
WordPressは、世界中のWebサイトで最も使用されているコンテンツですが、その人気のためにハッカーによる攻撃の目標にもなりやすいです。このため、セキュリティを強化することは非常に重要です。本記事では、WordPress初心者でも簡単にできるセキュリティ対策と、「Wordfence Security」プラグインのインストールから設定までを解説します。
セキュリティとは?WordPressに必要なの?
セキュリティとは、あなたのWebサイトやそのデータを不正アクセスや攻撃から守る仕組みや対策のことを指します。インターネット上では、ハッカーやボットが弱点を探し出して攻撃を試みることが日常的に行われています。
なぜWordPressにセキュリティが必要なのか?
- WordPressは多くのユーザーに利用されているため、攻撃対象として狙われやすいです。
- 攻撃を受けると、Webサイトの内容が改ざんされたり、ユーザーの個人情報が漏洩したりする可能性があります。
- セキュリティ対策を行うことで、こうしたリスクを大幅に減らし、サイト運営を安心して続けられます。
初心者でも、いくつかの基本的な対策を実践するだけで、サイトの安全性を大きく向上させることができます。
アップデートとセキュリティの重要性
- ソフトウェアを常に最新に保つ
- WordPress本体、テーマ、プラグインを定期的に更新することで、既知の脆弱性を修正できます。
- 更新は、ダッシュボードの「更新」セクションから簡単に行えます。
- 安全なログイン情報を使う
- 強力なパスワードを設定し、他のサービスと同じパスワードを使わないようにしましょう。
- 二段階認証を導入することで、さらに安全性を高められます。
- セキュリティプラグインを活用する
Wordfence Securityなどのプラグインを利用すると、攻撃を防止し、マルウェアの検出や除去ができます。 - Google reCAPTCHAの導入
Googleが提供するGoogle reCAPTCHAを導入しbot(自動プログラム)の不審な動きを検知します。 - サーバーのセキュリティ対策
サーバーは2段階認証の設定や、パスワードを強固なものにしましょう。 - WordPressのバックアップ
サーバー側でバックアップや、プラグインを利用した自動バックアップも忘れずに取っておきましょう。
Wordfence Securityとは?
「Wordfence Security」は、WordPressサイト向けの人気セキュリティプラグインです。このプラグインは、サイトを不正アクセスやマルウェアから守るための多機能なツールを提供します。
Wordfenceを使用することで、WordPressサイトのセキュリティを大幅に強化し、安心してサイトを運営することができます。
- ファイアウォール: 攻撃をリアルタイムでブロック。
- スキャン機能: サイト全体をスキャンして、不正なファイルや脆弱性を検出。
- ログインセキュリティ: 二段階認証(2FA)やログイン試行制限を提供。
- 通知機能: 問題が発生した場合にメールでアラートを受け取れる。
初心者でも簡単に導入できるように設計されており、無料版でも多くの機能が利用可能です。また、有料版にアップグレードすることで、より高度な防御機能や優先サポートを受けることができます。
Wordfence FREE(無料版)の主な機能
機能/サービス | 説明 |
---|---|
Webアプリケーションファイアウォール | 攻撃をブロックし、リアルタイムでサイトを保護します。 |
マルウェアスキャン | 不正なコードや改ざんを検出し、修正案を提示します。 |
ログイン試行制限 | 不正なログイン試行を制限し、ブルートフォース攻撃を防ぎます。 |
通知機能 | セキュリティ上の問題を検出すると、管理者にメールで通知します。 |
脆弱性検出 | 使用中のプラグインやテーマの脆弱性を特定し、更新が必要な場合にアラートを表示します。 |
ライブトラフィックの監視 | サイトへのアクセス状況をリアルタイムで確認し、不審な動きを監視します。 |
以下の手順に従えば、初心者でも簡単に「Wordfence Security」を使い始めることができます!

