Wordfence Security:総合的なセキュリティ対策ができる
ファイアウォールとマルウェアスキャナー機能を搭載した WordPress 用プラグインの紹介です。
それは「Wordfence Security – Firewall & Malware Scan」です。
その導入手順から日本語化・使い方と設定などを解説していきます。
- 1. Wordfence Security – Firewall & Malware Scan
- 2. Wordfence Securityのインストール手順
- 3. アンインストール時の注意点
- 4. Wordfence Securityの日本語化
- 5. 有効化すると
- 6. 専用メニュー
- 7. Wordfence Securityの使い方
- 8. ダッシュボード(Dashboard)
- 9. ファイヤーウォール(Firewall)
- 10. セキュリティスキャン(Scan)
- 11. ツール(Tools)
- 12. 2段階認証(ログインセキュリティ)
- 13. 全ての設定(All Options)
- 14. WordPressデフォルトのダッシュボード
- 15. URL
Wordfence Security – Firewall & Malware Scan
Wordfence Security は、最も人気のあるファイアウォールとセキュリティスキャナーを搭載した WordPress 用プラグイン。
Wordfence Security には、WordPress サイトを安全に保つために必要な最新のファイアウォールルール、マルウェアシグネチャ及び悪意のある IP アドレスが提供されています。
Wordfence Security の Web Application Firewall は、悪意のあるトラフィックを識別してアクセスをブロックします。
WordPress のセキュリティに 100 % 焦点を当ててゼロから構築と保守が行われています。
エンドポイントでサイトを保護し、
ログイン試行を制限することにより、ブルートフォース攻撃からもサイトを保護します。
Web Application Firewall を初めてインストールすると学習モードとなり、
サイトの保護とファイアウォールを通過させても良い通常の訪問者を許可する方法が設定されます。
Wordfence Security の マルウェアスキャナーは、悪意のあるコードまたはコンテンツを含むリクエストをブロックします。
WordPress 本体、テーマ、プラグインを WordPress.org のリポジトリにあるものと比較し、
マルウェア、不正な URL、バックドア、SEO スパム、悪意のあるリダイレクト、コードインジェクションが無いかをチェックします。
WordPress 本体、テーマ、プラグインの整合性をチェックし、
ファイルに変更を発見した際には管理者に報告してくれます。
変更されたファイルは、元のバージョンで上書きして修復してくれます。
また、Wordfence Security の UI 画面からリポジトリに属さないファイルを削除可。
既知のセキュリティ脆弱性についても、サイトをチェックし問題発生時には警告します。
インストールされているプラグインが長期間更新されていなかったり、
WordPress.org のリポジトリから削除されていたり、
潜在的なセキュリティの問題がある場合にも警告します。
ファイルのコンテンツ、投稿、コメントもスキャンして、
危険な URL や疑わしいコンテンツを探しだして、コンテンツの安全性も確認します。
TOTP「Time-basedOne-Time Password」ベースの認証アプリまたはサービスを介して利用できる 2 段階認証(2FA)も搭載。
XML-RPC 認証を無効にすることもできます。
新規登録とログインページ に Google reCaptcha を追加可能。
不正アクセス等で漏洩したパスワードを使用するユーザーのログインをブロックしたり、
強力なパスワードを使用することを強制することもできます。
複数のサイトのセキュリティを 1 か所で管理できる Wordfence Central (アカウントが必要)機能も搭載。
1 つのビュー画面で全ての Web サイトのセキュリティステータスを効率的に確認できます。
高度な設定が可能な各種アラートは、電子メール、SMS、または Slack を介して配信可。
管理者ログイン、パスワード使用違反、攻撃活動の急増などの重要なセキュリティイベントも追跡して警告します。
セキュリティツールでは、ハッキングの試みをリアルタイムで監視できます。
IP で攻撃者をブロックするか、IP範囲、ホスト名、ユーザーエージェント、リファラーに基づいて高度なルールを作成します。
記事を作成もしくは更新時点でのバージョン:v 7.4.2
マルチサイトでの利用:可
Wordfence Login Security
Wordfence Security からログイン周りの保護に関する機能だけを抜き出したサブセットプラグインもあります。
2 要素認証、XML-RPC 保護、Google reCaptcha によるログインページの保護がが含まれています
Wordfence Login Security の使い方 – WordPress 活用術
Wordfence Assistant
万が一、管理者がログアウトされてしまった場合に安全に復旧できる Wordfence 用データ管理プラグインがあります。
Wordfence Assistant の使い方 – WordPress 活用術
Wordfence Securityのインストール手順
下記の URL から ZIP ファイルを入手して、管理画面からアップロードして有効化するか
Wordfence Security – WordPress.org
もしくは、WordPress.org の公式プラグインディレクトリにリリースされているので、
管理画面から入手できます。
ダッシュボードから「プラグイン」メニューの「新規追加」を選択し、
プラグイン追加画面右上の検索窓に「Wordfence Security」と入力します。
検索結果の一番左上に表示されると思うので、「今すぐインストール」をクリックします。
※一番左上に表示されない場合は、上記の画像から探して下さい。
インストールが完了したら、プラグインを「有効化」します。
プラグインのインストールに慣れていない方は、
下記の記事にて詳しく解説していますので、御覧ください。
WordPressプラグインのインストール手順を解説 – WordPress活用術
アンインストール時の注意点
Wordfence Security をアンインストールすると、
Wordfence Security が使用していたテーブルが 21 個もデータベース内に残ってしまいます。
再インストールしないのであれば、テーブルも削除しておきたいところです。
21 個もあると削除時の誤操作が心配ですよね。
GUI から不要なテーブルの削除ができる WP-Optimize を使うと、
安全にテーブルを削除することができます。
上の画像のように Wordfence Security で使っているテーブルであることも一目で分かります。
WP-Optimize の使い方 – WordPress 活用術
Wordfence Securityの日本語化
Wordfence Security を有効化した際に日本語化されない場合には、
日本語化用の言語パックを translate.wordpress.org から入手できる場合があります。
WordPress と関連プロジェクト(テーマ・プラグイン)用の翻訳プラットフォームとして、
translate.wordpress.org (GlotPress) が導入されています。
※ボランティアで翻訳されている場合が多いので、
全てのプラグインで、必ずしも日本語化用の言語パックが用意されているわけでは無いです。
また、用意されていても 100% 翻訳されている保証もありません。
日本語化用の翻訳ファイルの探し方は、下記の記事を参照してください。
WordPress公式での日本語化用の翻訳ファイルの探し方 – WordPress活用術
有効化すると
Wordfence がインストールされている Web サイトのセキュリティに問題が発生した場合、
警告メールを送信する必要があるかどうか。
必要であるならば、メールアドレスを入力しましょう。
後で、設定画面から変更を行うこともできます。
We do not use this email address for any other purpose unless you opt-in to receive other mailings. You can turn off alerts in the options.
Would you also like to join our WordPress security mailing list to receive WordPress security alerts and Wordfence news?入力されたメールアドレスが他の目的に使用することはありません。
また、WordPress セキュリティメーリングリストに参加して、
WordPress セキュリティアラートと Wordfence ニュースを入力したメールアドレスで受信することもできます。
No Thanks リンクをクリックするとインストール完了です。
To make your site as secure as possible, take a moment to optimize the Wordfence Web Application Firewall:
If you cannot complete the setup process, click here for help.サイトを可能な限り安全にするために、Wordfence Web Application Firewall を最適化してください。
セットアッププロセスを完了できない場合は、「click here for help.」をクリックしてください。今すぐ最適化をするなら、「CLICK HERE TO CONFIGURE」をクリックします。
とりあえず後回しにして、かつ通知を隠すなら「DISMISS」をクリックします。
Do you want Wordfence to stay up-to-date automatically?
