Wordfence Login Security:Wordfenceのサブセットプラグイン
Wordfence Security というと、
WordPress プラグインの中でセキュリティ系では人気の高いプラグインです。
Wordfence Security の機能の中からログインセキュリティだけを抜き出したものがあります。
それは「Wordfence Login Security」です。
その導入手順から日本語化・使い方と設定などを解説していきます。
Wordfence Login Security
Wordfence Login Security は、Wordfence Security のサブセットプラグインです。
Wordfence Login Security は、以下の機能を備えています。
- 二要素認証
- Google Authenticator、Authy、1Password、FreeOTP 等の TOTP ベースの認証アプリまたはサービスを使用
- WordPress のユーザー権限毎に 2FA を有効化
- IP でのホワイトリスト化で 2FA をバイパス可
- Google ReCAPTCHA v3 適用
- ログインページ及びメンバー登録ページで Google ReCAPTCHA v3 を有効化
- XML-RPC保護
- XML-RPC を 2FA で保護
- XML-RPC を 不要な場合は完全に無効化
記事を作成もしくは更新時点でのバージョン:1.0.4
Gutenberg エディターでの動作
Gutenberg エディターに追加される機能は無いので、気にする必要は無いです。
インストール手順
Wordfence Login Security をインストールするには 2 種類の方法があります。
下記の URL から ZIP ファイルを入手して、管理画面からアップロードして有効化する。
Wordfence Login Security – WordPress.org
もしくは、WordPress.org の公式プラグインディレクトリにリリースされているので、
管理画面からインストールできます。
ダッシュボードから「プラグイン」メニューの「新規追加」を選択し、
プラグイン追加画面右上の検索窓に「Wordfence Login Security」と入力します。
検索結果の一番左上に表示されると思うので、「今すぐインストール」をクリックします。
※一番左上に表示されない場合は、上記の画像から探して下さい。
インストールが完了したら、プラグインを「有効化」します。
プラグインのインストールに慣れていない方は、
下記の記事にて詳しく解説していますので、御覧ください。
WordPressプラグインのインストール手順を解説 – WordPress活用術
日本語化
Wordfence Login Security を有効化した際に日本語化されない場合には、
日本語化用の言語パックを translate.wordpress.org から入手できる場合があります。
WordPress と関連プロジェクト(テーマ・プラグイン)用の翻訳プラットフォームとして、
translate.wordpress.org (GlotPress) が導入されています。
※ボランティアで翻訳されている場合が多いので、
全てのプラグインで、必ずしも日本語化用の言語パックが用意されているわけでは無いです。
また、用意されていても 100% 翻訳されている保証もありません。
日本語化用の翻訳ファイルの探し方は、下記の記事を参照してください。
WordPress公式での日本語化用の翻訳ファイルの探し方 – WordPress活用術
専用メニュー
ダッシュボードの「設定」メニューの下に追加されています。
使い方
2段階認証
コードのスキャンまたはキーの入力
認証アプリで上記のコードをスキャンするか、
一部の認証アプリでは、代わりにテキストバージョンを入力することもできます。
回復コードをダウンロードできます。
認証デバイスにアクセスできなくなった場合は、
上記の 5 つのコードのいずれかを使用してログインします。
コードは、16 文字の長さとオプションのスペースです。それぞれ 1 回だけ使用可。
上記のオーセンティケーターアプリのコードを入力して、
このアカウントの 2 段階認証を確認し、アクティブにできます。
設定(Settings)
ユーザーが権限別に集計&表示されて、
「2FA Active」では 2 段階認証がアクティブになっているユーザー数も表示されます。
Enable 2FA for these roles:
2 段階認証を有効にするユーザー権限を選択します。
Require 2FA for all administrators:
全ての管理者に 2 段階認証を必須にするかどうか。
注:この設定では、少なくとも 1 人の管理者が 2FA をアクティブにする必要があります。
マルチサイトでは、このオプションは特権管理者のみに適用されます。
Grace period to require 2FA:
2 段階認証をアクティブにするのに猶予期間を設けられます。
Allow remembering device for 30 days:
デバイスの記憶を 30 日間許可するかどうか。
有効にすると、2FA を有効にしたユーザーは、
デバイスごとに 30 日ごとに 1 回だけコードの入力を求めることができます。
Require 2FA for XML-RPC call authentication:
XML-RPC コール認証に 2FA を必須にするかどうか。
有効にすると、認証を必要とする XML-RPC 呼び出しでは、
有効な 2FA コードをパスワードに追加する必要があります。
Disable XML-RPC authentication:
XML-RPC 認証を無効にするかどうか。
無効にすると認証を試みる XML-RPC リクエストは拒否されます。
Whitelisted IP addresses that bypass 2FA:
2FA を迂回できる IP アドレスをホワイトリストに登録できます。
範囲指定可。
Enable reCAPTCHA on the login and user registration pages:
ログインおよびユーザー登録ページで Google reCAPTCHA v3 を有効にするかどうか。
reCAPTCHA v3では、表示されるのは reCAPTCHA ロゴのみです。
訪問者のブラウザが CAPTCHA に失敗すると、
Wordfence はユーザーのアドレスにメールを送信します。
メール中のリンクをクリックすると、サイトのユーザーであることが確認できます。
reCAPTCHA v3 Site Key:
reCAPTCHA v3 Secret:
Google reCAPTCHA v3 のサイトキーとシークレットキーを入力します。
eCAPTCHA human/bot threshold score:
reCAPTCHA が訪問者を人間かボットかを判断するための閾値を設定します。
設定値以上の reCAPTCHA スコアは人間と見なされます。
反対に設定値未満の場合には、全てボットとして扱われて、
ログインとメンバー登録するために追加の検証が必要となります。
Run reCAPTCHA in test mode:
テストモードで reCAPTCHA を実行するかどうか。
テストモードでは reCAPTCHA は、ログイン及びメンバー登録の要求をスコアリングしますが、
実際には設定値未満でもブロックしません。
スコアが記録され、人間/ボットの閾値を選択するために使用できます。
How to get IPs:
IP の取得方法を選択します。
Use the most secure method to get visitor IP addresses. Prevents spoofing and works with most sites. (Recommended)
(推奨)最も安全な方法で訪問者の IP アドレスを取得します。ほとんどのサイトで動作します。
Use PHP’s built in REMOTE_ADDR and don’t use anything else. Very secure if this is compatible with your site.
PHP 組み込みの REMOTE_ADDR を使用して IP アドレスを取得します。サイトと互換性がある場合、非常に安全です。
Use the X-Forwarded-For HTTP header. Only use if you have a front-end proxy or spoofing may result.
X-Forwarded-For HTTP ヘッダーを使用して IP アドレスを取得します。フロントエンドプロキシがある場合にのみ使用可。
Use the X-Real-IP HTTP header. Only use if you have a front-end proxy or spoofing may result.
X-Real-IP HTTP ヘッダーを使用して IP アドレスを取得します。フロントエンドプロキシがある場合にのみ使用可。
Delete Login Security tables and data on deactivation:
非アクティブ化時にログインセキュリティテーブルとデータを削除するかどうか。
有効にすると、非アクティブ化時に全ての設定と 2FA レコードが削除されます。
後で再度アクティブにした場合、
以前に 2FA をアクティブにしていた全てのユーザーは、再度セットアップする必要があります。