「Wordfenceをインストールしたけど、英語で設定画面が難しい」「どこをどう設定すればいいかわからない」と感じていませんか?
Wordfence Securityは、世界で最も利用されているWordPressセキュリティプラグインです。400万以上のサイトに導入されており、ファイアウォール・マルウェアスキャン・ログイン保護など、総合的なセキュリティ機能を無料で使えます。
この記事では、Wordfenceのインストールから重要な設定まで、スクリーンショットをまじえて日本語でわかりやすく解説します。英語が苦手な初心者でも安心して設定できます。
よこやま良平ITエンジニアとして20年以上WordPressに携わってきたよこやま良平です。多数のサイト復旧を手がけてきたわたしが、Wordfenceの設定を初心者でも迷わないよう丁寍に解説します。
- Wordfence Securityとは何か・何ができるか
- インストールと初期設定の手順
- ファイアウォールの設定方法
- マルウェアスキャンの使い方
- ログイン保護の設定方法
- SiteGuard・CloudSecureとの使い分け
まずはWordfenceがどんなプラグインかを理解してから、設定に進みましょう。
こんなお悩みはありませんか?
- ある朝、サイトを開いたら真っ白画面になっていた
- 管理画面にログインできなくなって手が止まった
- 身に覚えのない記事やページが勝手に増えていた
- プラグインを更新したらサイト全体が崩れてしまった
- 以前バックアップを取ったか自分でも覚えていない
累計1,000件以上のWordPressトラブル対応の経験から、「壊れる前に備える」ためのチェックリストを1冊にまとめました。
ログイン・本体・バックアップ・サーバー・運用の5分野を、50項目で「危険度・確認方法・対処法」まで解説しています。
セキュリティプラグイン・WordPressの教科書も含めた3大特典を、
今なら無料で受け取れます。
Wordfence Securityとは?特徴と主な機能
Wordfence Securityは、アメリカのWordfence社が開発したWordPress専用のセキュリティプラグインです。世界で400万以上のサイトに導入されており、WordPressセキュリティプラグインの中で最も利用者が多いです。
SiteGuardやCloudSecureが「ログイン保護に特化」しているのに対して、Wordfenceは「ファイアウォール+マルウェアスキャン+ログイン保護」をひとつで提供する総合型セキュリティプラグインです。
- Webアプリケーションファイアウォール(WAF):悪意あるトラフィックをリアルタイムでブロック
- マルウェアスキャン:WordPressのファイルをスキャンしてマルウェアを検出
- ログイン保護:ブルートフォース攻撃のブロック・二段階認証(2FA)
- リアルタイムトラフィック監視:サイトへのアクセスをリアルタイムで確認
- IPブロック:不審なIPアドレスを手動・自動でブロック
- 国別ブロック(有料版):特定の国からのアクセスを一括ブロック
- シグネチャの更新タイミング:無料版は30日遅れ、有料版はリアルタイム
- 国別ブロック:有料版のみ
- IPレピュテーション:有料版はリアルタイムの脅威情報を活用
- 個人サイト・中小サイトは無料版で十分な保護が得られる
Wordfenceのインストール手順
WordfenceはWordPress公式ディレクトリで配布されているため、管理画面から直接インストールできます。
- WordPress管理画面 →「プラグイン」→「新規プラグインを追加」を開く
- 検索欄に「Wordfence」と入力する
- 「Wordfence Security – Firewall, Malware Scan, and Login Security」を見つけて「今すぐインストール」をクリックする
- インストール完了後、「有効化」をクリックする
有効化後のメールアドレス登録
Wordfenceを有効化すると、セキュリティ警告の通知を受け取るためのメールアドレス登録画面が表示されます。
管理者のメールアドレスを入力して「Continue」(続行)をクリックしてください。
Wordfenceの設定画面の見方
有効化が完了すると、管理画面の左メニューに「Wordfence」という項目が追加されます。
ここからすべての設定を行います。
- Dashboard(ダッシュボード):セキュリティ状態の概要を表示
- Firewall(ファイアウォール):WAFの設定・ブロックルールの管理
- Scan(スキャン):マルウェアスキャンの実行と結果確認