Wordfence を自動的に最新の状態に保ちたいですか?
後から設定画面から変更可能なので、とりあえずとして選択しても大丈夫です。
To make your site as secure as possible, the Wordfence Web Application Firewall is designed to run via a PHP setting called auto_prepend_file, which ensures it runs before any potentially vulnerable code runs.
NOTE: If you have separate WordPress installations with Wordfence installed within a subdirectory of this site, it is recommended that you perform the Firewall installation procedure on those sites before this one.We’ve preselected your server configuration based on our tests, but if you know your web server’s configuration, please select it now. You can also choose “Manual Configuration" for alternate installation details.
Wordfence は、ファイヤーウォールを PHP の設定 auto_prepend_file を使用して実行し、
潜在的に脆弱性のあるコードが実行される前にファイヤーウォール機能が実行されます。※.htaccess ファイルにも必要な設定が追記されています。
注:サイトのサブディレクトリ内に WordPress を個別にインストールしている場合、
それらのサイトでファイアウォールのインストール手順を実行することをお勧めします。テストに基づいてサーバー構成を事前に選択していますが、
Web サーバーの構成が分かっている場合は、コンボボックス構成を選択し、
「Download .htaccess」をクリックします。
代替インストールについては「手動構成」を選択することもできます。
The changes have not yet taken effect. If you are using LiteSpeed or IIS as your web server or CGI/FastCGI interface, you may need to wait a few minutes for the changes to take effect since the configuration files are sometimes cached. You also may need to select a different server configuration in order to complete this step, but wait for a few minutes before trying. You can try refreshing this page.
変更はまだ有効になっていません。
LiteSpeed または IIS を Webサーバーまたは CGI/FastCGI を使用していると、
構成ファイルがキャッシュされることがあるため、
変更が有効になるまで数分待つ必要があります。
また、この手順を完了するために別のサーバー構成を選択する必要がある場合がありますが、
試行する前に数分間待機します。
専用メニュー
ダッシュボードの「設定」メニューの下に追加されています。
Wordfence Securityの使い方
設定画面から機能の有効化と無効化の切り替えと構成の設定を行いましょう。
ダッシュボード(Dashboard)
The Wordfence Dashboard provides valuable insights into the current state of your site’s security. You’ll find useful data summarized here as well as important status updates and notifications.
Wordfence のダッシュボードは、サイトのセキュリティの現在の状態に関する情報を確認できます。
重要なステータス更新とセキュリティなどの通知だけでなく、
要約された有用なデータも確認できます。
Each feature contains a status that reminds you what’s enabled, disabled or needs attention. The Notifications section will highlight actions you need to take.
各機能には、有効化、無効化、注意が必要な事を確認できるステータスも含まれています。
「通知」セクションでは、実行する必要があるアクションが強調表示されます。
You’ll find this icon throughout the plugin. Clicking it will show you the options and features for each section of Wordfence. From the dashboard, you can find the Global Options for Wordfence such as alerts, automatic updates, and managing your site’s Premium License.
Wordfence プラグイン全体に上記のアイコンがあります。
クリックすると、Wordfence の各セクションのオプションと機能が表示されます。
ダッシュボードから、アラート、自動更新、サイトのプレミアムライセンスの管理など、
Wordfence のグローバルオプションを見つけることができます。
ファイヤーウォールの状態がパーセントで表示されています。
「Manage Firewall」リンクをクリックすると、「Firewall」メニューが開きます。
Wordfence のファイヤーウォール機能の現在の状態の詳細を確認できます。
上記の画像では、学習モードであることを示しています。
How do I get to 100%?
100 % にするにはどのようにするか。
Enable Premium Rules.
プレミアムルールを有効にすると 8.8 % アップ。
Enable Real-Time IP Blacklist.
リアルタイム IP アドレスブラックリスト機能を有効にすると 28 % アップ。
Optimize the Wordfence Firewall.
Wordfence のファイヤーウォール機能を最適化すると 16 % アップ
How does Wordfence determine this?
「https://www.wordfence.com/help/」上の該当項目が表示されます。
マルウェアスキャンの状態がパーセントで表示されています。
「Manage Scan」リンクをクリックすると、「Scan」メニューが開きます。
How do I get to 100%?
100 % にするにはどのようにするか。
Enable Premium Scan Signatures.
プレミアムスキャンシグネチャを有効にすると 30 % アップ。
Enable Premium Reputation Checks.
プレミアムレピュテーションチェックを有効にすると 10 % アップ
How does Wordfence determine this?
「https://www.wordfence.com/help/」上の該当項目が表示されます。
「無料の Wordfence ユーザーとして、現在使用していることを表示しています。
プレミアム版は、追加のファイアウォールルールとマルウェアシグネチャによって保護可。
今すぐプレミアムにアップグレードして、保護を強化してください。」
のような事が書かれています。
Wordfence によって通知されたセキュリティに関する項目が表示されています。
Wordfence Central に関する内容が表示されています。
現在のサイトを自身の Wordfence Central アカウントに接続したり、
Wordfence Central サイトにアクセスできます。
Wordfence のツールメニューにジャンプできます。
Wordfence のヘルプメニューにジャンプできます。
All Options メニュー内の Global Options 設定を表示できます。
サイトに対しての攻撃をファイヤーウォールによってブロックした概要を表示しています。
Wordfence ネットワーク全体での攻撃ブロック数の合計がグラフ表示されています。
ファイヤーウォール(Firewall)
ファイヤーウォール(Firewall)
The Wordfence firewall protects your sites from attackers
This is where you can monitor the work Wordfence is doing to protect your site and also where you can manage the options to optimize the firewall’s configuration.Wordfence ファイアウォールは、Web サイトを攻撃者から保護します。
このメニューは、Wordfence がサイト保護のための処理を確認できます。
ファイアウォールの構成を最適化するオプションもあります。
Web Application Firewall (WAF)
The Wordfence Web Application Firewall blocks known and emerging attacks using firewall rules. When you first install the WAF, it will be in learning mode. This allows Wordfence to learn about your site so that we can understand how to protect it and how to allow normal visitors through the firewall. We recommend you let Wordfence learn for a week before you enable the firewall.Webアプリケーションファイアウォール(WAF)
Wordfence WAF は、ファイアウォールのルールを使用し既知の攻撃と新たな攻撃をブロックします。
WAF を初めてインストールすると学習モードになります。
Wordfence はサイトについて学習することができるので、
サイトを保護する方法とファイアウォールを通過させても良い通常の訪問者を許可する方法を理解できます。
ファイアウォールを有効にする前に Wordfence に 1 週間学習させることをお勧めします。
Brute Force Protection
Wordfence protects your site from password-guessing attacks by locking out attackers and helping you avoid weak passwords.ブルートフォースアタック(総当たり攻撃)からの保護
Wordfence は、ブルートフォースアタックを行う攻撃者をロックアウトし、
脆弱なパスワードの回避を支援し、パスワード推測攻撃からサイトを保護できます。
Firewall Options
Set up the way you want the firewall to protect your site including the web application firewall, brute force protection, rate limiting, and blocking.ファイアウォールオプション
Web アプリケーションファイアウォール、ブルートフォースアタックからの保護、
レート制限、ブロックなど、ファイアウォールでサイトを保護する方法を設定できます。
Web Application Firewall の状態がパーセントで表示されています。
「Manage WAF」リンクをクリックすると、
All Options メニュー内の Firewall Options の項目を開きます。
The Web Application Firewall is currently in Learning Mode. Learn More
Web アプリケーションファイアウォールの現在のモードが表示されています。
How do I get to 100%?