Wordfence Securityのインストール
ダッシュボードの左側メニューから「プラグイン」 「新規プラグインを追加」をクリックします。画面右上の検索バーに「Wordfence Security」と入力します。

検索結果に表示される「Wordfence Security」を「今すぐインストール」をクリックします。

インストールが完了したら「有効化」ボタンをクリックしてプラグインをアクティブにします。

「GET YOUR WORDFENCE LICENSE」と書かれたボタンをクリックします。

「Wordfence FREE」の「Get Free License」をクリックします。

下記の画面がポップアップします。

- I’d like real-time protection
(リアルタイム保護を希望します) こちらは有料版となります。
(新たな脅威から保護するために30日間待つことに問題はありません)
無料版の条件に同意できる方は、こちらをクリックします。
I’m OK waiting 30 days for protection from new threats

- メールアドレスを入力
- 通知の受け取り「Yes」を選択
- 規約の同意にチェックを入れる
- 「Register」をクリックする

「Check your email(ライセンスキーをメールに送信されました。メールを確認してインストールを完了してください。)」と記載されているのでメールを確認しましょう。

「Install My License Automatically(ライセンスを自動的にインストール)」ボタンをクリックします。

Wordfenceのインストールには「メールアドレス」と「ライセンスキー」が入力されています。
「ライセンスインストール」ボタンをクリックします。

「無償ライセンスインストール済み」となり、これで無料ライセンスの取得が完了しました。
「ダッシュボードへ」をクリックします。
Wordfenceの設定ガイド
Wordfence Securityを使用する前に、初期設定を済ませましょう。
まず「Wordfence ダッシュボード」の上部に表示される自動更新を有効化します。
バージョンが古いとセキュリティが弱まるので、必ず有効化しておきましょう。
「はい、自動更新を有効化します。」をクリックします。

ファイアウォールとは、Webサイトと外部からのアクセスとの間に設置される「防御壁」のようなもので、攻撃者や不正なアクセスからサイトを守る役割を果たします。
Wordfenceの「ダッシュボード」 「ファイアウォールを管理」をクリックします。

ファイアウォールを開いたら「ファイアウォールを管理」をクリックします。

ファイアウォール設定の「Webアプリケーションファイアウォールの状態」で以下の項目を確認しましょう。
- 「学習モード」が選択されている。
- 「次のとき自動的に有効化」にチェックが入っている。
- 「次のとき自動的に有効化」の日付が1週間後になっている。
1週間の学習が終了後、自動で「学習モード」から「有効であり保護中」に変わります。

次に「WORDFENCE ファイアウォールの最適化」をクリックします。

「.HTACCESSをダウンロード」をクリックし保管。そして「次へ」をクリックします。

「インストール成功」と表示され最適化されました。「閉じる」をクリックします。

ダウンロードしたファイルは大切に保管しておきましょう。
(万が一うまくいかなかった場合などに、.HTACCESSを元に戻すためです。)
ブルートフォース攻撃とは、繰り返しパスワードを試してログインを試みる攻撃手法です。
Wordfenceでは、これを防ぐための設定が簡単に行えます。
ファイアウォール設定をスクロールし「ブルートフォースの保護」を開きます。

ブルートフォース保護を有効化で「オン」になっているかをチェックする。

- 「何回ログインに失敗するとロックアウトされるか」を適切な値(5回)に設定。
- 「何回パスワードを忘れたらロックアウトするか」を適切な値(5回)に設定。
- 「どの期間の失敗をカウントするか」4時間で設定
- 「ユーザーをロックアウトする期間」4時間で設定
「無効なユーザー名を即座にロックアウトする」にチェックを入れる。
空欄に「admin」を入力してEnterを押す。
多くのWordPressインストールで、初期状態の管理者ユーザー名として「admin」が使用されているため、攻撃者が最初に試す傾向があります。
- 攻撃者は、「admin」というユーザー名を標的にしたブルートフォース攻撃を仕掛け、パスワードを推測しようとします。
- 管理者ユーザー名に「admin」を使用しない。
- 撃者が不正ログインを試みる際に使用する代表的なログインIDは、「admin」以外にも「administrator」「サイトドメイン」のようなものが頻繁に試されます。
設定が終わったら上にある「変更を保存」をクリックします。

