Wordfence導入したらまず設定すべき5つのこと【WordPressセキュリティ】

こんにちは！！合同会社エーデルハーツの代表、矢部です。埼玉県川越市から、WordPressサイト運営者のためのセキュリティ情報をお届けしています。

WordPressサイトの安全を守る上で、これまでの記事で解説してきた「アップデートの実行」は基本中の基本です。しかし、さらなる防御力を得るためには、「セキュリティプラグイン」の導入が非常に効果的です。

数あるプラグインの中でも、特に人気と実績があるのが「Wordfence Security」です。今回は、このWordfenceの無料版（Free版）を導入したら、「複雑な設定は後回しでも良いので、最低限これだけは確認・設定しておきたい」という必須のセキュリティ設定を5つに絞って、日本語の管理画面を想定しながら分かりやすく解説します。

※注意：Wordfenceは頻繁にアップデートされ、UI（管理画面の見た目や項目名）が変更される可能性があります。この記事は現時点（2025年4月）の情報に基づいていますが、実際の画面と多少異なる場合は、画面上の表示を優先してください。

1. ファイアウォール(WAF)の最適化と有効化：「門番」の設置

Wordfenceの最も重要な機能の一つがWAF（Web Application Firewall）です。これは、サイトに到達する不正なアクセスや攻撃通信を検知し、WordPress本体に届く前にブロックしてくれる頼もしい「門番」です。

この効果を最大限に引き出すため、Wordfenceを有効化したら必ず「ファイアウォールの最適化」を行いましょう。

WordPress管理画面の左メニュー「Wordfence」>「ファイアウォール」を開きます。
ページ上部に「ファイアウォールを最適化するにはここをクリック」または「Optimize the Wordfence Firewall」のようなボタン（または通知）が表示されているはずです。これをクリックします。
サーバーの種類を選択する画面が出ます。通常は自動検出されたものが推奨されています（例: Apache + htaccess）。そのまま「続ける（Continue）」をクリックします。
重要：既存の.htaccessや.user.iniファイルのバックアップをダウンロードするよう促されます。必ずダウンロードして、安全な場所に保管してください。
最適化が完了したら、「閉じる」をクリックします。これでファイアウォールの保護レベルが「拡張保護」になります。

次に、ファイアウォールの現在の状態を確認します。「ファイアウォール」ページの上部（または「すべてのオプションを管理」内）に、現在のモードが表示されています。

学習モード（Learning Mode）： インストール直後や、サイトに特殊な動作を追加した際に一時的に設定するモードです。Wordfenceがサイトの正常な通信を学習します。サイト運用開始後は、このモードのまま放置しないでください。
有効化および保護中（Enabled and Protecting）： 通常はこのモードにします。学習した内容とルールに基づいて、不正な通信をブロックします。サイト公開後はこのモードになっていることを確認しましょう。

（補足）無料版のファイアウォールルールは、最新のものがリリースされてから30日後に適用されます（プレミアム版は即時）。それでも基本的な保護には十分役立ちます。

2. ログインセキュリティ：不正ログイン対策の強化

WordPressサイトへの攻撃で非常に多いのが、ログイン画面への総当たり攻撃（ブルートフォースアタック）です。Wordfenceのログインセキュリティ機能でこれをしっかり防ぎましょう。

設定は「Wordfence」>「ログインセキュリティ」メニュー（または「ファイアウォール」>「ブルートフォース保護」）で行います。

以下の設定を必ず確認・有効化してください：

ブルートフォース保護を有効にする： チェックが入っていることを確認。
ログイン試行失敗回数の上限： 5～10回程度（初期値は20回かもしれませんが、より厳しくするのがおすすめです）。
パスワード忘れ試行回数の上限： 3～5回程度。
失敗回数をカウントする期間： 5分～1時間程度。
ロックアウト期間： 1時間～4時間程度（あまり短すぎると攻撃者に再度試行されやすくなります）。
無効なユーザー名を即時ロックアウト： 必ず有効にしましょう。特に「admin」や一般的なユーザー名を試す攻撃に有効です。オプションでロックアウトするユーザー名を追加することもできます。
（推奨）強力なパスワードを強制： ユーザー（特に管理者・編集者）に強力なパスワードの使用を強制します。

そして、不正ログイン対策の切り札とも言えるのが「2要素認証（Two-Factor Authentication – 2FA）」です。これは、パスワードに加えて、スマートフォンアプリ（Google Authenticator, Authyなど）で生成される一時的なコードの入力を必須にするもので、Wordfenceの無料版でも利用可能です。「ログインセキュリティ」>「2要素認証」から設定できます。管理者ユーザーだけでも設定することを強く、強く推奨します！

3. マルウェアスキャン：「サイトの健康診断」の習慣化

サイト内のファイルが改ざんされたり、マルウェアが仕込まれたりしていないかを定期的にチェックする機能です。

設定は「Wordfence」>「スキャン」メニューで行います。

スキャンを予約（Scan Scheduling）： 「有効（Enabled）」になっていることを確認します。これにより、Wordfenceが自動で定期的にスキャンを実行してくれます（通常は1日に1回程度）。
スキャンの種類（Scan Type）： 基本的には「標準スキャン（Standard Scan）」のままで問題ありません。

スキャン結果で「重大（Critical）」と表示される問題が見つかった場合は、放置せず、必ず内容を確認してください。WordPressコアファイルの変更（身に覚えがない場合）、テーマやプラグイン内の不審なコード、マルウェアの疑いがあるファイルなどが検出されます。自分で判断・対処が難しい場合は、速やかに専門家へ相談しましょう。

4. Eメールアラートの設定：異変をいち早く察知

サイトで重要なセキュリティイベントが発生した際に、Wordfenceがメールで知らせてくれる機能です。問題の早期発見と迅速な対応に繋がります。

設定は「Wordfence」>「すべてのオプション」>「Eメールアラートの設定」セクションで行います。

アラートを送信するEメールアドレス： 確実に受信できる、普段チェックしているメールアドレスが設定されているか確認します。
有効にすべきアラート（推奨例）：
- 重大な問題を発見した場合にアラート
- IPアドレスがブロックされた場合にアラート
- ログインがロックアウトされた場合にアラート
- 管理者権限を持つユーザーがログインした場合にアラート （※ログイン頻度が高い場合は通知が多くなる可能性あり）
- Wordfenceが無効化された場合にアラート
- Wordfenceが自動更新された場合にアラート
※その他も確認し、ご自身のサイトの重要度や運用に合わせて必要な通知を有効にしましょう。