Wordfenceの使い方

Wordfenceは『２段階認証を一度成功させると30日間パスワードレスでログインが可能』にもなるセキュリティープラグインです。WordPressがアプリのように一発起動させられます。

便利ですね。

インストールとライセンス入手

Wordfenceをインストールして有効化すると、ライセンス入手のためのダイアログが現れるので、クリックしましょう。でもこの先から、しばらくオール英語です (^^;。

頑張っていきましょう。

とりあえず無料版を選択しましょう。

なんとなく分かる英語ですので (^^；、メアドを打ち込み、メールを受信します。

メールも英語だと思いますが、青いボタンを押すだけで大丈夫です。

これで日本語版のWordfenceが表示されますので、『ライセンスインストール』のボタンを押すと登録完了です。

２段階認証の設定

登録した時点で、不正アクセスがあった場合やサイトが表示されなくなった場合の警告メールが届くようになりますが、Wordfenceの2FA（2段階認証）にはパスワードレス・ログインを可能にする機能があるので、これを使わない手はないでしょう。

まず、『ログインセキュリティ』のタブをクリックします。

するとQRコードが表示されるので、それをAuthenticatorのカメラで取り込みます。

QRコードを直接取り込んでもいいのですが、画像として保存すると、それがそのままバックアップとして使用できます。画像からでもQRコードは読み込めます。

６桁の数字を打ち込んで『有効化』のボタンを押すと設定完了です。

ついで2FAを30日間パスワードレスにします。

『設定』タブをクリックし、『30日間デバイスを記憶させることができる』をチェックします。ついで『を保存』を押して設定を変更します。

ちなみに、その下にある『XML-RPCコールの認証に2FAを要求する』を『対応不要』にチェックすると、一時的に2FAを停止（スキップ）させることができます。この方法は、スマホアプリのJetpack-サイトビルダーを使う際に有効です。Jetpack-サイトビルダーは2FAレイヤーを使ってログインをしているので、Authenticatorの2FAを設定しているとうまくログインできなくなります。いったん2FAを削除する必要があるのですが、このスキップ機能を使うと、2FAを削除することなくJetpack-サイトビルダーでログインできるようになります。一度ログインできたら、そのあと2FAを復活させてもログインは可能です。

その他の設定

いろいろな機能があって使いきれない感じのWordfenceですけど、これだけは設定を変更したほうがいいものがあるので紹介しておきましょう。

『すべてのオプション』からいきます。

メール通知のレベルを『致命的』にします。これをすると、プラグインのアップデートを知らせるメールが来なくなります。プラグインのアップデート通知はWordPressのダッシュボードを見ればわかるものですし、そもそも自動更新の設定にしていたら全く必要がありません。『致命的』にしても、不正アクセスの通知やサイトダウン時のメール通知は届きます。

初期設定の『中』のままだと、やたらとメールが届いてしまうので、プラグインのアップデート情報を得たい場合は、『高』を選択するようにしましょう。

ログイン回数制限の設定です。

初期設定ではログイン試行が何十回も可能になっていますし、ロックアウト期間（アクセス不能になる期間）も短いので変えていきましょう。

図のものは『2FA・ログイン画面を問わず、１日のうちに５回ログインに失敗したら１日間アクセス不能になる』という設定です。これくらいシビアなほうがいいでしょう。

Wordfenceの使い方

30日間パスワードレスにするには、2FAの画面で『30日間保存する』にチェックしないといけません。

実際、これは完全なパスワードレスではなく、30日パスワードレス期間中も最初のログイン画面が出てきて、ID・パスワードの入力を求められることがあります。長くアクセスしなかった場合などです。でも毎回ログイン手続きをしないといけないという訳ではありません。作業を大幅に短縮することができます。

あとはWordfenceにおまかせでいい感じです。ウィルススキャンも自動で行ってくれます。また、不審なアクセス（または不正アクセス）があった場合にはメール通知が来ます。Jetpackにはこの機能がありません。サイトが壊れるなどして表示できなくなった場合にもメール通知が届きます。こちらはJetpackにもある機能ですね。

送られてくるメールはこんな感じです。

管理者ログインのメール通知は、自身が他のネット環境からアクセスした場合にも送られてきます。でも違うパソコンからアクセスしても、同じネット環境を使用していると送られては来ません。