100 % にするにはどのようにするか。
Enable Premium Rules.
プレミアムルールを有効にすると 11 % アップ。
Enable Real-Time IP Blacklist.
リアルタイム IP アドレスのブラックリストを有効にすると 35 % アップ。
Optimize the Wordfence Firewall.
Wordfence ファイアウォールを最適化すると 20 % アップ。
How does Wordfence determine this?
「https://www.wordfence.com/help/」上の該当項目が表示されます。
ファイヤーウォールのルールの状態がパーセントで表示されています。
Web アプリケーションファイアウォールの現在のモードも表示されています。
How do I get to 100%?
100 % にするにはどのようにするか。
プレミアムルールを有効にすると 30 % アップ。
How does Wordfence determine this?
「https://www.wordfence.com/help/」上の該当項目が表示されます。
リアルタイム IP アドレスのブラックリスト機能の状態がパーセントで表示されています。
ブラックリスト機能は、既知の悪意のある IP アドレスからの要求をブロック機能。
How do I get to 100%?
100 % にするにはどのようにするか。
Enable Real-Time IP Blacklist.
リアルタイム IP アドレスのブラックリスト機能を有効にすると 100 % となります。
How does Wordfence determine this?
「https://www.wordfence.com/help/」上の該当項目が表示されます。
ブルートフォースアタック保護機能の状態が表示されています。
「Manage Brute Force Protection」リンクをクリックすると、
All Options メニュー内の Brute Force Protection の項目を開きます。
Congratulations!
You’ve optimized configurations for this feature!
If you want to learn more about how this score is determined,
click the link below.
100 % だと上のようなメッセージが表示されるようです。
How does Wordfence determine this?
「https://www.wordfence.com/help/」上の該当項目が表示されます。
Rate Limiting
多くのリソースを消費していたり、コンテンツを盗んでいるクローラーをブロックします。
All Options メニュー内の Firewall Options の「Rate Limiting」項目を開きます。
Blocking
国、IP アドレス(範囲も含む)、ユーザーエージェント、リファラー、またはホスト名でトラフィックをブロックします。
Blocking タブを表示します。
Wordfence のヘルプメニューにジャンプできます。
All Options メニュー内の Firewall Options 項目を開きます。
ブロックした IP アドレスのうち順位が上位のものを表示します。
サイトに対しての攻撃をファイヤーウォールによってブロックした概要を表示しています。
過去 7 日間のうちでサイトに対する攻撃回数の多いものを国別で表示しています。
Wordfence ネットワーク全体での攻撃ブロック数の合計がグラフ表示しています。
ログインに成功もしくは失敗したものを表示しています。
ブロック(Blocking)
Blocking
Wordfence lets you take control of protecting your site with powerful blocking features. Block traffic based on IP, IP range, hostname, browser, or referrer. Country blocking is available for Premium customers.Wordfence を使用すると、強力なブロック機能を使用してサイトを保護できます。
IP アドレス、IP アドレスの範囲、ホスト名、Web ブラウザーのユーザーエージェント、
またはリファラーに基づいてトラフィックをブロックします。
プレミアム版では国別のブロックを利用できます。
Blocking Builder
All of your blocking rules are in one central location. Choose the Block Type, then enter the details for the rule. Once it has been added, you’ll see it saved as a rule for your site.ブロックタイプを選択し、ルールの詳細を登録できます。
登録されると、サイトのルールとして保存されます。
Manage Blocking Rules
Here’s where you’ll see all the blocking rules you’ve created. You can also manage them as well as remove or modify them from this table.作成した全てのブロックルールを確認できます。
また、ルールを管理したり、削除または変更することもできます。
プレミアム版用のメニューです。
チェックを付けて保存すると All Options メニュー内に項目が追加されます。
アクセスのブロックルールの作成ができます。
Type:IP 選択時
IP アドレスと作成する理由を入力します。
「BLOCK」ボタンをクリックするとルールとして作成されます。
Type:Country 選択時
国ごとブロックしたい場合に使用しますが、
プレミアム版でしか利用できません。
Type:Pattern 選択時
正規表現パターンでルールを作成したい場合に使用します。
IP アドレスの範囲指定・ホスト名・ユーザーエージェント・リファラーでルールを作成できます。
理由も同時に入力します。
ブロックされたものが一覧表示されています。
フィルタリング・ブロックの解除・永久ブロック・全ての IP アドレスのエクスポートができます。
Show Wordfence Automatic Blocks
Wordfence によって自動的にブロックされたものも表示するかどうか。
セキュリティスキャン(Scan)
Scan
A Wordfence scan looks for malware, malicious URLs, and patterns of infections by examining all of the files, posts, and comments on your WordPress website. It also checks your server and monitors your site’s online reputation.Wordfence のマルウェアスキャンでは、全てのファイル、投稿、コメントをスキャンし、
マルウェア、悪意のある URL、及び感染パターンを探します。
また、サーバーをチェックし、Web サイトのオンラインレピュテーションを監視します。
Manage Scan Settings
Set up the way you want the scan to monitor your site security including custom scan configurations and scheduling.カスタムスキャンの構成やスケジュールなど、
スキャンでサイトのセキュリティを監視する方法を設定できます。
Start Your First Scan
By default, Wordfence will scan your site daily. Start your first scan now to see if your site has any security issues that need to be addressed. From here you can run manual scans any time you like.デフォルトでは、Wordfence はサイトを毎日スキャンします。
今すぐ「最初のスキャン」を開始して、
サイトに対処する必要があるセキュリティ上の問題があるかどうかを確認します。
また、いつでも手動スキャンを実行できます。
Wordfence のスキャン機能が有効かどうかが表示されます。
スキャンの状態がパーセントで表示されています。
また、スキャンのタイプも表示されます。
「Manage Scan」リンクをクリックすると、
All Options メニュー内の Scan Options を開きます。
How do I get to 100%?
100 % にするにはどのようにするか。
Enable Premium Scan Signatures.
プレミアムスキャンシグネチャを有効にすると 30 % アップ。
Enable Premium Reputation Checks.
プレミアムレピュテーションチェックを有効にすると 10 % アップ。
How does Wordfence determine this?
「https://www.wordfence.com/help/」上の該当項目が表示されます。
マルウェアシグネチャの状態がパーセントで表示されています。
Signature updates delayed by 30 days
30 日遅れでシグネチャ表示の更新が行われます。
How do I get to 100%?
100 % にするにはどのようにするか。
Enable Premium Scan Signatures.
プレミアムスキャンシグネチャを有効にすると 30 % アップ。
How does Wordfence determine this?
