防ぐ重要な機能というわけです。
WordPressの管理画面の左のメニュー「Wordfence」>「すべてのオプション」をクリックします。
「ファイアウォール設定」>「ブルートフォース保護」を開きます。
ブルートフォース保護を有効化がONになっているのを確認します。
ログインに失敗した時の設定を行います。
以下は私の設定。デフォルト設定に対して、セキュリティを強めに変更してます。参考にどうぞ。
下に進み、「無効なユーザー名を即座にロックアウトする」にチェックを入れ、その下にある「即座にブロックするユーザー名」を入力します。
「情報漏えいで流出したパスワードの使用防止」のチェックはあり、「管理者のみ」にします。(デフォルトのままでOK)
追加オプションの設定はデフォルトのままでOKです。
以上が、ブルートフォース保護設定です。
補足:WordPressのパスワードを強くしよう
前述のとおり、ブルートフォース攻撃を防ぐためには、まず「強力なパスワード設定」が基本となります。
短く単純なパスワードは、攻撃プログラムが短時間で突破してしまいます。安全なパスワードを作成するには、英大文字・小文字・数字・記号を組み合わせ、12文字以上の長さに設定するのが理想的です。
たとえば「Password123!」のような予測しやすい単語は避け、意味のない文字列を用いるのが効果的です。
さらに、同じパスワードを複数のサイトで使い回さず、管理ツールを利用して各アカウントごとに固有のパスワードを設定しましょう。こうした工夫を取り入れるだけで、ブルートフォース攻撃のリスクは大きく下げられます。
パスワード管理にお悩みの方へ
とはいえ、「難しいパスワードだと忘れちゃう・・」とお悩みの方には、1Password(ワン・パスワード)がおすすめです。
1Password(ワン・パスワード)は、パスワード管理ツールの一つで、さまざまなウェブサイトやアプリケーションのログイン情報を安全に保存・管理できます。
ヒデハル私も使ってます。超便利!
「1Password」はソースネクスト経由だと公式サイトよりお得に申し込みできます。詳しくは以下の記事を参考にどうぞ。
ログインセキュリティの設定>reCAPTCHAを設置
reCAPTCHAはGoogleが提供しているスパム対策ができる無料セキュリティサービスで、不正ログイン試行やスパムボットへの有効な対策手段です。
Wordfenceには、そのreCAPTCHAの機能がついています。
- reCAPTCHAのサイトキーとシークレットキーを取得
- WordPressでreCAPTCHAの設定
順にみていきましょう。
ステップ1:reCAPTCHAのサイトキーとシークレットキーを取得
まずは、reCAPTCHA の設定に必要なreCAPTCHA V3のサイトキーとシークレットキーを取得します。
「新しいサイトを登録する」のページが開いたら、上から必要事項を入力します。
- ラベル:ご自身のブログURLまたはブログ名を入力
- reCAPTCHAタイプ:reCAPTCHA v3を選択。
- ドメイン:ご自身のブログのドメインを入力
サイトキーとシークレットキーが表示されますので、このキーは後から必要なので、メモしておきます。
ステップ2:WordPressでreCAPTCHAの設定
続いて、WordPressでreCAPTCHAの設定をします。
さきほど取得したサイトキーとシークレットキーをコピペします。
設置が完了したら、ページ上部の「保存」をクリックします。
以上で、reCAPTCHAの設置は完了です。
reCAPTCHAが設定できているかの確認
ログイン画面を開いた時に右下に、以下のようなリサイクルマークみたいなロゴが入っていたら、正しく設置できてるってこと。
また、reCAPTCHA管理画面でもステータスを確認できるので、参考までに紹介します。
画面中段にある以下の画面でステータスが「保護」になっていればOK。
2段階認証の設定
2段階認証(MFA)は、あなたの管理者ログインをさらに強固にする重要なセキュリティ対策です。
たとえば、パスワードが漏洩しても、一時的に生成される6桁コードがないとログインできないため、攻撃者の侵入を大きく防ぐ役割を果たします。
2段階認証の設定は、ダッシュボードのメニュー「Wordfence」>「ログインセキュリティ」をクリックして行います。
あとは、スマホ認証アプリ(例:Google Authenticator)との連携を設定します。
