エーデルハーツ

Custom WordPress Support & Development

Wordfence導入したらまず設定すべき5つのこと【WordPressセキュリティ】

WordPressサイトの安全を守る上で、「アップデートの実行」は基本中の基本です。しかし、さらなる防御力を得るためには、「セキュリティプラグイン」の導入が非常に効果的です。

数あるプラグインの中でも、特に人気と実績があるのが「Wordfence Security」です。今回は、このWordfenceの無料版(Free版)を導入したら、「複雑な設定は後回しでも良いので、最低限これだけは確認・設定しておきたい」という必須のセキュリティ設定を5つに絞って、日本語の管理画面を想定しながら分かりやすく解説します。

※注意:Wordfenceは頻繁にアップデートされ、UI(管理画面の見た目や項目名)が変更される可能性があります。この記事は現時点(2026年3月)の情報に基づいていますが、実際の画面と多少異なる場合は、画面上の表示を優先してください。

1. ファイアウォール(WAF)の最適化と有効化:「門番」の設置

Wordfenceの最も重要な機能の一つがWAF(Web Application Firewall)です。これは、サイトに到達する不正なアクセスや攻撃通信を検知し、WordPress本体に届く前にブロックしてくれる頼もしい「門番」です。

この効果を最大限に引き出すため、Wordfenceを有効化したら必ず「ファイアウォールの最適化」を行いましょう。

  1. WordPress管理画面の左メニュー「Wordfence」>「ファイアウォール」を開きます。
  2. ページ上部に「ファイアウォールを最適化するにはここをクリック」または「Optimize the Wordfence Firewall」のようなボタン(または通知)が表示されているはずです。これをクリックします。
  3. サーバーの種類を選択する画面が出ます。通常は自動検出されたものが推奨されています(例: Apache + htaccess)。そのまま「続ける(Continue)」をクリックします。
  4. 重要: 既存の.htaccess.user.iniファイルのバックアップをダウンロードするよう促されます。必ずダウンロードして、安全な場所に保管してください。
  5. 最適化が完了したら、「閉じる」をクリックします。これでファイアウォールの保護レベルが「拡張保護」になります。

次に、ファイアウォールの現在の状態を確認します。「ファイアウォール」ページの上部(または「すべてのオプションを管理」内)に、現在のモードが表示されています。

  • 学習モード(Learning Mode): インストール直後や、サイトに特殊な動作を追加した際に一時的に設定するモードです。Wordfenceがサイトの正常な通信を学習します。サイト運用開始後は、このモードのまま放置しないでください。
  • 有効化および保護中(Enabled and Protecting): 通常はこのモードにします。学習した内容とルールに基づいて、不正な通信をブロックします。サイト公開後はこのモードになっていることを確認しましょう。

(補足)無料版のファイアウォールルールは、最新のものがリリースされてから30日後に適用されます(プレミアム版は即時)。それでも基本的な保護には十分役立ちます。

アドバイス

インストール直後の「学習モード」は、長くても1週間で切り上げてください。そのまま放置すると、その間に侵入した攻撃者の挙動まで「正常な通信」として学習されてしまう致命的なリスクがあります。必ず「有効化および保護中」への切り替えを確認しましょう。

2. ログインセキュリティ:不正ログイン対策の強化

WordPressサイトへの攻撃で非常に多いのが、ログイン画面への総当たり攻撃(ブルートフォースアタック)です。Wordfenceのログインセキュリティ機能でこれをしっかり防ぎましょう。

設定は「Wordfence」>「ログインセキュリティ」メニュー(または「ファイアウォール」>「ブルートフォース保護」)で行います。

以下の設定を必ず確認・有効化してください:

  • ブルートフォース保護を有効にする: チェックが入っていることを確認。
  • ログイン試行失敗 回数の上限: 5~10回程度(初期値は20回かもしれませんが、より厳しくするのがおすすめです)。
  • パスワード忘れ 試行回数の上限: 3~5回程度。
  • 失敗回数をカウントする期間: 5分~1時間程度。
  • ロックアウト期間: 1時間~4時間程度(あまり短すぎると攻撃者に再度試行されやすくなります)。
  • 無効なユーザー名を即時ロックアウト: 必ず有効にしましょう。特に「admin」や一般的なユーザー名を試す攻撃に有効です。オプションでロックアウトするユーザー名を追加することもできます。
  • (推奨)強力なパスワードを強制: ユーザー(特に管理者・編集者)に強力なパスワードの使用を強制します。

そして、不正ログイン対策の切り札とも言えるのが「2要素認証(Two-Factor Authentication – 2FA)」です。

これは、パスワードに加えて、スマートフォンアプリ(Google Authenticator, Authyなど)で生成される一時的なコードの入力を必須にするもので、Wordfenceの無料版でも利用可能です。

2. ログインセキュリティ:不正ログイン対策の強化 01

「ログインセキュリティ」>「2要素認証」から設定できます。管理者ユーザーだけでも設定することを強く、強く推奨します!