「https://www.wordfence.com/help/」上の該当項目が表示されます。
評判チェックの状態がパーセントで表示されています。
スパムとスパム広告をブラックリストで確認されます。
How do I get to 100%?
100 % にするにはどのようにするか。
Enable scan option to check if this website is being “Spamvertised".
サイトが「スパム送信」されているかどうかを確認するためにスキャンオプションを有効にすると 33 % アップ。
Enable scan option to check if your website IP is generating spam.
Web サイトの IP アドレスがスパムを生成しているかどうかを確認するためにスキャンオプションを有効にすると 33 % アップ。
Enable scan option to check if your website is on a domain blacklist.
Web サイトがドメインブラックリストに載っているかどうかを確認するためにスキャンオプションを有効にすると 33 % アップ。
How does Wordfence determine this?
「https://www.wordfence.com/help/」上の該当項目が表示されます。
新しいスキャンを開始することができます。
Wordfence のヘルプメニューにジャンプできます。
All Options メニュー内の Scan Options 項目を開きます。
スパム広告チェック
スパムチェック
ブラックリストチェック
については、プレミアム版のみで機能するチェック項目です。
サーバーの状態チェック
ファイル変更チェック
マルウェアスキャン
コンテンツ安全性チェック
公開ファイルチェック
パスワード強度チェック
のスキャン結果が表示されています。
脆弱性スキャン
ユーザーおよびオプション項目の監査
の結果が表示されています。
EMAIL ACTIVITY LOG リンクをクリックすると
ポップアップが表示されます。
Wordfence アクティビティログを送信するメールアドレスを入力します。
このログは通常 Wordfence サポートチームのメンバーにのみ送信されます。
また、診断データ用の phpinfo() 関数からの PHP 構成も含まれます。
VIEW FULL LOG リンクをクリックすると、フルログが表示されます。
SHOW LOG リンクをクリックすると簡易ログが表示されます。
「DELETE ALL DELETABLE FILES」ボタンをクリックすると、
全ての削除可能なファイルが削除されます。
「REPAIR ALL REPAIRTABLE FILES」ボタンをクリックすると、
全ての修復可能なファイルが修復されます。
スキャンログ一覧例。
ステータスが致命的なログ。
無視タブに移動させたり、ログの詳細を確認できます。
詳細ログでは、修正済みとしてマークしたり、
WordPress 標準のプラグイン一覧画面を開くこともできます。
ステータスが高のログ。
無視タブに移動させたり、ログの詳細を確認できます。
詳細ログでは、修正済みとしてマークしたり、
WordPress 標準のプラグイン一覧画面を開くこともできます。
ステータスが中程度のログ(例1)。
無視タブに移動させたり、ログの詳細を確認できます。
詳細ログでは、修正済みとしてマークしたり、
WordPress 標準のプラグイン一覧画面を開くこともできます。
ステータスが中程度のログ(例2)。
無視タブに移動させたり、ログの詳細を確認できます。
詳細ログでは、修正済みとしてマークしたり、
WordPress 標準のプラグイン一覧画面を開くこともできます。
1 年間のプレミアムライセンスに関する説明が表示されています。
ツール(Tools)
Live Traffic
Live traffic defaults to a summary view of all security-related traffic. Details are viewable by clicking anywhere within the summary record. To switch to the expanded view, click the Expand All Records switch.
ライブトラフィックは、デフォルトで全てのセキュリティ関連の情報を概要で表示されます。
概要レコード内の任意の場所をクリックすると詳細を表示できます。
ライブトラフィック(Live Traffic)
この項目では、ユーザーのログイン、ハッキング試行、
Wordfence ファイアウォールによってブロックされたリクエストなど、
サイトで起こっていることをリアルタイムで表示しています。
セキュリティ関連のトラフィックのみを記録するか、
全てのトラフィックを記録するかを選択できます。
トラフィックはサーバーに直接記録されます。
記録には JavaScript が実行されない訪問も含まれます。
つまり、Live Traffic では Google や Bing 等のクローラー(ボット)の訪問も表示できます。
Show Advanced Filters
高度なフィルターを表示するかどうか。
Expand All Results
全ての結果を開くかどうか。
状態によって色分けもしてくれます。
Traffic logging mode
トラフィックのログ記録のモードを選択します。
Don’t log signed-in users with publishing access
公開アクセス権を持つログインを記録しないようにするかどうか。
- List of comma separated usernames to ignore
ログ記録の対象としないユーザーのユーザー名を入力します。カンマで区切ると複数入力可。 - List of comma separated IP addresses to ignore
ログ記録の対象としない IP アドレスを入力します。カンマで区切ると複数入力可。 - Browser user-agent to ignore
ログ記録の対象としないユーザーエージェントを入力します。 - Amount of Live Traffic data to store (number of rows)
記録できるトラフィックのデータ量を行数で指定します。
初期値:2000 - Maximum days to keep Live Traffic data (minimum: 1)
データを保存しておく期間を日数で指定します。
初期値:30
Display Live Traffic menu option
ライブトラフィックのオプションメニューを All Options メニューに表示するかどうか。
Whios ルックアップ(Whios Lookup)
whois サービスを使用すると、Web サイトにアクセスして、
かつ悪意のある活動にを行っている IP アドレスまたはドメイン名の所有者を検索できます。
インポート&エクスポート設定(Import/Export Options)
サイトの構成をインポート&エクスポートできます。
診断(Diagnostics)
このタブでは、競合、構成の問題、または他のプラグイン、テーマ、
またはホストサーバーの環境との互換性などのトラブルシューティングに使用できる情報が表示されます。
2段階認証(ログインセキュリティ)
Introducing the New Wordfence 2FA
We are excited to announce the release of a completely rebuilt two-factor authentication (2FA) feature within Wordfence. 2FA is an important layer of security that protects you from password guessing and credential stuffing attacks. Previously a Premium-only feature, it is now available for sites running the free version of Wordfence. You are now able to enable 2FA for any role, we’ve added a number of important security features, and we’ve significantly improved the admin interface.Wordfence 内に完全に再構築された 2 段階認証(2FA)機能のリリースを発表できることを嬉しく思います。
2FA は、パスワード推測やクレデンシャルスタッフィング攻撃からユーザーを保護する重要なセキュリティレイヤーです。
以前はプレミアムのみの機能でしたが、無料版の Wordfence を実行しているサイトで利用できるようになりました。
任意のユーザー権限で 2FA を有効にできるようになり、
いくつかの重要なセキュリティ機能が追加され、管理インターフェイスが大幅に改善されました。
Individual Whitelisting
