Wordfenceセキュリティプラグイン

2019年2月20日

ワードプレスブログを悪意のある攻撃から守るセキュリティプラグインの雄Wordfence

WordPressで作られたWEBサイトを悪意のあるさまざまな攻撃から守る、セキュリティプラグインWordfence

その機能は多岐に渡り、ファイアーウォールとマルウェアスキャナーを始め、テーマやプラグインの脆弱性を狙った攻撃に対しても機能する、高性能で総合的なセキュリティプラグインです。

世界中で200万以上のWordPressサイトにインストールされています。有効インストール数が最多ということは、セキュリティプラグインで最大のネットワークを構築していることになります。よって、新規の攻撃を既知の攻撃として素早く対応できるのもWordfenceの強みです。

※2019年4月12日追記:Wordfence有効インストール数は300万以上に増えていました。

アップデートも頻繁に行われていています。(Wordfence更新履歴)

高機能且つ日本語化されていないので難解な印象があるかもしれませんが、個人的には最強のセキュリティ能力を備えたプラグインだと感じています。

2022年10月追記

2022年10月現在ではログイン管理画面が日本語化され、圧倒的に使い易くなりました。
この記事も後日改修予定です。

無料版をインストールして有効化しただけでも充分な性能がありますが、ココだけはやっておいた方がよいかもです。(詳細設定の基本的な部分は、インストールしたデフォルトの設定で予め有効化されています。)

管理画面→Wordfence→All Options→Hide WordPress version(ワードプレスのバージョン情報を隠す)にチェックを入れる→SAVE CHANGES(変更を保存)をクリックする

WordPressのバージョン情報を第3者に公開する必要性はなく、万一バグやセキュリティホールがあった場合に、攻撃者に不用意にWordPressのバージョンを知られてしまう事を未然に予防します。

その後に使いこなしながら、徐々に設定を詰めていけば、より高度なセキュリティ対策を設定していく事が可能です。

対応する攻撃の種類と機能

・ブルートフォースアッタク
・不正ログイン対策
・SQLインジェクション
・クロスサイトスプリプティング
・ディレクトリトラバーサル
・悪意のあるファイルのアップロード
・ローカルファイルのインクルード
・スパムフィルタ
・テーマ及びプラグインのアップデート及びモディファイ通知:メール及びダッシュボード内
・Live Traffic monitorによるリアルタイム監視
・特定の悪意あるIPアドレスを個別にブロック
・wp-json/wp/v2/usersやxmlrpc.php等の第3者に閲覧させたくないサイト情報のリクエストをブロック
・/?author=N’スキャン、Embed API及びREST APIによるユーザー名の発見を防止
・その他詳細な項目ごとに設定が可能(ユーザー名adminでのログイン試行をブロックなど)

WordPressコアファイル、テーマ、プラグインを公式サイトWordPress.orgにあるものと比較し、それらの整合性をチェックし、変更改変があれば通知される。
オリジナルから上書きすることによって変更されたファイルを修復。 Wordfenceインターフェース内で、属していないファイルを削除することができる。
マルウェアスキャナーは、コアファイル、テーマ、プラグインのマルウェア、不正なURL、バックドア、SEOスパム、悪意のあるリダイレクト、コード挿入をチェックしています。
また、最近Wordfence Central=複数のWordPressサイトを一元管理できる機能が加わりました。

不正ログインを防ぐ、wp-admin/にアクセス制限、等の限定された機能ではなく、WordPressブログを様々な攻撃手法から守る、総合的な防御機能を備えているセキュリティプラグインがWordfenceです。WordPressコアファイル、テーマ、プラグイン・・・どこに不正なアクセスがあっても感知する性能を備えています。

バックドアが仕掛けられていたり、セキュリティホールを修正しないプラグインがあると、メールで通知してくれる機能もあります。公式サイトで配布されているプラグインでも、100%安全安心とは言えません。

Wordfence blog Yuzo Related Posts Zero-Day Vulnerability Exploited in the Wild

WordPressに対して不幸にも行われる多種多様な攻撃に対して、ハッカーに公開すべきでない情報を不用意に提供しないために、WordPressブログを守る総合的なセキュリティ・プラグインです。

Wordfence Premium有料版だけの機能

・無料版よりもアップデートが30日先行(ファイアウォールルールとマルウェアシグネチャの更新)
・ブラックリストとしてリスト化されたIPアドレスからのアクセスをブロック
・ログイン2段階認証
・Country blocking:国別にアクセス制限を設ける事が出来る

