【SS】主要セキュリティの鬼!Wordfenceプラグインで内部防御

WordfenceWordPress
この記事は約7分で読めます。

セキュリティNo.1の有効インストール数(200万以上)を誇る、Wordfence(ワードフェンス)。

安心の法則である、「面倒と引き換えに安心が手に入る」を具現化したようなプラグインで、管理すればちゃんとした保護を受けられる。

つまり、設定は簡単だがエラー付き合い必須であるため、初心者向けではない

FTPをちょこちょこ触れるレベルは欲しい。それなのにこの有効インストール数は、相当信頼されているぞ!

怒涛の英語で困惑するだろうが、翻訳して説明していき、詳しい設定もカンニングでごまかすべし。

追記:2019年8月30日

待望の2段階認証が無料化!

スポンサーリンク

Wordfenceとは

セキュリティと引き換えに「サーバー処理レベル」・「エラー対応」を求められるが、セキュリティプラグインで最も人気のあるプラグイン

重いと言われているが、実感したことはないし、環境によるため導入しなければわからない。管理画面は専用キャッシュにより劇的に軽く、スキャンが重ければ「貧弱サーバー用スキャン」が存在するので、試さざるを得ない。

  • 自動スケジュールマルウェア(ウイルス)スキャン
  • ファイアウォール
  • ログイン系セキュリティ対策(総当たり攻撃:ブルートフォースアタック)
    • XML-RPC対策も含まれ、無効化しないためJetpackやスマホからの投稿が正常に使える
  • エンドポイント保護(クラウド型ではなくWordPressの内部から保護)

という、魅力的な機能が付いており、まるでセキュリティソフト(アンチウイルスソフト)のようなプラグインだ。

設定はほぼ何もする必要がなく、「最初の学習モードさえ乗り切ればほぼ完了」とお手軽である。

だが、「全自動ですべてやってくれる」と勘違いしてはならず、「入れれば終わり」とはならないため、それが嫌なら他の選択肢と、究極の効果的な組み合わせをチラ見するといい。

デメリット

とにかく誤検知や何かしらのエラーが発生しがちで、解決させるたびにセキュリティ低下のリスクを一時的に負う。

一番の問題は「正常利用でいきなり検知」してくるところで、初心者にいきなり英語エラーはキツいと言わざるを得ない。

さらに、LiteSpeedサーバー環境はあまり相性がよくないのか、スキャンできないよくわからないエラーに悩まされ、私は他の有料プラグインに乗り換えるタイミングでやめてしまった。

参考Wordfence and LiteSpeed – Wordfence(英語)

ぷっぷ
ぷっぷ

多分、私のやりすぎなセキュリティ対策が競合しただけかな! 実際、まっさらなLiteSpeedサイトは正常だったもん

上記「当サイトの場合」は特殊だったが、後で説明する学習モードで覚えさせ、「正常」と認識させることでだいたいのことは乗り切れる。

結局のところ導入しなければ相性もわからないため、挑戦する気持ちが大事だ。

スポンサーリンク

インストール

バックアップするなら今!

ダッシュボード左のプラグインにカーソルを乗せて①「新規追加」→ ②右上のキーワードに「Wordfence」→ ③「今すぐインストール」して有効化か、プラグインを直接ダウンロードしてアップロードしてこよう。

プラグインにカーソルを合わせて新規追加
インストールしたら有効化

有効化させると、「セキュリティ警告(アラート)」を受け取るメールアドレスを入力するように言われ(警告は後で設定できる)、入力して利用規約同意チェック。

メアド入力、規約も同意

今度は「プレミアムライセンスキー(有料版のこと)を入力してね」と言われるが、ここでは無料版なので右下の「No Thanks(不要)」をクリック。

No Thanksかライセンスキーがあるなら入力

そうするとまたしても英語がでるので、初期設定をしていく。

スポンサーリンク

初期設定

出現した上部の英語を消し、最低限の設定をしていこう。

赤付箋のような表示はWordfenceの自動更新なので①「Yes,enable auto-update」をクリック(LiteSpeed環境だけ、今はNo ThanksでOK)、次に有効化されていないファイアウォールを触るために、黄色付箋の②「CLICK HERE TO CONFIGURE」へ進もう。