Two-factor authentication now has its own IP whitelist. If necessary, you can allow specific IP addresses or ranges to skip 2FA when logging in.2 段階認証に独自の IP アドレスホワイトリストが追加されました。
必要に応じて、特定の IP アドレスまたは範囲にログイン時に 2FA をスキップさせることができます。
New Login Page Captcha Feature
Wordfence now includes the option to enable Google reCaptcha v3 on your WordPress login and registration pages. This adds a powerful new layer of protection against password guessing and credential stuffing attacks from bots without slowing down real users.Wordfence には、WordPress のログイン及びメンバー新規登録ページで、
Google reCaptcha v3を有効にするオプションが含まれています。
これにより、ボットからのパスワード推測やクレデンシャルスタッフィング攻撃に対する強力な新しい保護層が追加されます。
2段階認証
編集のユーザーが表示されます。
1.コードのスキャンまたはキーの入力
認証アプリで上記のコードをスキャンするか、
一部の認証アプリでは、代わりにテキストバージョンを入力することもできます。
2.認証アプリからコードを入力
回復コードをダウンロードできます。
認証デバイスにアクセスできなくなった場合は、
上記の 5 つのコードのいずれかを使用してログインします。
コードは、16 文字の長さとオプションのスペースです。それぞれ 1 回だけ使用可。
下記のオーセンティケーターアプリのコードを入力して、
このアカウントの 2 段階認証を確認し、アクティブにできます。
設定
ユーザーが権限別に集計&表示されて、
「2FA Active」では 2 段階認証がアクティブになっているユーザー数も表示されます。
Enable 2FA for these roles
2 段階認証を有効にするユーザー権限を選択します。
Require 2FA for all administrators
全ての管理者に 2 段階認証を必須にするかどうか。
注:この設定では、少なくとも 1 人の管理者が 2FA をアクティブにする必要があります。
マルチサイトでは、このオプションは特権管理者のみに適用されます。
Grace period to require 2FA
2 段階認証をアクティブにするのに猶予期間を設けられます。
Allow remembering device for 30 days
デバイスの記憶を 30 日間許可するかどうか。
有効にすると、2FA を有効にしたユーザーは、
デバイスごとに 30 日ごとに 1 回だけコードの入力を求めることができます。
Require 2FA for XML-RPC call authentication
XML-RPC コール認証に 2FA を必須にするかどうか。
有効にすると、認証を必要とする XML-RPC 呼び出しでは、
有効な 2FA コードをパスワードに追加する必要があります。
Disable XML-RPC authentication
XML-RPC 認証を無効にするかどうか。
無効にすると認証を試みる XML-RPC リクエストは拒否されます。
Whitelisted IP addresses that bypass 2FA
2FA を迂回できる IP アドレスをホワイトリストに登録できます。
範囲指定可。
Enable reCAPTCHA on the login and user registration pages
ログインおよびユーザー登録ページで Google reCAPTCHA v3 を有効にするかどうか。
reCAPTCHA v3では、表示されるのは reCAPTCHA ロゴのみです。
訪問者のブラウザが CAPTCHA に失敗すると、
Wordfence はユーザーのアドレスにメールを送信します。
メール中のリンクをクリックすると、サイトのユーザーであることが確認できます。
reCAPTCHA v3 Site Key
reCAPTCHA v3 Secret
Google reCAPTCHA v3 のサイトキーとシークレットキーを入力します。
reCAPTCHA human/bot threshold score
reCAPTCHA が訪問者を人間かボットかを判断するための閾値を設定します。
設定値以上の reCAPTCHA スコアは人間と見なされます。
反対に設定値未満の場合には、全てボットとして扱われて、
ログインとメンバー登録するために追加の検証が必要となります。
Run reCAPTCHA in test mode
テストモードで reCAPTCHA を実行するかどうか。
テストモードでは reCAPTCHA は、ログイン及びメンバー登録の要求をスコアリングしますが、
実際には設定値未満でもブロックしません。
スコアが記録され、人間/ボットの閾値を選択するために使用できます。
Delete Login Security tables and data on deactivation
非アクティブ化時にログインセキュリティテーブルとデータを削除するかどうか。
有効にすると、非アクティブ化時に全ての設定と 2FA レコードが削除されます。
後で再度アクティブにした場合、
以前に 2FA をアクティブにしていた全てのユーザーは、再度セットアップする必要があります。
全ての設定(All Options)
Wordfence 全般設定(Wordfence Global Options)
Wordfenceライセンス(Wordfence License)
デフォルトでは、フリーのライセンスキーが設定されています。
ビューのカスタマイズ(View Customization)
Display “All Options" menu item
「すべてのオプション」メニュー項目を表示するかどうか。
Display “Blocking" menu item
「ブロック」メニュー項目を表示するかどうか。
Display “Live Traffic" menu item
「ライブトラフィック」メニュー項目を表示するかどうか
Wordfenceの一般設定(General Wordfence Options)
Update Wordfence automatically when a new version is released?
Wordfence の新しいバージョンがリリースされたら自動的に更新するかどうか。
チェックを付けると、新しいリリースから 24 時間以内にWordfenceを最新バージョンに自動的に更新します。
Where to email alerts
アラートメールを受信するメールアドレスを入力します。
デフォルトでは、管理者のメールアドレスが自動的に設定されています。
How does Wordfence get IPs
Wordfence が IP アドレスを取得する方法を選択します。
Let Wordfence use the most secure method to get visitor IP addresses. Prevents spoofing and works with most sites. (Recommended)
(推奨)Wordfence で最も安全な方法を使用して、訪問者の IP アドレスを取得します。
なりすましを防ぎ、ほとんどのサイトで動作します。
Use PHP’s built in REMOTE_ADDR and don’t use anything else. Very secure if this is compatible with your site.
PHP の組み込み定数 REMOTE_ADDR を使用し、他のものは使用しないでください。
サイトと互換性がある場合、非常に安全です。
Use the X-Forwarded-For HTTP header. Only use if you have a front-end proxy or spoofing may result.
X-Forwarded-For HTTP ヘッダーを使用します。
フロントエンドプロキシがある場合にのみ使用してください。
スプーフィング攻撃が発生する可能性があります。
Use the X-Real-IP HTTP header. Only use if you have a front-end proxy or spoofing may result.
X-Real-IP HTTP ヘッダーを使用します。
フロントエンドプロキシがある場合にのみ使用してください。
スプーフィング攻撃が発生する可能性があります。
Use the Cloudflare “CF-Connecting-IP" HTTP header to get a visitor IP. Only use if you’re using Cloudflare.