3. マルウェアスキャン:「サイトの健康診断」の習慣化

サイト内のファイルが改ざんされたり、マルウェアが仕込まれたりしていないかを定期的にチェックする機能です。

設定は「Wordfence」>「スキャン」メニューで行います。

  • スキャンを予約(Scan Scheduling): 「有効(Enabled)」になっていることを確認します。これにより、Wordfenceが自動で定期的にスキャンを実行してくれます(通常は1日に1回程度)。
  • スキャンの種類(Scan Type): 基本的には「標準スキャン(Standard Scan)」のままで問題ありません。

スキャン結果で「重大(Critical)」と表示される問題が見つかった場合は、放置せず、必ず内容を確認してください。WordPressコアファイルの変更(身に覚えがない場合)、テーマやプラグイン内の不審なコード、マルウェアの疑いがあるファイルなどが検出されます。自分で判断・対処が難しい場合は、速やかに専門家へ相談しましょう。

実録エピソード

お客様のサイトで「一部のプラグインファイルが書き換えられている」という警告が出たことがあります。調査すると、古いテーマの脆弱性から侵入されていました。Wordfenceのアラートのおかげで、実被害が出る前に復旧できました。

4. Eメールアラートの設定:異変をいち早く察知

サイトで重要なセキュリティイベントが発生した際に、Wordfenceがメールで知らせてくれる機能です。問題の早期発見と迅速な対応に繋がります。

設定は「Wordfence」>「すべてのオプション」>「Eメールアラートの設定」セクションで行います。

  • アラートを送信するEメールアドレス: 確実に受信できる、普段チェックしているメールアドレスが設定されているか確認します。
  • 有効にすべきアラート(推奨例):
    • 重大な問題を発見した場合にアラート
    • IPアドレスがブロックされた場合にアラート
    • ログインがロックアウトされた場合にアラート
    • 管理者権限を持つユーザーがログインした場合にアラート (※ログイン頻度が高い場合は通知が多くなる可能性あり)
    • Wordfenceが無効化された場合にアラート
    • Wordfenceが自動更新された場合にアラート

※その他も確認し、ご自身のサイトの重要度や運用に合わせて必要な通知を有効にしましょう。

運用のアドバイス

通知が多すぎると「オオカミ少年」状態になり、重要な通知を見逃します。「管理者ログイン通知」などは、自分のログインで毎回届いて煩わしい場合は、運用に合わせて絞り込むのが継続のコツです。

5. (おまけ)Wordfenceダッシュボードの活用

設定ではありませんが、「Wordfence」>「ダッシュボード」を定期的に確認する習慣をつけましょう。ファイアウォールによるブロック数、ログイン試行の失敗、スキャン結果の概要などが一覧でき、サイトのセキュリティ状態を把握するのに役立ちます。

2026年の新常識:パフォーマンスとのバランス

「セキュリティを入れるとサイトが重くなる」という相談をよく受けます。しかし、攻撃を受けてリソースを食いつぶされる方が圧倒的にリスクが高いです。

もし速度が気になる場合は、画像の最適化やリソースの徹底排除(関わりのないページでの読み込み停止)など、専門的な「後出しの最適化」を併用することで、安全性と高速化を両立できます。

プラスアルファ:ログインURLの変更で「入り口」を隠す

Wordfenceは非常に強力ですが、実は「ログインURL自体を変更する機能」は備わっていません。そこで、ログインURLを変更する機能に特化した軽量なプラグインを併用するのがおすすめです。

多機能なセキュリティプラグインを重ねて導入すると不具合の原因になりますが、単一機能のプラグインならWordfenceと喧嘩せず、スマートに「入り口」を隠せます。代表的なものを紹介します:

  • WPS Hide Login: 設定画面から変更後のURLを指定するだけの、シンプルで軽量な定番プラグインです。
  • Easy Login URL: こちらもURL変更に特化しており、余計な機能がないためオススメです。
  • Secure Login URL Hide: 私も愛用している非常に軽量なプラグインです。設定が空のときは標準動作を一切邪魔しない設計になっており、「必要な時だけ、最小限の力で動く」という潔さがエンジニアとして気に入っています。ダウンロード数は少なくとも、クリーンな設計であれば安心して利用できます。

「門番(Wordfence)」を置くだけでなく、「隠し扉(URL変更)」を作る。この二段構えの対策をぜひ検討してみてください。

まとめ:「とりあえずこれだけ」でも防御力は大幅アップ!

今回は、Wordfence無料版を導入したら、まず確認・設定しておきたい5つの必須項目について解説しました。Wordfenceには他にも多くの機能がありますが、まずはこれらの基本的な設定をしっかり行うだけでも、何もしない状態と比較してサイトの安全性は格段に向上します

これらの設定をベースに、サイトを運用しながら少しずつ他の機能についても理解を深めていくのが良いでしょう。そして、最も重要なのは、Wordfenceを導入したからと安心せず、WordPress本体、プラグイン、テーマのアップデートを継続し、定期的なバックアップを取ることです。

私たちEdel Heartsでは、こうした設定代行はもちろん、さらに強固な守りが必要な方向けに、24時間365日の監視を含む保守サポートサービスも提供しています。自分での管理に不安を感じたら、いつでもお気軽にご相談ください。

Chat