【Wordfence】WP乗っ取り、マルウェア、悪意あるファイル対策プラグイン

WPプラグイン・Wordfenceセキュリティのイメージ画像

WPで運営している自分のブログが乗っ取られたり、マルウェア・悪意あるファイルなどを仕組まれたり、ついには自分でコントロールできなくなったりしたらマジに大変です。

今回の記事は、乗っ取られた経験のある私が、いろいろと再構築した後、まともに再度運営できるようにした対策の1つである、WPプラグイン【Wordfence】について設定から簡単な使い方までをわかりやすく解説します。

【今回の記事がお役に立ちそうな人】
・自分のブログが乗っ取られたかも、という人
・ブログ運営に慣れていない人、セキュリティ面の対策を重要視していない人
・プラグイン、Wordfenceの導入に迷っていた人、やり方がわからなかった人

秋田秀一

何といっても最大のデメリット(損失)は、みんなに迷惑をかけるようなブログだと判断されたら、検索エンジンから排除されます
検索しても出てこなくなります。マジ残念です!

私は、そんな状態になってしまいました。

年末・年始のタイミングでブログ運営をしばらく放置していたら、その間に・・
知らないユーザーが「新規追加」されていた
■ 知らない(悪意ある?)ファイルがブログ内のサーバーに無数に設置されていた(数百ありました)、
■ 挙句の果てには「管理画面」にログインできなくなっていた、のです。

【結論】
・WPでブログを運営しているなら、セキュリティ対策のためのプラグインを設定しておくべきです。
・ズバリ、【Wordfence】でOKです。【有料】もありますが【無料】で大丈夫です。
・プラグインだけの頼るのではなく、ユーザー名、パスワード、WPのバージョン、サーバーのphp設定などいろんな点で配慮しておくことが大切です。

私を襲ったトラブルと対策についてわかりやすく解説した別記事があります。良かったら参照してみてください。

\ WP乗っ取りと対策 /
WP乗っ取りと対策

スポンサードリンク

目次

Wordfence(プラグイン)を入れてチェックするとこんな感じです

何も問題がなければ、青色のチェックマークの表示だけですが・・
異常があると【黄色の注意マーク】が表示されます。

Wordfenceスクショイメージ画像
Wordfenceイメージ

スキャンした結果について、
・不明な(悪意ある?)ファイルを削除する、無視する
・修復する、といった選択をして対応することになります。

修復や削除が万能ではありませんし、そもそもそのファイル自体が削除していいものかどうか、を素人が判断できるものでもありませんね。

必ずバックアップを取ってから「修復」とか「削除」をしてください、とありますけど・・まあ、わからないままやったら管理画面が動かなくなったり、いったんブラウザを終了させたら二度とログインできなくなったりも経験しました。

それ覚悟で強硬したのですけど・・まあ、復旧というか再度ブログを立ち上げるのが大変です。
ですから、WPプラグイン【Wordfence】をインストールした上で、、

秋田秀一

常日頃のチェックはもちろんのことですが、それとは別の防衛策も可能な限り手を尽くしておいた方がいいですよ。

※ (前述の)別記事を参照してみてください。

Wordfenceのインストールと設定

管理画面から「プラグイン」⇒「新規追加」⇒ 検索キーワードに「Wordfence」を入れて検索、インストールします。
インストールしたら ⇒「有効化」してください。

WPプラグインWordfenceインストール画面イメージ画像
Wordfenceインストールイメージ
矢印
Wordfenceインストール2イメージ画像
Wordfenceインストール2イメージ
矢印

【無料】でのインストールを模索していると、いろんな画面に出くわすことがあります。時には、表示されない場面や、登録したメールからのクリックでインストールする場合など、省略される画面もあります。

あわてないで対応してください。

Wordfenceインストール3イメージ画像
Wordfenceインストール3イメージ

この画面(下画像)が表示された時には、「FREE」を選択してください。

Wordfenceインストール4イメージ画像
Wordfenceインストール4イメージ
矢印
Wordfenceインストール5イメージ画像
Wordfenceインストール5イメージ