Cloudflare “CF-Connecting-IP" HTTPヘッダーを使用して、
訪問者 IP アドレスを取得します。
Cloudflare を使用している場合にのみ使用してください。
Trusted Proxies
1 行に 1 つの IP アドレスまたは CIDR 範囲を入力します。
これらの IP アドレス(または CIDR 範囲)は、X-Forwarded-For HTTPヘッダーを介して、
要求元 IP アドレスを決定する時に無視されます。
Hide WordPress version
WordPress 本体のバージョンを非表示にするかどうか。
Disable Code Execution for Uploads directory
Uploads ディレクトリでのコード実行を無効にするかどうか。
Pause live updates when window loses focus
ウィンドウがフォーカスを失うとライブアップデートを一時停止するかどうか。
このオプションは、スキャンページとライブトラフィックページに「ライブ更新一時停止」オーバーレイを表示し、一部のページの「Wordfenceライブアクティビティ」バーに小さなオーバーレイを表示します。
これにより、アクティブに使用している間のみページを更新することになり、
サーバーリソースを節約できます。
デフォルトでは有効になっています。
別のウィンドウで作業中にサイトに更新を表示する必要がある場合は無効にできます。
ほとんどの共有ホスティングプランでは無効にすることはお勧めしません。
数秒ごとにサイトにアクセスする訪問者と同等のリソース使用量になる可能性があるためです。
このオプションを無効のままにすると、
「更新間隔(秒単位)」オプションを増やして、
ブラウザがサイトからの更新をより少なくリクエストできるようにすることができます。
Update interval in seconds
ページの更新間隔を秒単位で指定できます。
より高い値に設定すると、ブラウザのトラフィックは減少しますが、
スキャンの開始とライブトラフィック&ステータス更新が遅くなります。
Bypass the LiteSpeed “noabort" check
LiteSpeedの「noabort」チェックをバイパスするかどうか。
Delete Wordfence tables and data on deactivation
非アクティブ化時に Wordfence テーブルとデータを削除するかどうか。
注:ログインセキュリティ設定とテーブルは含まれません。
ログインセキュリティ設定ページで個別に選択する必要があります。
ダッシュボード通知設定(Dashboard Notification Options)
Updates Needed (Plugin, Theme, or Core)
WordPress 本体、プラグイン、テーマの「必要な更新」を通知するかどうか。
Scan Status
スキャンステータスを通知するかどうか。
ダッシュボードの通知では、セキュリティの警告以外にも、
プロモーション、ブログのハイライト、製品の更新についても表示されます。
これらの通知は、プレミアムライセンスにアップグレードすることで無効にできます。
アラートメールの設定(Email Alert Preferences)
Email me when Wordfence is automatically updated
Wordfence が自動的に更新された時にメールで通知するかどうか。
自動更新が有効になっていると Wordfence が更新されるとメールが届きます。
Email me if Wordfence is deactivated
Wordfence が無効になったらメールで通知するかどうか。
Email me if the Wordfence Web Application Firewall is turned off
Wordfence Web アプリケーションファイアウォールがオフになっているとメールで通知するかどうか。
Alert me with scan results of this severity level or greater
スキャン時に設定された重大度レベル以上の結果が発生するとメールで通知するかどうか。
Alert when an IP address is blocked
IP アドレスがブロックされた時に警告メールを送信するかどうか。
Alert when someone is locked out from login
誰かがログイン状態からロックアウトされた時に警告メールを送信するかどうか。
Alert when someone is blocked from logging in for using a password found in a breach
誰かがログインすることをブロックされた時に警告メールを送信するかどうか。
Alert when the “lost password" form is used for a valid user
有効なユーザーに「パスワードを忘れた」フォームが使用された時に警告メールを送信するかどうか。
Alert me when someone with administrator access signs in
管理者権限を持つユーザーがサインインした時に通知するかどうか。
Only alert me when that administrator signs in from a new device or location
管理者が新しいデバイスまたは場所からサインインした時にのみ通知するかどうか。
Alert me when a non-admin user signs in
管理者以外のユーザーがサインインした時に通知するかどうか。
Only alert me when that user signs in from a new device or location
管理者以外のユーザーが新しいデバイスまたは場所からサインインした時にのみ通知するかどうか。
Alert me when there’s a large increase in attacks detected on my site
サイトで検出された攻撃が大幅に増加したときに通知するかどうか。
Maximum email alerts to send per hour
1 時間あたりで送信するアラートメールの最大数を入力します。
「0」は、無制限でアラートメールが送信されることを意味します。
アクティビティレポート(Activity Report)
Enable email summary
メールの概要を有効にするかどうか。
List of directories to exclude from recently modified file list
最近変更されたファイルリストから除外するディレクトリを指定します。
Enable activity report widget on the WordPress dashboard
WordPress ダッシュボードでアクティビティレポートウィジェットを有効にするかどうか。
ファイヤーウォール設定(Firewall Options)
基本的なファイヤーウォール設定(Basic Firewall Options)
Web アプリケーションファイアウォールステータスを選択します。
初めてインストールすると自動的に学習モードになります。
学習モードで Wordfence はサイトについて学習できるので、
サイトを保護する方法とファイアウォールを通過する通常の訪問者を許可する方法を理解できます。
ファイアウォールを有効にする前に、Wordfenceに 1 週間学習させることをお勧めします。
Automatically enable on
自動的に有効にする日にちを設定します。
基本的な WordPress 保護レベル:
プラグインは WordPress のロード後に通常のプラグインとしてロードされ、
多くの悪意のあるリクエストをブロックできますが、
一部の脆弱なプラグインまたは WordPress 自体は全てのプラグインがロードされる前に脆弱なコードを実行する可能性があります。
高度なファイヤーウォール設定(Advanced Firewall Options)
Delay IP and Country blocking until after WordPress and plugins have loaded (only process firewall rules early)
WordPress とプラグインが読み込まれるまで、IP アドレスと国のブロックを遅延させるかどうか。
※ファイアウォールルールのみを早期に処理します。
Whitelisted IP addresses that bypass all rules
全てのルールをバイパスする IP アドレスをホワイトリストに登録できます。
登録する IP アドレスは、カンマで区切るか、別の行に入力する必要があります。
次のようにすると範囲指定可:127.0.0.1/24、127.0.0.[1-100]、または127.0.0.1-127.0.1.100
プライベートネットワークはパブリックインターネット上でルーティングできないため、
Wordfence はプライベートネットワークを自動的にホワイトリストに登録します。
Whitelisted services
Facebook などの一部の外部サービスの意図しないブロックを回避するために、
Wordfence はホワイトリストに登録します。
サービスはデフォルトでホワイトリストに登録されています。
「ホワイトリストサービス」オプションの対応するチェックボックスを無効にすることで、
特定のサービスのホワイトリストを無効にできます。
チェックボックスが無効になっている場合、他の訪問者と同じように扱われます。
Immediately block IPs that access these URLs
指定した URL にアクセスする IP アドレスを即時ブロックできます。
複数の URL をカンマで区切るか別々の行に配置します。
ワイルドカードも使用可。
全ての URL は、引用符なしの「/」で始まり、相対パスである必要があります。
Ignored IP addresses for Wordfence Web Application Firewall alerting
Wordfence Web Application Firewall アラートでスルーする IP アドレスを指定できます。
IP アドレスは、カンマで区切るか別々の行に配置する必要があります。
攻撃の増加に関するアラートから無視され、
スタンドアロンの Web サイトセキュリティスキャナーなどをスルーするために使用できます。
Rules
Wordfence Web Application Firewall には、既知の攻撃、つまり悪用される攻撃に一致する多くのルールがあります。
これらの攻撃のパターンは特定のものであり、
