このコンテンツでは、2段階認証などの高度なセキュリティ対策によりブルートフォースアタックなどの不正ログインを防止するプラグイン「Wordfence Security」の概要と、導入のメリットを解説します。
これらの対策は無料で利用出来るので、初期(サイト立ち上げ)段階からの導入が望ましいです。
Wordfenceを導入すべき理由
Wordfenceを導入すべき理由は、サイトを不正アクセスから守るため。この1点に尽きます。
WordPressサイトのセキュリティを高めるためには、いくつかの対策を取る必要があります。その中でも、部外者のログインを防止するのは重要な施策です。
ホスティングサービス(レンタルサーバー)各社もセキュリティ対策を準備しているので、それで十分だと思うかもしれません。以前の私もそう思っていました。
しかし、ホスティングサービスが提供しているセキュリティ対策を「ON」にしているにもかかわらず、私の運営サイトは毎月部外者からログインを試みられています。
ここから分かる問題点は、下記2点です。
- 不正アクセスは、サイトの規模やアクセスの多寡に関係なく発生している
- ホスティングのセキュリティ対策だけで全ての不正アクセスを防止できるとは限らない
問題を解決するには、+αの不正アクセス防止策を取る必要があります。
ただ、有名なセキュリティサービス/ツールはほぼ有料。かつ、結構なコストがかかります。ビジネスの状況や投資コストの優先順位によっては、手が出せないこともあるでしょう。
そんな時に検討してみて欲しいWordPressプラグインが「Wordfence Security(以下、Wordfence と表記)」です。
Wordfenceの概要と導入時のメリット
Wordfenceとは、アメリカのDefiant Inc.が提供しているWordPressセキュリティプラグイン。有効インストール数は400万を超える人気プラグインで、基本部分は無料で利用出来ます。
有料版では、より高度な対策をリアルタイムで導入出来ます。無料版を使ってみて気に入ったなら、検討してみればいいでしょう。
Wordfence導入により得られるメリット
Wordfence無料版の導入により、下記の対策が有効化されます。
- WAF(Web Application Firewall)
- ブルートフォースプロテクション
- スキャン
- 2段階認証
これらの対策を無料で行うことが出来るのですが、中でも注目すべきは、2段階認証。
2段階認証とは、「ログイン画面で正しいID/PWを入力後、所定の文字/数字を制限時間内に追加入力して初めてログイン可能になる」というもの。
無料版でこの機能が使えるというのは、かなり強力なメリットと言えます。
Wordfenceのイマイチな点/デメリット
Wordfenceは優れたプラグインですが、当然のことながら万能ではありません。また、外国製プラグインのため下記の点については不満が出るかもしれません。導入するなら、下記事項について留意する必要があります。
- クラウド型ではないので、DDOS攻撃には弱いとされる。
- 無料版の場合、最新のファイアウォール/マルウェアのパターンが適用されるのは30日後。つまり、対応が間に合わない可能性もあり得る。
- 設定項目をはじめ、マニュアル等の資料、情報は基本英語となる。
- 無料版に関する問い合わせは、WordPress.org上のサポートフォーラムのみ。
特に注意が必要なのは上記1と2です。これらの問題を解消するには、他のサービスとの組み合わせや有料版へのアップグレードが必要になります。
Wordfenceの使い方(インストール/設定)
Wordfenceの使い方については下記をご覧下さい。なお、理由は後述しますが個々の設定項目については詳解しません。
プラグインのインストール/有効化
無料版:WordPressリポジトリからダウンロードすればOK。
有料版:Wordfence公式サイト(https://www.wordfence.com)で購入処理を行って下さい。
※【注記】「プラグインの設定方法が分からない/忘れた」という場合は、下記コンテンツを参照しながら作業を行って下さい。動画/テキストいずれかお好きな方で閲覧可能です。