国別アクセス制限は「ログイン画面のみ」「公開されているサイトのページ全体」をそれぞれ個別に設定可能です。

海外IPアドレスをブロックしても、Googleクローラー等の検索エンジンの訪問は許可する、等の設定が可能です。

WordPressコアファイルの脆弱性が確認されたとき、WordPressアップデートよりも先行して、Wordfence有料版で対策されたこともあります。無防備になりがちな”ゼロデイ”攻撃にすら事前に対応したこともありました。
また、WordPress公式サイトで配布されているプラグインの中に、バックドアが仕掛けられているプラグインを見つけたという通知が届いた事もありました。他の使用しているプラグインにバックドアが仕掛けられていても、その不正な通信をWordfenceはブロックする機能を備えています。

企業サイトや個人情報を扱っているサイトでは、Wordfence有料版をお勧めします。

Country blocking

不正アクセス国別

不正アクセスは海外からが多いので、特定の国又は日本国外からのアクセス制限は有効な方法です。
かといって、国内からの不正アクセスは無いと決めつけてしまっては危険です。少ないながらもこのような例が・・・IPアドレスは隠しています。日本国内のあるIPから短期間に3,883回にも及ぶ不正なアタックがありました。ProxyサービスのIPなので経由地点として利用されているサーバーのようです。

リオデジャネイロ五輪のときは、ブラジルからの不正アクセスがとても多くなりました。無料公衆WiFiの普及で2020年東京五輪では、国内からの不正アクセスが増えてしまう懸念が指摘されています。

Wordfenceの中の人とメールした

Wordfence Premium最初の契約期間更新のとき、クレジットカード払いが自動更新になっていることを知らず、管理画面から手続きしたら支払が重複してしまったことがありました。慌てて拙い英語でWordfenceにメールで連絡したところ、素早く丁寧な返信メールが返ってきて、重複してしまったクレジットカードの支払の一方を素早く取消し対応してくれました。会社の対応も良心的です。

The Wordfence customer support team has received your presales inquiry.  We respond to presale requests usually within one business day. Our customer support team hours are Monday-Friday 8am-5pm EST.

Wordfenceカスタマーサポートチームはあなたのプリセールスの問い合わせを受けました。通常1営業日以内に、プリセールスリクエストに対応します。当社のカスタマーサポートチームの営業時間は月曜日から金曜日の午前8時から午後5時までです。

Hi,

Not a problem at all! I just issued you a refund for $99 (Transaction ID: 〇〇〇). You’ll receive a separate email with the details of that shortly. If you have any other questions or concerns I am happy to help you. Just let me know.

Thanks and stay safe!

Tim
Customer Support Engineer

全く問題ありません。99ドルの払い戻しを実行しました(トランザクションID:〇〇〇)。その詳細が別のEメールでまもなく届きます。その他の質問や懸念がある場合は、私に知らせてください。お手伝いいたします。

ありがとう、そして安全を守ってください。

Tim
カスタマーサポートエンジニア

Wordfenceはサプライチェーン攻撃や、ダークウェブにおける漏洩したユーザー名やパスワードの売買なども把握しているセキュリティ対策企業です。個人が作ったプラグインではありません。

最後に

不正アクセスは海外から。サーバーの設定で海外IPをブロックしているから安心。今まで大丈夫だったから。などなど決めつけてしまうことは良くありません。WordPressやプラグインを最新版に素早く更新してるから大丈夫、とも言い切れません。
またWAF(ウェブアプリケーションファイアーウォール)にも過信は禁物です。
セキュリティ対策に絶対や万全はありません。不安をあおる訳ではなく、だからこそ高度化し増加する攻撃に対して、防御する側にもレベルアップが必要だと思います。
WordPressに対しての不正アクセスは、増える事はあっても途絶える事はありません。
出来る限りの対策を施して、WordPressを運用したいものです。

但し高性能で高機能な分、どうしてもサーバーに負荷が掛かります。

海外では、WordfenceとSucuriどちらがベストセキュリティプラグインなの?

What is the best security plugin for WordPress Wordfence or Sucuri ?

このような議論が盛んに行われています。運営母体としてはWordfenceもSucuriも、どちらも信頼できる企業です。個人ユーザーでプラグインを無料で利用する前提条件ではWordfenceが良いです。

どちらのプラグインも2019年2月現在、日本語版が無いことが欠点にもなってしまいますが、性能や機能の総合力、様々な攻撃パターンへの防御能力、新しい攻撃パターンへの対策の早さ、不正アクセスの分析など、海外製のセキュリティプラグインが圧倒的に高性能です。

余談ですが、記事やサイドバー以外のある場所にAmazonリンクを入れようと試したところ、WordfenceにXSSと認識され、自分がブロックされてしまいました。アホだ俺・・・トホホ

blocked by firewall for XSS: Cross Site Scripting

blocked by firewall for XSS: Cross Site Scripting

Wordfenceセキュリティプラグイン初期設定方法

日本語化されていないWordfenceセキュリティプラグインですが、このYouTube解説動画は日本語字幕付き。

是非参考にしてWordfenceを使ってみてください。

セキュリティWordfence