・・・と、ここまで2段階認証を勧めておいてなんですが、私自身は2段階認証は設定していません。
WordPressにログインするたびに、スマホを取り出して2段階認証するのって、さすがに面倒すぎるから。汗
とはいえ、セキュリティ的にはやったほうがいいのは言うまでもないので、各自ご判断ください。
Wordfence Securityからのメール通知設定
Wordfence Securityを入れると、ハッキングなどの攻撃を感知した際にメールで通知をしてくれます。
WordPressを立ち上げたばかりの時はそこまでたくさんのメールは飛んでこないでしょうが、アクセス数が増えるとメール通知が多くなります。
そんな時には、通知メールの設定から重要ではないメール通知をオフするといいですよ。
展開すると以下のような通知メールの設定が表示されます。
上記のメール設定でも問題はないですが、メールが多い場合はいくつかチェックを外してOKです。
以下の設定を参考にどうぞ。
青枠の「ブロックされた・ロックアウトされた通知」は外しても問題ないです。ガードした通知なので。
赤枠の2つはチェックを入れておきましょう。念のため。
チェックを外したり増やしたりした場合、右上にある「変更を保存」をクリックします。
以上が、Wordfence Securityからのメール通知が多すぎるときの対処法です。
無効化・ファイヤーウォールの停止方法
無効化・ファイアウォールの停止方法を解説します。
- 特定機能の無効化(例:WAF、スキャン)
- 全体機能を無効化する方法
特定機能の無効化(例:WAF、スキャン)
Wordfenceでは、必要に応じて個別機能の無効化が可能です。
例えば、テーマやプラグインの互換性確認のために、一時的にWAFやスキャン機能を停止したい場合があります。
Wordfence設定画面の「ファイアウォール」設定で、「学習モード」や「無効」を選択すると、無効化できます。
また、「スキャン」設定内で自動スキャンや特定項目(ファイル完全一致、ディープスキャンなど)をオフにできます。
たとえば、新しいプラグインを試す前にスキャンを一時無効化すれば、誤検知によるインストール障害を減らせます。
ただし、無効化したまま運用を続けると、検知漏れや攻撃が外部要因で見落とされるリスクがあるため、使用後は元の設定に戻すことが重要です。
全体機能を無効化する方法
Wordfence全体を無効化する場合は注意が必要です。
管理画面から「プラグイン > インストール済みプラグイン」でWordfenceを「無効化」することで、すべての機能がオフになります。
Wordfenceを完全解除したい場合は、「削除」ボタンをクリックしてください。
ただし、この操作でファイアウォールやスキャン履歴、設定値も削除されるため、設定内容などをバックアップファイル化しておくことをおすすめします。
たとえば、一時的にサイトの調査や検証環境への移行が必要な場合に、再インストール時の手間を省けます。
全機能を停止する際は必ず「バックアップ→停止→必要時は復元」の手順を踏み、セキュリティ運用に支障が出ないよう注意してください。
Wordfence Securityの有料版で使える高度な機能
有料版(プレミアム)の高度な機能を解説します。
- リアルタイムIPブラックリストとは
- 国別IPブロックの使い方
- 高度なレート制限とカスタムブロック機能
- 有料版の料金とアップグレード方法
リアルタイムIPブラックリストとは
リアルタイムIPブラックリストは、有料版限定の強力な防御機能です。
この機能では、Wordfenceチームが収集する最新の攻撃IPリストを即座に利用できるため、既知の攻撃元からのアクセスをリアルタイムで自動ブロックします。無料版ではこれらの更新が30日遅延する一方で、有料版では遅延なく即時反映されます。
たとえば、世界中で新たに確認されたBotネットワークのIPアドレスがリストに追加されると、あなたのサイトでも瞬時に遮断されます。これにより攻撃を未然に防ぎ、サーバーへの負荷も軽減できます。
特にアクセス数の多いサイトや企業サイトには、この即応性の高さが非常に価値あります。
国別IPブロックの使い方
国別IPブロックは、指定した国や地域からのアクセスを制限できる優れた機能です。
Premium版の「Firewall > Blocking」メニューで、特定国からのトラフィックを一括でブロックできます。たとえば、海外からの悪意ある試行が頻発する場合、その国へのアクセスを制限するだけで負荷とリスクを大幅軽減できます。