- Live Traffic(ライブトラフィック):リアルタイムのアクセス状況を確認
- Login Security(ログインセキュリティ):二段階認証・ログイン保護の設定
- Tools(ツール):IPブロック・アクセスログなど各種ツール
Wordfenceのファイアウォール設定
Wordfenceのファイアウォール(WAF)は、悪意あるリクエストをWordPressが処理する前にブロックする機能です。
有効化直後は「Learning Mode(学習モード)」になっており、サイトの通常のトラフィックを学習しています。
ファイアウォールをExtended Protection(拡張保護)に変更する
デフォルトの状態では、WordPressが一部読み込まれてからWordfenceが動作します。より強力な保護のために「Extended Protection(拡張保護)」に変更することをおすすめします。
- 管理画面左メニューの「Wordfence」→「Firewall」をクリックする
- 「Manage Firewall(ファイアウォール管理)」タブを開く
- 「Web Application Firewall Status」の下の「WAF 管理」ボタンをクリックする
- 「Enable and Protect(有効化して保護する)」をクリックする
- 画面の指示に従って設定を完了する(サーバーの種類を選択する)
ブルートフォース攻撃対策の設定
ファイアウォール設定画面の「Brute Force Protection(ブルートフォース保護)」セクションで、ログイン失敗時のブロック設定を確認・調整しましょう。
- Lock out after how many login failures(ログイン失敗でロックする回数):5回
- Lock out after how many forgot password attempts(パスワードリセット試行でロックする回数):5回
- Count failures over what time period(失敗をカウントする期間):5分間
- Amount of time a user is locked out(ロック時間):30分
Wordfenceのマルウェアスキャンの使い方
Wordfenceの最大の特徴のひとつがマルウェアスキャン機能です。WordPressのコアファイル・プラグイン・テーマをスキャンして、マルウェアや不審なコードを検出します。
スキャンの実行手順
- 管理画面左メニューの「Wordfence」→「Scan」をクリックする
- 「Start New Scan(新しいスキャンを開始)」ボタンをクリックする
- スキャンが自動的に開始される(完了まで数分〜十数分かかる場合がある)
- スキャン完了後、結果が「Scan Results(スキャン結果)」に表示される
- 問題が検出された場合は、各項目の右側にある対処ボタン(「Delete(削除)」「Repair(修復)」)をクリックして対処する
スキャン結果の見方
スキャン結果には問題の深刻度に応じて色分けされています。
- 赤(Critical):緊急対応が必要。マルウェアや危険なファイルが検出されている
- オレンジ(High):高リスク。できるだけ早く対処する
- 黄(Medium):中リスク。確認して対処を検討する
- 青(Low):低リスク。更新の推奨など情報提供レベルの通知
Wordfenceのログイン保護(Login Security)の設定
Wordfenceはログイン保護機能も備えています。特に二段階認証(2FA)はWordfenceの強力な機能のひとつです。
二段階認証(2FA)の設定
Wordfenceの二段階認証はメール認証ではなく、Google Authenticatorなどの認証アプリを使う「TOTP(時間ベースのワンタイムパスワード)」方式です。より高いセキュリティが得られます。
- 管理画面左メニューの「Wordfence」→「Login Security」をクリックする
- スマートフォンに「Google Authenticator」または「Authy」などの認証アプリをインストールする
- 画面に表示されるQRコードを認証アプリで読み取る
- 認証アプリに表示された6桁のコードを入力して「Activate(有効化)」をクリックする
- バックアップコードを必ず保存する(認証アプリが使えなくなった場合の緊急用)
スマートフォンを紛失・機種変更した場合、認証アプリが使えなくなります。その際に使えるバックアップコードを画面に表示された時点で必ずメモまたは印刷して安全な場所に保管してください。
Wordfenceのアラート(通知)設定
