前回のエントリで触れたWordpressのセキュリティプラグイン「Wordfence」は相変わらず重宝しています。ダッシュボード上でチェックが簡単にできる点がいいですね。アクセス解析の「New StatPress」と共にほぼ毎日確認しています。

※WordfenceプラグインはWordpress上のセキュリティチェックのみを行なうプラグインです。鯖OS、Apache、My SQL、PHPなどのセキュリティチェックは行なわないのでご注意を。

で、日本語でこのプラグインについてきちんと説明しているところがないので導入から設定画面までを簡単に紹介しようかと。

Wordfenceのインストール

ダッシュボードにログイン後、[プラグイン]→[新規追加]とたどったら、検索フォームに「Wordfence」と入力。

検索一覧に「Wordfence Security」が表示されているので、「いますぐインストール」をクリック。ダッシュボードからのプラグイン追加を許可してあれば、インストールはこれだけで終わり。^^;;
オプションを確認したらプラグイン一覧で「有効化」しておきましょう。

引き続き、設定などの各種画面について

Scan

WordPressモジュールやテーマ、プラグインが不正に改変されていないかの確認ができます。何はともあれ左上にある青い「Start a Wordfence Scan」ボタンをクリック。スキャンの際にWordfenceのサーバ（69.46.36.0～69.46.36.32）と通信を行なうので、ガチガチにiptablesを設定している場合には通すようにしておきましょう。

しばらくScan SummaryとScan Detailed Activityにチェック項目と進捗状況が表示された後、問題があればその下の「New Issues」タブに問題点が表示されます。インストールされているプラグインの中にバージョンの古いものがあれば通知してくれたりもしますが、重宝するのがテーマやプラグインの改変チェック。
もし、オリジナルから改変されていることが確認されればファイル毎に警告が表示されます。選択肢は「リポジトリから復元」「無視」「解決法を確認」の3つ。

wordpress.org上で配布されているテーマやプラグインをカスタマイズしている場合には、ここで改変されている旨のメッセージが表示されます。ここでカスタマイズしたファイルの復元を選んでしまうとカスタマイズが水の泡になるのでご注意を。
また、一度無視した項目については「Ignored Issues」タブに格納されるので確認しておきましょう。

Live traffic

Wordfenceで私が一番便利だなと思っている項目がここ。アクセス元のIPアドレスを元にDNS逆引きして国別表示をしてくれたり、ユーザーエージェントを判別してユーザーかクローラーかを判別したりしてくれます。

中でも「Pages not found」と「Logins and Logouts」タブは要チェック。1日も放置しておけば、存在しないはずの投稿者（author）やカテゴリ、タブを延々とリクエストしてくるIPが表示されていると思います。見えなかった不正アクセスが見えるようになると、今までどれだけノーガードだったのか怖くなると思います。

Blocked IPs

読んで文字のごとし。ブロックしたIPアドレスやロックアウトされたIPアドレスが表示されます。デフォルトでは一定時間後にブロックは解除されますが、永続的にブロックし続けることも可能です。もちろん手動でブロック解除することも。ブロックされる前に何ヒットしたか、ブロック後に何ヒットしたかも表示されるので、ブロックを解除する目安にするのもいいでしょう。
ブロック／ロックアウトの有効期間はオプションで設定可能です。

Country Blocking

有償機能。DNS逆引きを用いてアクセス元の国別（トップレベルドメイン）判定を行い、該当すればブロックするというものです。国別にチェックボックスが設けられているので、ポチポチとチェックするだけでOK。

Scan Schedule

有償機能。これも文字通りの機能で、曜日ごとに1時間刻みでスキャンスケジュールの設定ができます。

Whois Lookup

これもそのまま。わざわざコンソールを立ち上げなくて済むので助かります。

Advanced Blocking

単一IPアドレスのブロックを行なうのではない場合はこちらを。IPアドレスの範囲を指定してブロックしたり、特定のユーザーエージェントをブロック可能です。

オプション設定は項目がかなり多いので、また後日のエントリで。