【無料】を選択するのでいちばん下のリンクでOKです。

矢印
Wordfenceインストール6イメージ画像
Wordfenceインストール6イメージ
矢印
Wordfenceインストール7イメージ画像
Wordfenceインストール7イメージ
秋田秀一

メールが届いているかどうか、確認してください。

メールアドレスに【FREE】のライセンスキーが届きます ⇒ 2つのインストール方法

【ライセンスキーの入力2つの方法】
1.メールアドレスのリンクをクリックする方法
2.メールアドレスに記載のライセンスキーをコピペしてブラウザ画面から入力する方法

1.メールアドレスのリンクをクリックする方法

メールの下赤線枠部分をクリックします。

秋田秀一

申請した時と同じブラウザからの一連の動作で、メールを確認した時は、クリックで大丈夫です。

Wordfenceインストール8イメージ画像
Wordfenceインストール8イメージ

2.ライセンスキーを自分で入力する方法

秋田秀一

メールを確認するパソコンが別のパソコンだったり、スマホだったりした場合には、コピペして自分でブラウザ(WPの管理画面)から入力する必要があります。

WPの管理画面に

Wordfenceインストール9イメージ画像
Wordfenceインストール9イメージ
矢印
Wordfenceインストール10イメージ画像
Wordfenceインストール10イメージ

お疲れさまでした。これでインストール完了です。

せっかくなので、早速スキャンして状況を把握しておきましょう。

Wordfenceの使い方

まずは管理画面、ダッシュボードから「自動更新を有効化」しておきます。

Wordfenceインストール11イメージ画像
Wordfenceインストール11イメージ

スキャンの実行

Wordfenceインストール12イメージ画像
Wordfenceインストール12イメージ

「新しいスキャンを開始する」でチェックします。

矢印
Wordfenceインストール13イメージ画像
Wordfenceインストール13イメージ
秋田秀一

スキャンの結果に基づいて対処することになります。
上の画像は「WPのバージョンが古い」という単純な指摘ですが、いろんな問題点の対策について簡略に整理したのが次章の「まとめ」です。

Wordfenceのまとめ

Wordfenceまとめイメージ画像
Wordfenceまとめイメージ

【無料】のWordfenceでも次のチェックをしてくれます。

・サーバーの状態
・ファイルの変更
・マルウェアスキャン
・コンテンツの安全性
・公開ファイル
・パスワード強度
・脆弱性スキャン
・ユーザー&オプションの監査

私のチェック・指摘された体験から簡単にまとめてみました。

・サーバーの状態

・脆弱性スキャン
・レンタルしているサーバーのphpが古いバージョンの場合や、
・WPのバージョンが古い場合などにチェックが入るようです。
※ カートなどのプログラムをインストールしている場合など、稼働するphpやWPのバージョンとの関係で、古いバージョンを最新のものにバージョンアップできない場合もあります。
※ リスクとの向き合い方は人それぞれです。自分で判断してください。
・ファイルの変更

・マルウェアスキャン
・WPを乗っ取られて、正体不明なファイルが量産されていたり、WPのプログラムが改ざんされていたり、WPのプラグインが勝手に無効化されていたりしたら、ここに警告が表示されます。

・Wordfenceで修復や削除などを(自分の判断で)やる手もありますが、万が一の時には大変です。
(バックアップをしてから実行してください)
※ 私の場合は修復・削除でブログがダメになったケースと、上手くいったケースとありました。
・パスワード強度・複数のブログを同じ「admin」で、同じ「パスワード」で管理運営していたら・・全部、やられました。
・今は、ユーザー名も18桁の英数の組み合わせ、パスワードは全ブログ、違うパスワードにしました。
秋田秀一