WordPressプラグイン インストール手順:DIY WordPress Site
プラグインの設定
率直に言って、Worfenceの設定項目は多い部類に入ります。そして全て英文表記のため圧倒されるかもしれません。でも、我慢が必要なのは初期設定時だけです。何故なら、 Wordfenceは有効化した時点でいわゆる「推奨設定」になっているからです。あなたが全ての項目を1つ1つ設定する必要はありません。
ここでは、あなた自身で設定が必要な項目を列挙しておきます。これらはWordfenceを有効に機能させる上で重要なポイントとなりますので、しっかりと設定を行って下さい。
- 真っ先にWAF最適化を行う。導入サイトにサブドメイン/サブディレクトリがある場合は、エラーが出やすいので注意※
- ブルートフォースプロテクションは、デフォルトより厳しく設定する。
- 2段階認証は、デフォルトでは「OFF」。使うには、「Login Security Settings」で設定が必要。
※【注記】エラーの詳細と対処については、こちらをご覧下さい。
WORDFENCE WAFトラブル対応履歴(202112):DIY WordPress Site
Wordfenceを導入して得られたメリット(レビュー)
STRATEGY SUPPLIERでは2021年6月からWordfenceの導入を開始し、現在全ての運営サイトにWordfenceを導入しています。導入してみて体感出来た変化とメリットをご紹介します。
Wordfence導入後に起こった変化
- 不正アクセスを防止してくれる。
- WordPress本体、テーマ、プラグイン等の更新通知を発報してくれる。
- 定期的にスキャンを行い、懸念事項があればアラートを発報してくれる。
その結果得たメリット
- アラートや定期的なレポートにより、セキュリティ意識が向上する。
- 更新漏れが激減。少なくとも、放置はなくなる。
- メールチェックだけで今以上にサイトの状態を把握出来る。
Wordfenceを導入すると、不正アクセス、更新通知、スキャン時のアラート、ログイン通知など、最初はうるさいと思うくらい頻繁にメールが届くようになります。
通知が来ないように設定することも可能ですが、WordPressサイトのセキュリティインシデントの大半は、プラグインやテーマの更新漏れが原因だというデータが山のように存在します。
なので、通知はONを推奨します。通知が来たら即チェック/対処する癖をつけておけば、セキュリティリスクを低減出来るからです。
次のステップ
Wordfence無料版の導入後にやるべきことは、Wordfenceが弱い部分の補強です。サイトの成果(アクセスやコンバージョン)と予算とを見比べながら、下記項目を検討/実行していきましょう。
- 有料版へのアップグレード
- 他製品との組み合わせ(Cloudflare等)
- 他製品への乗り換え(Sucuri等)
まとめ
Wordfenceは、無料でセキュリティレベルを数段上のレベルに引き上げることが出来る優れたプラグインです。
まずは基礎的なセキュリティレベルを上げ、リスクを低減しましょう。
なお、WordfenceはDDOS攻撃には弱いとされていますが、Cloudflareと併用することでその弱点をカバー出来るという情報もあります。今後、更なる情報収集と検証を行う予定なので、結果がまとまり次第アップする予定です。
集客やセールスのスピードを上げたい。精度を上げたい…とお考えなら、出来ることは自分でやるのが一番です。 全てが難しい訳ではありません。あなた自身でやれることは、想像以上に多いものです。
当サイトのコンテンツは、あなた自身が出来る内容にフォーカスしています。 これらを活用して、売れるウェブサイトを作り上げて下さい。
もし、「そう言われても、本当に自分でやれるの?」と感じているのなら…STRATEGY SUPPLIERが運営する「Output STUDIO」に参加して下さい。 「Output STUDIO」は売れるサイトを作り、育てていくための訓練場であり、コミュニティです。
但し、マンツーマンレッスン主体の会員制サービスのため、いつでも参加出来る訳ではありません。興味をお持ちなら、下のボタンをクリックして詳細をご確認下さい。