要求が一致するかどうかを判断する際に最小限の処理が必要です。
また、WAF は、パターンマッチングを使用して、
リクエストが悪意があるように見えるかどうかを判断する多数の汎用ルールを使用します。
誤検知によるブロックに関する問題がある場合、
テスト目的で個々のファイアウォールルールを無効にすることができます。
Wordfence Live Traffic を使用して、特定のブロックを引き起こしたファイアウォールルールを特定できます。
次回のルールの更新チェック日が表示されています。
手動での即時更新もできます。
総当たり攻撃保護(Brute Force Protection)
Enable brute force protection
ブルートフォースアタックからの保護を有効にするかどうか。
- Lock out after how many login failures
ログインが失敗した際にロックアウトするまでの回数を指定します。
初期値:20 - Lock out after how many forgot password attempts
「パスワードを忘れましたか?」フォームを使用できる回数を指定します。
初期値:20 - Count failures over what time period
失敗をカウントする時間枠を選択します。
初期値:4 時間 - Amount of time a user is locked out
ユーザーがロックアウトされている時間枠を選択します。
初期値:4 時間
Immediately lock out invalid usernames
無効なユーザー名でのログイン試行をを即時ロックアウトするかどうか。
Immediately block the IP of users who try to sign in as these usernames
下記で指定したユーザー名でサインインしようとするユーザーの IP アドレスを即時ブロックします。
複数を指定する場合には改行します。
Prevent the use of passwords leaked in data breaches
不正アクセスで漏洩したパスワードの使用を防止するかどうか。
追加設定(Additional Options)
Enforce strong passwords
強力なパスワードを強制するかどうか。
「管理者と発行者」または「全てのメンバー」に対して強制的に強力なパスワードを使用させます。
Don’t let WordPress reveal valid users in login errors
「入力したユーザー名またはパスワードが正しくありません」という一般的なメッセージを表示するかどうか。
Prevent users registering 'admin’ username if it doesn’t exist
WordPressで「admin」アカウントを無効にして削除しても、
WordPress の一般設定で「誰でも登録できる」オプションが有効になっていると、
「admin」というユーザー名でアカウントを登録できてしまいます。
この機能を有効にすると、上記のことが防止されます。
このオプションを有効にすることをお勧めします。
Prevent discovery of usernames through '/?author=N’ scans, the oEmbed API, and the WordPress REST API
このオプションを有効にすると、
ハッカーが、?author=2 などのような方法を使用してユーザー名を発見できなくなります。
Block IPs who send POST requests with blank User-Agent and Referer
空のユーザーエージェントとリファラーで POST 要求を送信する IP アドレスをブロックするかどうか。
Custom text shown on block pages
ブロックページに表示されるカスタムテキストをカスタマイズできます。
Check password strength on profile update
プロファイルの更新時にパスワードの強度を確認するかどうか。
Participate in the Real-Time Wordfence Security Network
リアルタイム Wordfence セキュリティネットワークに参加するかどうか。
レート制限(Rate Limiting)
Enable Rate Limiting and Advanced Blocking
レート制限と高度なブロックを有効にするかどうか。
IP アドレス、国及び高度なブロック、以下の「レート制限ルール」を含むすべてのブロック/スロットル機能を有効にします。
Immediately block fake Google crawlers
Google クローラーのフリをした偽の Google クローラーを即時ブロックするかどうか。
If anyone’s requests exceed
誰かのリクエストが無制限もしくは 1 分あたり○件を超えた場合の処理方法を抑制もしくはブロックするかを選択します。
If a crawler’s page views exceed
クローラーのページビュー数が無制限もしくは 1 分あたり○件を超えた場合の処理方法を抑制もしくはブロックするかを選択します。
If a crawler’s pages not found (404s) exceed
クローラーによる 404 エラーが発生件数が無制限もしくは 1 分あたり○件を超えた場合の処理方法を抑制もしくはブロックするかを選択します。
If a human’s page views exceed
訪問者(人)のページビュー数が無制限もしくは 1 分あたり○件を超えた場合の処理方法を抑制もしくはブロックするかを選択します。
If a human’s pages not found (404s) exceed
訪問者(人)による 404 エラーが発生件数が無制限もしくは 1 分あたり○件を超えた場合の処理方法を抑制もしくはブロックするかを選択します。
How long is an IP address blocked when it breaks a rule
上記のルールに違反した時に IP アドレスをブロックする期間を
1 分・5 分・30 分・1 時間・2 時間・6 時間・12 時間・1 日・2 日・5 日・10 日・1 ヶ月
から選択します。
ホワイトリスト URL(Whitelisted URLs)
Whitelisted 404 URLs
ホワイトリストに登録された404 URL
クローラーを制限するルールに対してカウントしない URL を登録します。
ファイアウォールがラーニングモードにある間、
または特定のアクション・リクエストが誤検知であると識別できるように追加できます。
管理者の Web ブラウザからのバックグラウンドリクエストを監視して、
誤検知がないか確認できます。
ブロック設定(Blocking Options)
Advanced Country Blocking Options
プレミアム版のみの機能です。
マルウェアスキャン設定(Scan Options)
無料版の Wordfence を使用している場合、
クイックスキャンは毎日実行され、フルスキャンは 72 時間ごとに実行されます。
※全ての Wordfence スキャンは、スケジュールされた時間の 1 時間以内に実行されます。
スキャンスケジュール(Scan Schedule)
Schedule Wordfence Scans
Wordfence スキャンのスケジュールを有効にするかどうか。
基本的なスキャンタイプ設定(Basic Scan Type Options)
Limited Scan
エントリーレベルのホスティングサーバープラン用。
リソース使用率が非常に低い限定的なスキャン機能を実行します。
Standard Scan
全ての Web サイトに対して推奨のスキャンタイプ。
業界で最高のスキャン機能を実行します。
High Sensitivity
ハッキングされた可能性がある Web サイト向け。
より徹底的にスキャニングを行いますが。誤検知も発生する可能性があります。
Custom Scan
Web サイトの一般オプションがカスタマイズされた時に自動的に選択されます。
一般設定(General Options)
プレミアム版のみの機能です。
Scan for misconfigured How does Wordfence get IPs
Wordfence が訪問者の IP アドレスをどのように認識するかを確認するかどうか。
サーバーまたはドメインが「リバースプロキシ」を使用するように設定されている場合、
このスキャンを有効にしておくことを推奨。
スキャンは週に 1 回実行され、実行する必要がない場合、
スキャンの概要に「スキップ」と表示されます。
Scan for publicly accessible configuration, backup, or log files
wp-config.old のようなファイル名だったり、
リモートからアクセスできる機密情報を含むファイルをチェックするかどうか。
これらのファイルへのアクセスを防止すると、
データベースのパスワードやその他の重要な情報を安全に保つことができます。
Scan for publicly accessible quarantined files
マルウェアの可能性があるファイル検出すると、
一部のホストが生成する隔離されたファイルをチェックするかどうか。
通常、検出したファイルのファイル名を「.suspected」で終わるように変更します。
そうすると、Web サーバーは PHP ファイルであるにも関わらず、
PHP コードとして実行するのではなく、PHP ファイルの内容を公開してしまいます。
なので、wp-config.php などの重要なファイルの名前が、
wp-config.php.suspected に変更されてしまうと、
データベースパスワード等が公開されてしまいます。
それを防ぐためにデフォルトでチェックが付いています。
Scan core files against repository versions for changes
WordPress 本体のファイルが WordPress 公式のコアリポジトリに存在するものと一致するかどうかをチェックします。
WordPress 本体ファイルが変更されていた場合、
マルウェアに感染した可能性があります。
変更が発生した場合、Wordfence は「差分」が実行されていることを確認できるようにしてくれます。
コアファイルと公式の WordPress コアの違いを構文的に強調表示します。
Scan theme files against repository versions for changes
WordPress 本体の変更検出スキャンと同じように、