ただし、旅行者や正規の多言語ユーザーへの配慮も必要です。BLOCKルール適用前には、サイトのアクセス解析やターゲットユーザーを必ず確認してください。
高度なレート制限とカスタムブロック機能
高度なレート制限やカスタムブロックルールにより、トラフィック制御が細やかに行えます。
有料版の「Firewall > Rate Limiting」では、特定のページ(wp-login.phpなど)へのアクセス回数を制限できます。たとえば、1分間に30回以上のリクエストがあったIPを自動遮断する設定が可能です。
また、「Blocking > Advanced」から、URIパターンやUser-Agentによるブロック設定もできます。たとえば、管理画面ログイン試行に対して厳密な制限を設けることで、不正アクセスやリソース枯渇を予防できます。
これら機能は、特にDDoS攻撃やボット対策に有効で、高トラフィック環境で大きな安心感をもたらします。
有料版の料金とアップグレード方法
年額149ドルです。
有料版にアップグレードするには、Wordfence Securityのダッシュボードで、「プレミアムへアップグレード」をクリックして手続きをします。
トラブルシューティング:よくある問題と対処法
トラブルシューティングについて解説します。
- 誤検知でアクセスができないときの対策
- 管理者ログインできなくなった場合
- WAFの学習モードをリセットする方法
誤検知でアクセスができないときの対策
誤検知でアクセスできなくなるのは、Web改修中や外部ツール連携時によく起こります。
Wordfenceダッシュボードの「Live Traffic」タブでリアルタイムログを確認し、問題を引き起こしているルールやIPを特定します。その後、該当ルールを無効化またはIPをホワイトリストに追加できます。
たとえば、新しいテーマのテスト中にファイル変更スキャンが誤検出した場合、特定ファイルやディレクトリ単位で除外設定することで、正しいアクセスを妨げずに運用しやすくなります。
定期的なログチェックを習慣づければ、運用中の誤検知を早期に発見し、スムーズな修正が可能になります。
管理者ログインできなくなった場合
管理者がログインできなくなるのは、2FAやファイアウォール設定のミスでよく発生します。
その場合、FTPやサーバーのファイルマネージャから wp-content/plugins/wordfence/wordfence.php をリネームして無効化し、WP管理画面へのアクセスを回復します。ログイン後、問題箇所(2FAやIP制限)を見直して再度リネームを戻しましょう。
たとえば、リモートワーク中で2FAをセットアップしていたスマホを手元に持っていなかった場合でも、ファイル名変更で素早く復旧可能です。
万が一に備え、事前に入れておくと安心な対策は「管理者複数登録」と「リカバリーモードの準備」です。
WAFの学習モードをリセットする方法
WAF学習モードのリセットによって、Wordfenceが新たに環境を追いかけるようにできます。
「Wordfence > ファイアウォール > Learning Mode」から「Reset Learning Mode」を選ぶと、学習履歴と最適化されたルールがリセットされ、再び数日間の観察と学習が始まります。
たとえば、大規模リニューアル後でURL構成やフォーム動作が大きく変わった場合、古いルールのままだと誤検知が増えることがあります。この場合にリセットは有効です。
ただし、リセット直後はログが増加するため、頻繁なログチェックと除外ルール調整が求められます。
セキュリティ運用のポイント
セキュリティ運用のポイントを解説します。
- ログインパスワードの強化
- 定期的なスキャンとログ確認の重要性
- ホワイトリストとIP管理のベストプラクティス
- 設定変更/無効化時のリスク管理
ログインパスワードの強化
セキュリティを高めるにはまず、WordPressのログインパスワードの強化を高めることが基本です。
短く単純なパスワードは、攻撃プログラムが短時間で突破してしまいます。安全なパスワードを作成するには、英大文字・小文字・数字・記号を組み合わせ、12文字以上の長さに設定するのが理想的です。
さらに、同じパスワードを複数のサイトで使い回さず、各アカウントごとに固有のパスワードを設定しましょう。
とはいえ、「難しいパスワードだと忘れちゃう・・」と不安なら、1Password(ワン・パスワード)がおすすめ!
