• HOME
  • WordFenceの初期設定方法とセキュリティ強化手順

2026年5月20日

  • シェア
  • ツイート

    • 2026年5月20日

    WordFenceの初期設定方法とセキュリティ強化手順

    はじめに

    WordFenceはWordPress向けの総合セキュリティプラグインです。ファイアウォール・マルウェアスキャン・ログイン保護・リアルタイムトラフィック監視などを一括で管理できます。初期設定の手順と重要な設定ポイントを解説します。

    症状・原因

    • WordPressサイトへの不正アクセスが増えている
    • マルウェアに感染したかどうか確認したい
    • ブルートフォース攻撃でログインが繰り返し試みられている
    • セキュリティプラグインを入れたがどこから設定すればよいか分からない

    解決手順

    ステップ1:インストールと有効化

    wp plugin install wordfence --activate

    有効化後、メールアドレスの登録とライセンスキーの入力(無料版はスキップ可)を求められます。

    ステップ2:ファイアウォールを最適化する

    WordFence → ファイアウォール →「ファイアウォールを最適化」
→「ダウンロードして.user.ini を自動設定」
→ または .htaccess に自動追記

    ファイアウォールモードを「拡張保護」に設定:

    WordFence → ファイアウォール → 基本的なファイアウォールオプション
→ WordFenceファイアウォールの保護レベル: 拡張保護

    WP-CLIで設定確認:

    wp option get wordfence_ls_require2FAForXMLRPC
wp option get wfConfig --format=json | python3 -m json.tool

    ステップ3:マルウェアスキャンを実行する

    WordFence → スキャン →「新しいスキャンを開始」

    スキャン感度を上げる設定:

    WordFence → スキャン → スキャンスケジュールとパフォーマンス
→ スキャン感度: 高(推奨)
→ スキャンスケジュール: 毎日

    スキャン結果で問題が見つかった場合:

    # 問題のあるファイルのバックアップ
cp wp-includes/suspicious-file.php wp-includes/suspicious-file.php.bak

# WordFenceの「修復」ボタンで公式ファイルと差分を自動修復
# または手動で公式バージョンに置き換え
wp core download --force
wp plugin install {plugin-slug} --force

    ステップ4:ログイン保護を設定する

    WordFence → ログインセキュリティ
→ 2段階認証(2FA): 管理者に必須化
→ reCAPTCHA v3: ログインページに追加

WordFence → ファイアウォール → ブルートフォース攻撃保護
→ ログイン試行回数の上限: 5回(デフォルト20回から削減)
→ 試行失敗後のロック時間: 30分
→ パスワードの強度を強制: ✓

    XMLRPCを無効化(WordFence経由):

    // functions.php
add_filter('xmlrpc_enabled', '__return_false');

    ステップ5:アラートメールを設定する

    WordFence → 全オプション → アラートとアラート設定
→ アラートメールの送信先: admin@example.com
→ アラートするイベント:
  ✓ WordFenceが無効化された場合
  ✓ 管理者ユーザーがサインインした場合
  ✓ 新しい管理者ユーザーが作成された場合
  ✓ 重大な問題が見つかった場合
→ アラートの最大頻度: 1時間に1回

    ステップ6:IPブロックリストを管理する

    # ブロック済みIPを確認(WP-CLI)
wp eval "global \$wpdb; \$results = \$wpdb->get_results(\"SELECT IP, blockedTime, reason FROM \${wpdb->prefix}wfBlocks7 LIMIT 20\"); foreach(\$results as \$r) echo \$r->IP . ' - ' . \$r->reason . PHP_EOL;"

    注意事項

    • WordFenceのファイアウォール最適化後はサーバー設定ファイル(.user.ini/.htaccess)が変更されます。問題が起きた場合は手動で元に戻せます
    • 無料版はリアルタイム脅威情報の更新が30日遅延します。本番環境では有料版(Premium)の導入を検討してください
    • スキャンはサーバーリソースを使います。アクセスの少ない深夜帯に設定してください

    まとめ

    WordFenceは「ファイアウォール最適化」→「マルウェアスキャン実行」→「ログイン保護設定」→「アラートメール設定」の順に行えば基本的な防御が完了します。定期スキャンを自動化し、アラートメールで異常を素早く検知できる体制を整えてください。

    Post Views: 7

    お気軽にご相談ください

    お見積りへ お問い合わせへ
    閉じる