パスワードの強度を上げるなら、WPの管理画面の ⇒「ユーザー一覧」からパスワードをWP側に作成してもらって、それをコピペして使うことをおすすめします。

矢印

WPユーザー(管理者=自分)のパスワードを強化する方法

WPの管理画面 ⇒ 「ユーザー一覧」⇒「編集」からパスワードを作成します。

何度でもお気に入りのパスワードを要求できますので、ラクです。
パスワードを変更する時は画面左下の【プロフィールを更新】をクリックしてください。

⇒ 定期的に、あるいは不定期的にパスワードを変更することをおすすめします。

WPユーザーのパスワード変更イメージ画像
ユーザーのパスワード変更イメージ
矢印
WPユーザーのパスワードを変更する方法イメージ画像
WPユーザーのパスワードを変更する方法イメージ

【Wordfenceのまとめ】
・備えあれば患いなし、とまではいきませんが・・インストールすることで意識は高まります。
・ただし、その他の要因(php、WPバージョン、WPテーマのバージョン・・)などが重なって、脆弱になることもあります。
・少なくとも、ユーザー名を予測されにくいものに変更する、パスワードを強固なものにする(定期・不定期に)変更る、といった対策をマメにすることを強くおすすめします。

なんといっても、乗っ取られてからブログを再構築するのは大変ですから。

【追伸】
最後に、最近こんな不穏なことがあったので老婆心ながらの話題です。

秋田秀一

セキュリティソフトは「ESET」を利用しているのですが・・
ある日、パソコン使用中に「今、ルーターが攻撃されています」の表示がありました。

実は、会社で会社内のWi-Fiに接続してパソコンを使用している時でした。
「えっ、会社のルーターが・・」という思い。
「そういえば、先日、○さんがパソコンが使えなくなった、メールがおかしい」というトラブルが発生していたのです。

※ 今、専門の業者を呼んで対応してもらっているところですが・・やはり自己責任で、ちゃんとした対策を二重、三重にやっておかないといけないなぁ、と感じたところでした。

いよいよ二重・三重の対策の一環として【VPN】を考えないといけなくなったなぁと思っています。

秋田秀一

VPNとは、ネットとのつながりを「見えない」ものにしてくれるサービスです。

※ 特に公共のWi-Fiでネットを利用すると、情報がダダ漏れらしいです。
※ そんな状況でも「トンネル内にいるように」「自分が見えなくなるようにしてくれる」サービスです。
※ 自分が外国からアクセスしているようにもできる仕組みです。
※ 逆に外国に在住していて、その国からのアクセスだと使えないネットサービスでも、あたかも日本に住んでいるようにして日本からのアクセスだと認識させて日本で使えるサービスにつながる、というようなこともできるというものです。

秋田秀一

VPNは月額数百円レベルで可能なセキュリティ対策サービスです。
各社が期間限定のキャンペーンなども実施していますので、割安の時に検討するのもありかと思います。

【 VPN 】とは、あなたがネットにつながっているのを
隠してくれる+守ってくれるサービスです。
(月額 ⇒ 毎月300円~500円~700円~)

\ VPNランキング /
キャンペーン中のサービスもあります

金色王冠1位イメージ画像 NordVPN・6台まで可
・月額450円くらい
オフィシャルサイト【NordVPN】
銀色王冠2位イメージ画像 SurfShark・台数限度ナシ
・月額350円~550円くらい
【SurfShark】
銅色王冠3位イメージ画像 AvastSoftwareJapan・5台まで可
・月額600円くらい
アバスト セキュアラインVPN

\ 乗っ取り・リセット関連記事まとめ /
WP乗っ取り・リセット記事まとめ

ここまで本当にありがとうございました。

スポンサードリンク

WPプラグイン・Wordfenceセキュリティのイメージ画像

この記事が気に入ったら
いいね または フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

秋田秀一のアバター 秋田秀一 コンサル・ネットビジネス

元銀行員・約30年勤めて定年退職後にコンサル・ネットビジネスで起業しました。借金の返済・副業・お小遣いアップ・いきがいづくりを応援しています。⇒ 秋田秀一公式サイト

目次