インストール済みのテーマを公式の WordPress テーマリポジトリにあるテーマと比較します。
商用テーマまたは公式の WordPress リポジトリにないテーマには適用されません。
商用テーマがある場合、
マルウェア、悪意のある URL、バックドア、その他の多くのアイテムをスキャンしますが、
テーマファイルが配信元のファイルから変更されているかどうかを確認することはできません。
Scan plugin files against repository versions for changes
WordPress 本体の変更検出スキャンと同じように、
プラグインを公式の WordPress リポジトリにあるものと比較し、変更があれば警告します。
プラグインのコードをカスタマイズしている場合には検出されます。
一部の開発者が WordPress の公式のガイドラインに従っていない場合があります。
Scan wp-admin and wp-includes for files not bundled with WordPress
WordPress 本体にないファイルが wp-admin と wp-includes フォルダに無いかをスキャンするかどうか。
Scan for signatures of known malicious files
ファイル全体を調べ、Wordfence が保持している既知の悪意のあるファイルの情報を保存しているデータベースと比較するかどうか。
悪意のあることが分かっているファイルが検出された場合は、警告が表示されます。
Scan file contents for backdoors, trojans and suspicious code
バックドア、トロイの木馬、疑わしいコードを探すためにファイルの内容をスキャンするかどうか。
Scan file contents for malicious URLs
様々な方法で悪意のある攻撃者によって、
使用される可能性のある悪意のある URL のファイルコンテンツをスキャンするかどうか。
Scan posts for known dangerous URLs and suspicious content
データベースに直接アクセスし、サイトの全ての投稿をスキャンするかどうか。
フィッシングリンクやマルウェアをダウンロードさせる既知の危険な URL が含まれていないかを確認してくれます。
また、感染またはハッキングによって生成された疑わしいコンテンツもチェックします。
このスキャンオプションを有効にすると、
新規に公開された投稿だけでなく、常に全ての投稿がチェックされます。
各投稿に表示されるリンクは Google によってインデックスが作成されます。
Google によってブラックリストに登録されているサイトにリンクしている場合、
自サイトが仲介者として機能するためにブラックリストに登録される可能性があります。
Scan comments for known dangerous URLs and suspicious content
データベースに直接アクセスし、全てのコメントをスキャンするかどうか。
既知の悪意のある URL 及び感染を示す他のパターンが公開された状態のコメントにないかをチェックします。
上述の投稿スキャンと同様にスキャンが実行されるたびにフルスキャンを実行します。
サイトが Google によってブラックリストに登録されている既知の危険な URL にリンクされないようにするため重要なスキャンです。
この機能は非常に高速でサイトに数千または数万のコメントがある場合でも、
効率的なアルゴリズムを使用するため、非常に高速に実行されます。
Scan WordPress core, plugin, and theme options for known dangerous URLs and suspicious content
WordPress 本体、プラグイン、またはテーマで使用される WordPress オプションに保存されている内容に既知の悪意のあるコンテンツと危険な URL がないかをチェックするかどうか。
サイトがクリーンアップされた場合や脆弱なプラグイン・テーマが削除された場合は、
古いハッキングの残骸も含まれる場合があります。
Scan for out of date, abandoned, and vulnerable plugins, themes, and WordPress versions
WordPress 本体、古いテーマまたはプラグインを使用している場合、警告メールを送信するかどうか。
これを有効にしておくことを強くお勧めします。
新しいバージョンをリリースしたプラグインとテーマはスキャン結果に「警告」として表示されます。
既知の脆弱性を修正するアップデートを含むプラグインとテーマはスキャン結果に「重要」アイテムとして表示されます。
Scan for admin users created outside of WordPress
WordPress ユーザーページではなく、
脆弱なプラグインなどの別の方法で作成された管理者ユーザーをチェックするかどうか。
Check the strength of passwords
パスワードの強度をチェックするかどうか。
ユーザーパスワードと管理者パスワードをスキャンして、
非常に一般的なパスワードを使用しているかどうかを確認します。
このスキャンでは管理者レベルのアカウントでは拡張チェックを実行し、
ユーザーレベルのアカウントで大まかなチェックを実行します。
Monitor disk space
ディスク容量をモニタリングするかどうか。
サーバーが容量不足に近づいている場合にメールで通知してくれます。
Monitor Web Application Firewall status
Wordfence の Web アプリケーションファイアウォールの状態を監視するかどうか。
Scan files outside your WordPress installation
このオプションを有効にすると、全てのサブディレクトリをスキャンするかどうか。
スキャン時間が大幅に長くなる場合があり、サーバー上のリソースを大量に消費します。
ホスティング会社によって強制終了される場合があるので、
スキャンが正常に終了しない場合などがあります。
Scan images, binary, and other files as if they were executable
イメージファイル、バイナリファイル及び実行可能なその他のファイルをスキャンするかどうか。
パフォーマンス設定(Performance Options)
Use low resource scanning (reduces server load by lengthening the scan duration)
使用するリソースを低めにしてスキャンをするかどうか。
スキャン時間を長くすることでサーバーの負荷を軽減します。
Limit the number of issues sent in the scan results email
スキャン終了時にスキャン結果をメール送信する場合、送信されるメールの総数を制限できます。
「0」または空の場合、無制限でメール送信されます。
Time limit that a scan can run in seconds
スキャンを実行できる時間を秒単位で制限できます。
「0」または空の場合、デフォルトの 3 時間が使用されます。
How much memory should Wordfence request when scanning
スキャン時に Wordfence が使用するメモリ量をメガバイト単位で指定できます。
Maximum execution time for each scan stage
各スキャンの最大実行時間を指定できます。
デフォルトは「0」。
8 以上である必要があり、ほとんどのサーバーで10 から 20 以上を推奨。
高度なスキャン設定(Advanced Scan Options)
Exclude files from scan that match these wildcard patterns (one per line)
スキャンから除外ファイルを指定します。
1 行に 1 つ。
正規表現パターンとしてワイルドカードを使用可。
Additional scan signatures (one per line)
スキャンシグネチャを追加できます(1 行に 1 つ)。
マルウェアチェック中にスキャナーによって処理されます。
正規表現は、パターン区切り文字なしで入力する必要があります。
ツール設定(Tool Options)
ライブトラフィック設定(Live Traffic Options)
Traffic logging mode
トラフィックロギングモードを選択します。
全てのトラフィックを記録するか、セキュリティ関連のトラフィックのみを記録するかを選択できます。
Don’t log signed-in users with publishing access
管理者や編集者をライブトラフィックに表示したくない場合は、
このオプションを有効のままにしてください。
List of comma separated usernames to ignore
特定のログインユーザーをライブトラフィックから除外できます。
除外するユーザー名を入力します。カンマ区切りで複数指定可。
List of comma separated IP addresses to ignore
特定の IP アドレス(たとえば、独自の IP アドレス)をライブトラフィックから除外できます。
除外する IP アドレス を入力します。カンマ区切りで複数指定可。
Browser user-agent to ignore
特定のユーザーエージェントをライブトラフィックから除外できます。
Amount of Live Traffic data to store (number of rows)
Wordfence Live Traffic に割り当てるデータベースの容量を制限できます。
Maximum days to keep Live Traffic data (minimum: 1)
ライブトラフィックのデータを保存しておく最大日数を指定できます。
デフォルトは 30 日で、最小は 1 日です。
毎日チェックされ、制限を超えるレコードはその時点で削除されます。
インポート&エクスポート設定(Import/Export Options)
インポートとエクスポートは「ツール」ページで利用できます。
ボタンをクリックすると、ツールページが表示されます。
ログインセキュリティ設定(Login Security Options)
ログインセキュリティオプションは、ログインセキュリティオプションページで利用できます。
ボタンをクリックすると、ログインセキュリティオプションが表示されます。
WordPressデフォルトのダッシュボード
WordPress 標準のダッシュボードで表示されるボックスです。