それが不正アクセスなのかどうか分かりづらいことが多いのですが、ログイン履歴を調べると分かりやすいです。

『失敗』をクリックしてみましょう。ハッカーによる不正アクセスは成功する前によく失敗しています。

たいていのネット環境は『動的アドレス』という定期的にIPアドレスが変わっていってしまうものを使用しているので、自身のIPアドレスと間違わないよう注意しましょう。ちなみにWordfenceは、自身のIPアドレスの変化に対しては確認のメールを送ってきません。

ハッキングされたと分かったら、まずそのIPアドレスをアクセス不能にしてしまいます。

ブロックがすんだら、パスワードを変更しましょう。

そのあと、2FAをいったん解除して、あらたに2FAを設定しなおします。

これでハッカーは2FAコードを再入手しないといけなくなります。

Wordfence vs. Jetpack 無料版の戦い

どちらもセキュリティーソフトとして優秀なプラグインです。オールインワン・ソフトとしてはJetpackが断然便利なのですが、それは有料版でのこと。無料版ではどうでしょうか？

比較してみましょう。

対策	Wordfence	Jetpack
パスワードレス	△	〇
２段階認証	〇	–
ウィルススキャン	△	〇
ウィルス駆除	–	–
アクセスログ	〇	–
アクティビティログ	–	〇
ファイル改ざん	–	△
データベース監視	–	–
ログイン通知	〇	–
サイトダウン通知	〇	〇

きれいに互い違いになっているような。。。

両方インストールすると効果的な感じですね (^^;。

無料版のWordfenceは、ウィルススキャンを30日間遅れたデータで行ってくるのですが、WordPress自体がウィルス監視を行っているので、あまり気にならなかったりします。ウィルス報告はWordPressからも送られてきます。Jetpackのウイルススキャンは最新版であるようですね。でも、どちらも無料版ではウイルス駆除はしてくれません。

ファイル改ざんは、Jetpackではアクティビティログから確認できますが、『ファイルが改ざんされました』というようなメールが届く訳ではありません。不正アクセスが疑われた場合に、自分でアクティビティログを見に行く必要があります。自分以外の誰かがファイルを編集していたら、それが改ざんにあたります。
Wordfenceでは、有料版にアップグレードして、『監査ログ』をイベントログにする必要があります。

データベース監視は、個人情報の漏洩に気付く点で重要です。どちらも無料版にはありません。ですがクレジットカードなどの個人情報はWordPressサイトでなくサーバーに保管されているので、じつは問題なかったりします。WordPressサイト上では、漏洩して困る個人情報はIDとパスワードだけですかね。商品データや顧客データも保存されるのでしょうが、そのようなサイトを作成しなかったら関係のない話だったりもします。
Wordfenceでは有料版にして、監査ログから監視が可能だと思います。Jetpackは……有料版のアクティビティログから監視が可能なのでしょうか？　見た感じ、よく分かりませんでした (^^;。

サーバー側にイベントログを記録する機能があれば、そちらを使うのも手だと思います。ファイル改ざんにも気付けます。見てもまったく意味不明な文字列が並んでますけどね。その点でJetpackのアクティビティーログはとても分かりやすいです。無料版で使えます。

ログイン通知はWordfenceは無料版で使えます。Jetpackは有料版で使えるようになり、通知がありますが、ログインした画面への通知なので、不正アクセスした人間が見ることになります。不正アクセスされたほうは、アクティビティログをこまめにチェックして確認するしかありません。

こんな感じですね。

ホスト名（アクセスに使ったプロバイダー名）が記載されていないので、分かりにくかったりします。Wordfenceほうはメールにホスト名が記載されているし、IPアドレスも記載されているし、画面から見直すことができるし、便利ですね。セキュリティプラグインとしては、圧倒的にWordfenceに軍配が上がる感じです。

もちろんJetpackにもいいところはあり、アクセス解析の見やすさは群を抜いていると思います。アクティビティログはファイル改ざんがあったかどうかを確認するのに便利です。Wordfenceはシステムに与える負荷が少ないので、少し負荷がかかるJetpackと併用しても問題がありません。双方を使うことでセキュリティーを向上させることができます。