1Password(ワン・パスワード)は、パスワード管理ツールの一つで、さまざまなウェブサイトやアプリケーションのログイン情報を安全に保存・管理できます。
「1Password」はソースネクスト経由だと公式サイトよりお得に申し込みできますよ。詳しくは以下の記事を参考にどうぞ。
定期的なスキャンとログ確認の重要性
定期的なスキャンとログ確認は、継続的なセキュリティ維持に欠かせない習慣です。
Wordfenceのスキャン機能では、ファイル改ざんや脆弱性、未更新のプラグインなどを検出できます。日時ごとにスキャン履歴をチェックし、警告が出たらすぐに対処しましょう。
たとえば、ある日「重要な更新が必要」の通知が届いた場合、即座にプラグインやテーマを最新バージョンに更新することで、攻撃リスクを未然に回避できます。
また、ログ(Live TrafficやLogin Attempts)はアクセス傾向を把握し、怪しい挙動を早期発見するための重要な情報源です。
ホワイトリストとIP管理のベストプラクティス
ホワイトリスト登録とIP管理は、セキュリティを保ちつつ利便性を維持するために必要です。
重要なのは、登録したIPを定期的に見直し、不要なものは削除するルールを決めておくことです。固定IPがある場合は管理者用としてホワイト登録し、その履歴を記録することで、セキュリティ運用がより明確になります。
たとえば、社内ネットワークのIPが変更されたときにはすぐ更新し、旧IPは削除。ログイン障害や誤ブロックのリスクを軽減できます。
IP管理の透明性を維持するため、変更履歴はExcelや管理ツールに記録し、定期的にレビューしましょう。
設定変更/無効化時のリスク管理
設定変更や無効化をする際には、影響範囲を考慮しつつリスク管理を徹底してください。
たとえば、新機能のテスト時にはステージング環境で事前チェックを行い、本番環境ではバックアップ取得を実施しましょう。変更内容と実行日時、担当者を記録することで、トラブル発生時に迅速に戻せます。
また、無効化設定をした場合は、「いつどの機能を戻すか」までセットで運用スケジュールに記載しておくと安全性が高まります。
こうした管理ルールが「セキュリティ運用の継続性」と「事故防止」を両立する鍵になります。
まとめ|Wordfence Security使い方をマスターする心得
- Wordfenceは無料でもWAF・スキャン・ログ保護が揃い、多層防御が実現できます
- 有料版ならリアルタイムIPブロックや国別制限、レート制限など高度機能が利用可能です
- トラブル時にはログ確認や学習モードリセット、FTPでの一時無効化などで迅速復旧できます
- 運用中は定期スキャン・ログ確認、IPホワイトリスト管理、設定変更時のバックアップ運用が重要です
WordPressは、人気のあるブログ作成ツールなだけあって、ハッキングにあいやすいというデメリットがあります。
しかし、セキュリティ対策プラグイン「Wordfence Security」を使えば、しっかりワードプレスを守れます。
Wordfence Securityにはたくさんのセキュリティ対策があるので、これだけ入れれば他のセキュリティプラグインは不要です。
この記事を参考に、Wordfence Securityの設定を行い、WordPressを安全に運用しましょう!
セキュリティ対策プラグインの他に、WordPressのログインパスワードは複雑なものにしておくとより強くなりますよ。
WordPressのパスワード管理は「1Password」がおすすめです。
Wordfence Security以外のおすすめプラグインは以下を参考にどうぞ。