赤い方をクリックしてファイアウォールの設定にいく

そうするとファイアウォールのページに飛ばされるが、「英語で」以下の表示を見せられる。

とりあえず.htaccessをダウンロードするだけなので、ダウンロードしておこう。

.htaccessをダウンロードしてCONTINUE

ここで正常にファイアウォールページに行けるはずだが、以下の特殊環境はまた英語がでる。

LiteSpeedまたはIISをWebサーバー、またはCGI/FastCGIインターフェイスとして使用している場合は設定がキャッシュされることがあるらしく、以下の表示がでる。CLOSEをクリックしても反映されてなかったら、ちょっと待ってページを更新しよう。

LiteSpeedはページ更新してね

そうすると、自動的にファイアウォールが「Learning Mode(学習モード)」になり(ならないならページ更新・キャッシュクリア)、一週間ファイアウォールのルールを学習し、構築してくれる。

学習モードが適用され、出現する

ファイアウォールは実質機能していない期間となっているが、それ以外の保護は発動しているため、自分のサイト用に馴染ませるために最初は我慢しよう。

ファイアウォールエラーの原因となる行動を学習モード中に記憶させ、今後の誤検知を減らすができる。以下の手順をやっておこう!

  • 投稿を書いてプレビュー・公開する
  • 子テーマから親テーマへ一時的に切り替え、すぐ戻す
  • ウィジェットを1つ追加して削除
  • テストのコメントを書いて削除
  • 他のプラグインの機能をすべて使うと見せかけて影響がでない程度に適当に使う(手抜き)

参考Firewall Learning Mode – Wordfence(英語)

上記初心者向けとは思えない部分を「一週間以内」に済ませておき、その後は自動でファイアウォールが有効化される。

そのため、初期設定はここで終わりだ。

間に合わなかった場合でも、延長・再度有効化可能。 なお、設定自体は初心者向けで、何もしなくてもちゃんと保護される。

スポンサーリンク

学習モード(Learning Mode)の使いこなし方

学習という名のとおり、覚えさせれば勝手に正常な手順をホワイトリストに登録してくれる。

つまり、正常な手順でエラーになったら、毎回学習モードにすれば良い

ぷっぷ
ぷっぷ

面倒だけど、もともと使っている人からすれば「そんな方法が!」ってなるよ!

ただし、学習モード中はファイアウォールが機能していないわけなので、事実セキュリティがダダ下がり。

乗り切りたいエラーを克服するときだけ学習モードにし、終了したら戻すこと!

学習モードにしてもエラーになるなら、「ファイアウォールと関係がないエラー」として絞れるため、この知識をうまく利用し、エラー切り分けに役立てよう。

学習モード切り替えの場所

Firewallタブにある「MANAGE FIREWALL(学習モード中のみ表示)」・Web Application Firewallの「Manage WAF」・「All Firewall Options」どれか3つをクリックすると、「Firewall Options(オプション)」へ行ける。

ファイアウォール切り替えの場所へ向かう

あとは学習モードの期間を延ばしたり、

  • 今すぐ保護したいならEnabled and Protecting(ファイアウォールを有効)
  • 学習モードに戻したいならLearning Mode → Automatically enable on(指定した期間後ファイアウォール有効化)にチェック → 日付を決める
  • 無効化したいならDisabled(無効)

などなど、謎エラーを発生させないようにガチャガチャしよう。

学習モードの調整
スポンサーリンク

いろいろ考えた詳しい設定

すべての設定を当サイトの知識と照らし合わせた説明や厳選した設定、エラー対応方法に貧弱サーバー用スキャンモードへの変更の仕方など、全部入れは次の記事を確認しよう。

スポンサーリンク

速さと相性抜群の追加保護

プラスの保護を軽量のまま受けられるスーパープラグインBBQを使い、鉄壁の要塞にするといい。

なんと、インストールして終わりかつWordfenceと使われることを想定されている!

スキャンの相性が悪いようなら、クラウド型ファイアウォールで軽量&スキャン付きで併用するといい(BBQと一緒に使うかこちらだけにするかは悩もう)。

学習モード中でもMalCare(マルケア)ファイアウォールが発動しているため、安心保険として使えるうえ競合もせず、すごく使いやすい。

コメント

タイトルとURLをコピーしました