Wordfence Securityは、高度なセキュリテイ対策のWordPressプラグインです。脆弱性スキャン、ファイアウォール、リアルタイム・トラフィック解析、IPブロック機能など、セキュリテイ対策関連の機能が満載です。
難点としては、Wordfence Securityの管理画面は、全て英語表記です。
一部機能が有料版で提供されていますが、無料版のみでも非常に高機能です。尚、画面に文字しか表示されないページは、有料版で提供される機能です。
追記
プラグインのアップデートに伴い、プラグインの管理画面のデザインや仕様が変わっています。下記画像は以前のバージョンの画面です。
はじめに
WordPressのセキュリテイ対策の重要性
WordPressは、日本でも海外でも非常に人気のあるコンテンツ管理システム(CMS)です。利用者が非常に多いので、それを悪用しようとする悪者も非常に多いです。
それらの殆どが海外からの不正利用です。脆弱性をスキャンし、何かセキュリティ的な弱点を発見したら、それを利用してWebページを改ざんしたり、WordPressを乗っ取ったりすることがあります。
WordPressをセキュリティ対策を何もとらずに利用していると、様々な危険に晒されたままの状態になり、非常に危険です。この記事を参考にして、WordPressのセキュリテイを向上させましょう。
このプラグインで利用できるセキュリテイ対策
- WordPressの脆弱性スキャン。
- WordPressでファイアウォール機能を利用できる。
- リアルタイム・トラフィック解析で、アクセスしてきた人間やBOTを監視できる。
- IPブロック機能で、指定したIPアドレスと接続元ネットワークからの接続を拒否できる。
インストール方法
- WordPress管理画面 > プラグイン > 新規追加 >「Wordfence Security」で検索
- WordPress.org からダウンロード
管理画面の設定
Wordfence Securityのオプション(Options)は、初期設定のままで利用できます。無料版のAPIキーも自動で発行されるので手間はかかりません。
管理画面の場所
Wordfence Securityの管理画面は、第一階層にあります。各画面の役割は下記の通りです。ちなみに、画面に文字しか表示されないページは、有料版で提供される機能です。
脆弱性スキャン(Scan)
画面の上部に表示されている「Start a Wordfence Scan」をクリックすると、Webサイト全体に隠れている脆弱性をスキャンできます。
脆弱性が発見された時の表示例
あなたのWordPressに何か脆弱性が発見されたら下記の様に表示されます。解決できるものは解決した方が良いですが、中には解決困難なものも表示されます。その際は、常に無視する(Always ignore this file)を選択することもできます。
リアルタイム解析(Live Traffic)
Webサイトの訪問者をリアルタイム解析できます。検索エンジンのクローラーや人間の訪問者などをリアルタイムに確認できます。尚、このリアルタイム解析機能は、あくまでも悪意のあるユーザーを探すための補助的に使用する機能です。アクセス解析を目的とした機能ではありません。
IPアドレスのブロック設定(Blocked IPs)
下記はスパムコメント投稿者のIPアドレスをブロックした例です。IPアドレスごとに何回ブロックしたかも確認できます。
オプション設定(Options)
Wordfence Securityのオプション(Options)は、初期設定のままで利用できます。管理画面の説明は省略します。
スパムコメントをブロックする方法
Wordfence Securityを利用し、迷惑なスパムコメントをブロックする方法を紹介します。
簡単に説明すると、Akismetでフィルタリングしたスパムコメントの接続元IPアドレスを、IPブロック機能(Blocked IPs)を利用して拒否することができます。この機能を利用することで、さらにスパムコメントを減らすことができます。
利用するプラグイン
- Akismet(コメントのフィルタリング)
- SI CAPTCHA Anti-Spam(コメント投稿認証)
- Wordfence Security(スパムコメントのブロック)
スパムコメント投稿者をブロックする手順
STEP1. Akismetを利用してフィルタリングされたコメントを表示する。
STEP2. スパムコメント投稿者の接続元IPアドレスをコピーする。
STEP3. スパムコメント投稿者の接続元IPアドレスをBlocked IPsに登録する。
STEP4. ブロックしたIPアドレス一覧を確認する。
この画面で接続元の国や何回ブロックしたか等の情報が分かります。
STEP5. 新たなスパムコメントが投稿されたら、何度かこのブロック登録を繰り返す。
新たなスパムコメントが投稿されたら、何度かこのブロック登録を繰り返しましょう。そうすることで、同じ接続元からのスパムコメントを拒否することができます。
そして、定期的に登録しているIPアドレスのブロック回数を確認しましょう。ブロックが成功しているもののみ残し、ブロックできていないIPアドレスは、定期的に手動で削除しましょう。
スパムコメントの投稿者は、宣伝やフィッシングを目的に、専用のツールを利用して半自動的にスパムコメントを投稿する場合が多いです。特に外国のレンタルサーバーを経由して投稿される場合が多く、そのIPアドレスをブロックすることで、スパムコメントの投稿をブロックできます。
まとめ
Wordfence Securityの脆弱性スキャン、ファイアウォール機能、IPブロック機能を活用することで、WordPressのセキュリテイをさらに向上させることができます。
セキュリテイ対策に完璧はありません。常にイタチごっこみたいになりますが、やらないよりはやった方が絶対に良いです。
尚、このプラグインを利用する際は、他のセキュリテイ対策のプラグイン(全体的に影響を与える処理を行うプラグイン)は、プラグインの処理がぶつかる恐れがあるので利用しない方が良いです。