Wordfenceのスキャン機能は、サイト全体を調査してセキュリティ上の問題を検出する強力なツールです。以下の手順で最適なスキャン設定を行いましょう。
「Wordfence」「スキャン」をクリックします。

「新しいスキャンを開始する」をクリックしてスキャンを開始します。

スキャン結果が表示され、不審なファイルや問題点がリストアップされます。

終了後、サーバーの状態に「
「スキャンを管理」をクリックします。

スキャン設定を開き、「WordPressインストール外のファイルをスキャン」にチェックを入れ「変更を保存」をクリックします。

スキャンに戻り、再び「新しいスキャンを開始」終了後、問題がなければOKです。

検出された問題の対応
- スキャン結果で不正なファイルや脆弱性が検出された場合、修正案が表示されます。
「削除可能なファイルをすべて削除する」または「修復可能なファイルをすべて修復する」のアクションを選択します。 - 必ず変更前にバックアップを取得しておきましょう。
「Wordfence」「ツール」をクリックしライブトラフィックより、スパムをブロックします。

「WHOISを実行する」をクリックして管理情報を確認し、一番下の「このネットワークをブロック」をクリックします。(下に進むほど、広範囲な IP アドレスをまとめて遮断します。)

- 慎重にブロック対象を選ぶ:
- 正当なユーザーや検索エンジン(Googlebot など)のアクセスを誤ってブロックしないように注意してください。
- 不明な場合、アクセス元の IP アドレスを検索して確認するのも良いでしょう。
「このネットワークをブロック」をクリックすると、ブロックページが表示されます。
「ブロック理由」に「spam」と記入し「このパターンに一致する訪問者をブロック」をクリックしこのスパムボットのブロックは完了です。

ブロックした情報は「Wordfence」「ファイアウォール」「ブロック」
上記ページで確認できます。
不審な IP アドレスを確認し、リストに追加して手動でブロックしましょう。
Wordfence のスキャン機能には、いくつかのスキャンタイプがあり、それぞれ異なる深さや目的に応じてサイトをチェックできます。
「Wordfence」 「すべてのオプション」 「スキャンタイプの基本オプション」よりスキャンの精度の変更ができます。通常時は「標準スキャン」を選び、セキュリティ問題が疑われる場合には「高感度」で詳細にスキャンし、サイトの完全性を徹底的に確認できます。

ログインセキュリティの設定
Wordfenceログインセキュリティで2段階認証を設定する手順を解説します。
二段階認証を設定することで、ブログのセキュリティが大幅に向上し、不正ログインのリスクを大幅に減らせます。Wordfenceのログインセキュリティ設定は以下の2ステップです。
- 二要素認証(2FA)
- reCAPTCHA
認証アプリの準備
認証コードを生成する「Authenticatorアプリ」が必要になりますので、アプリがスマートフォンに入っていない方はインストールしておきましょう。
「Wordfence」「ログインセキュリティ」をクリックします。

リカバリーコードをダウンロードして保管しておきましょう。
スマートフォンでアプリを開き、QRコードを読み取ります。

スキャン後、認証アプリにワンタイムパスワード「6桁の数字」が表示されます。
(30秒で画面右側にある●が全て無くなるとワンタイムパスワードが更新されます。)

スマートフォンの認証アプリに表示された「6桁の数字」を設定画面に入力し、「有効化」ボタンをクリックします。

画面が変わり、「Wordfence の2要素認証は現在、アカウントで有効になっています」と表示されたら完了です。

一度ログアウトして、二段階認証が正常に機能するか確認します。

ログイン時、通常のユーザー名とパスワードに加え、認証アプリの「6桁の数字」を入力するよう求められます。スマートフォンの認証アプリに表示された「6桁の数字」を入力し、ログインをクリックします。