Wordfenceはさまざまなセキュリティイベントが起きた際にメールで通知してくれます。通知が多すぎると重要な警告を見落とすため、必要な通知に絞って設定しましょう。
- 管理画面左メニューの「Wordfence」→「All Options(全設定)」をクリックする
- 「Email Alert Preferences(メールアラート設定)」セクションを開く
- 必要な通知だけにチェックを入れる
- ✅ Alert me when Wordfence is deactivated:Wordfenceが無効化された時に通知(必須)
- ✅ Alert me when the Wordfence Web Application Firewall is turned off:WAFが無効化された時に通知(必須)
- ✅ Alert me if Wordfence is not able to send email:メール送信できない時に通知
- ✅ Alert me when there’s a critical problem with the Wordfence scan:スキャンで重大な問題が見つかった時に通知
- ⬜ ログインごとの通知(多すぎる場合はオフでも可)
Wordfenceのライブトラフィック(Live Traffic)の見方
Live Trafficでは、サイトへのアクセスをリアルタイムで確認できます。どのIPアドレスから・どのURLに・何度アクセスされているかが一目でわかります。不審なアクセスをその場でブロックすることもできます。
- 緑:正常なアクセス(人間のユーザー)
- グレー:ボットやクローラーのアクセス
- 黄:警告レベルのアクセス(要注意)
- 赤:ブロックされたアクセス(攻撃として検知)
Wordfenceの設定後確認チェックリスト
Wordfenceの初期設定が完了したら、以下のチェックリストで確認しましょう。
- メールアドレスを登録した
- ファイアウォールが「Enabled and Protecting」になっている(またはLearning Mode中)
- ブルートフォース保護のロック回数・時間を設定した
- 初回スキャンを実行して問題がないことを確認した
- 二段階認証(2FA)を有効にしてバックアップコードを保存した
- アラート通知の設定を確認した
SiteGuard・CloudSecureとWordfenceの使い分け
Wordfenceはマルウェアスキャンとファイアウォールが強みですが、SiteGuardやCloudSecureと組み合わせることでより強固なセキュリティ体制を作れます。
- Wordfenceのみ:ファイアウォール・スキャン・ログイン保護を一括で管理したい場合
- SiteGuard/CloudSecure + Wordfence:ログイン保護は国産プラグインに任せ、スキャンはWordfenceで補う最強の組み合わせ
- Wordfenceと他のファイアウォール系プラグインの同時使用は競合することがあるため注意
Wordfenceの使い方まとめ
Wordfence Securityは、ファイアウォール・マルウェアスキャン・ログイン保護を一括で管理できる総合型セキュリティプラグインです。世界で400万以上のサイトが信頼して使用しています。
- 管理画面からWordfenceをインストール・有効化し、メールアドレスを登録する
- Firewall → ファイアウォールをExtended Protectionに変更する
- Firewall → Brute Force Protectionのロック回数・時間を設定する
- Scan → 初回スキャンを実行して問題がないか確認する
- Login Security → 二段階認証を設定してバックアップコードを保存する
- All Options → メールアラートの通知設定を確認する
- 定期的にスキャンを実行してサイトの安全を確認する
定期バックアップにはUpdraftPlusを活用して、万が一の際もすぐに復元できる体制を整えておきましょう。
ホームページの乗っ取りが自分で解決できない時は
ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。
- ホームページが乗っ取られた・改ざんされた
- 管理画面にログインできなくなった
- 変なサイトにリダイレクトされている
- Googleに危険なサイトと表示されている
- 自分で復旧しようとしたが直らない
- WordPressを復旧・修正したい
- 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
- 90日間再感染保証・動作保証で安心
- 初期費用・調査費用0円で安心