正しく入力すればログインできます。
Wordfenceの二段階認証を設定することで、不正ログインのリスクを大幅に減らすことができます。設定は一度行えば簡単ですが、バックアップコードや認証アプリの管理も忘れずに行いましょう!
reCAPTCHAを設定する
Wordfenceで「reCAPTCHA」を利用するには、まず「Google reCAPTCHA」でAPIキーを取得する必要があります。設定をまだしていない人は、まず登録をしましょう。
Google reCAPTCHAの公式サイト(https://www.google.com/recaptcha/)

「Wordfence」「ログインセキュリティ」から「設定」タブをクリックします。

「ログインセキュリティ」「設定」を、下にスクロールし「reCAPTCHA」を探します。
「ログインページとユーザー登録ページでreCAPTCHAを有効にする」にチェックを入れます。

先に設定した「Google reCAPTCHA」「サイトキー」と「シークレットキー」をコピーします。

Wordfence「reCAPTCHA」にコピーした「サイトキー」と「シークレットキー」を貼り付けて「保存」をクリックします。

これでWordfence「reCAPTCHA」の設定は完了しました。
設定が完了したら、一度ログアウトして「reCAPTCHA」が有効化されているか確認します。
「ユーザー名またはメールアドレス」「パスワード」を入力し、「ログイン」します。

右下に「reCAPTCHA」が問題なく表示されていたら、設定は完了です。
(アイコンにカーソルを重ねると上記のように表示されます)

スマートフォンの「Authenticator」認証アプリに表示された「6桁の数字」を入力し、ログインをクリックします。WordPressの管理画面が開いたらこれで設定が完了です。
5. 設定完了後の注意点
- 問題が発生した場合:
- Google reCAPTCHAのサイトキーやシークレットキーが正しいか確認してください。
- reCAPTCHAが表示されない場合、WordPressのキャッシュをクリアするか、キャッシュプラグインを一時的に無効化してみてください。
- スパム対策:
- reCAPTCHAは強力ですが、特定のスパム行為を完全に防ぐわけではないため、他のセキュリティ対策(例えば二段階認証)も併用してください。
オプション設定
以下はWordfenceは細かい設定は不要ですが、変更しておいた方がいいと思う項目について紹介します。(デフォルトのままでも、支障はありません。)
バージョンを隠す
Wordfenceはセキュリティを強化するためのプラグインですが、WordPress のバージョン情報が公開されている場合、次のようなリスクが考えられます。
- 既知の脆弱性の悪用を防ぐ
- 古いバージョンのWordPressに脆弱性が存在する場合、攻撃者がそのバージョンを狙って攻撃を仕掛ける可能性があります。
- プラグインのバージョン情報を隠すことで、攻撃者が既知の脆弱性を利用するのを困難にします。
- 特に、更新が滞っているサイトは標的になりやすいため、バージョン番号を非公開にすることで攻撃の可能性を減らします。
- ボットによるスキャンの回避
- 攻撃者はボットを使って大量のサイトをスキャンし、WordPress のバージョンを判別します。
- バージョン情報が隠れていると、スキャン結果が不完全になるため、攻撃の対象になりにくくなります。
「Wordfence」「すべてのオプション」から「Wordfence の一般的なオプション」を開き「WordPressのバージョンを隠す」にチェックを入れる。

- 一般的なセキュリティの原則として、公開する必要のない情報は非公開にするのがベストです。
- WordPress のバージョン情報は、サイトの運営者以外には不要な情報であるため、隠すことが推奨されます。Wordfence を使うと、簡単にバージョン番号を非表示にできます。
まとめ
これらの設定と手順を実践すれば、初心者でもWordPressサイトを安全に保つことができます。
Wordfence の無料版でも多くの機能が利用可能ですが、プレミアム版を導入することで、より高度な保護(リアルタイムの IP ブロックや専用サポートなど)が得られます。ぜひ試してみてください!
コメント