【Wordfence】WP乗っ取り、マルウェア、悪意あるファイル対策プラグイン

WPで運営している自分のブログが乗っ取られたり、マルウェア・悪意あるファイルなどを仕組まれたり、ついには自分でコントロールできなくなったりしたらマジに大変です。

今回の記事は、乗っ取られた経験のある私が、いろいろと再構築した後、まともに再度運営できるようにした対策の1つである、WPプラグイン【Wordfence】について設定から簡単な使い方までをわかりやすく解説します。

【今回の記事がお役に立ちそうな人】
・自分のブログが乗っ取られたかも、という人
・ブログ運営に慣れていない人、セキュリティ面の対策を重要視していない人
・プラグイン、Wordfenceの導入に迷っていた人、やり方がわからなかった人

私は、そんな状態になってしまいました。

年末・年始のタイミングでブログ運営をしばらく放置していたら、その間に・・
■ 知らないユーザーが「新規追加」されていた、
■ 知らない（悪意ある？）ファイルがブログ内のサーバーに無数に設置されていた（数百ありました）、
■ 挙句の果てには「管理画面」にログインできなくなっていた、のです。

【結論】
・WPでブログを運営しているなら、セキュリティ対策のためのプラグインを設定しておくべきです。
・ズバリ、【Wordfence】でOKです。【有料】もありますが【無料】で大丈夫です。
・プラグインだけの頼るのではなく、ユーザー名、パスワード、WPのバージョン、サーバーのphp設定などいろんな点で配慮しておくことが大切です。

私を襲ったトラブルと対策についてわかりやすく解説した別記事があります。良かったら参照してみてください。

＼ WP乗っ取りと対策 ／
⇒ WP乗っ取りと対策

Wordfence（プラグイン）を入れてチェックするとこんな感じです

何も問題がなければ、青色のチェックマークの表示だけですが・・
異常があると【黄色の注意マーク】が表示されます。

スキャンした結果について、
・不明な（悪意ある？）ファイルを削除する、無視する
・修復する、といった選択をして対応することになります。

修復や削除が万能ではありませんし、そもそもそのファイル自体が削除していいものかどうか、を素人が判断できるものでもありませんね。

必ずバックアップを取ってから「修復」とか「削除」をしてください、とありますけど・・まあ、わからないままやったら管理画面が動かなくなったり、いったんブラウザを終了させたら二度とログインできなくなったりも経験しました。

それ覚悟で強硬したのですけど・・まあ、復旧というか再度ブログを立ち上げるのが大変です。
ですから、WPプラグイン【Wordfence】をインストールした上で、、

※ （前述の）別記事を参照してみてください。

Wordfenceのインストールと設定

管理画面から「プラグイン」⇒「新規追加」⇒ 検索キーワードに「Wordfence」を入れて検索、インストールします。
インストールしたら ⇒「有効化」してください。

【無料】でのインストールを模索していると、いろんな画面に出くわすことがあります。時には、表示されない場面や、登録したメールからのクリックでインストールする場合など、省略される画面もあります。

あわてないで対応してください。

この画面（下画像）が表示された時には、「FREE」を選択してください。

【無料】を選択するのでいちばん下のリンクでOKです。

メールアドレスに【FREE】のライセンスキーが届きます ⇒ 2つのインストール方法

【ライセンスキーの入力2つの方法】
1．メールアドレスのリンクをクリックする方法
2．メールアドレスに記載のライセンスキーをコピペしてブラウザ画面から入力する方法

1．メールアドレスのリンクをクリックする方法

メールの下赤線枠部分をクリックします。

2．ライセンスキーを自分で入力する方法

WPの管理画面に

お疲れさまでした。これでインストール完了です。

せっかくなので、早速スキャンして状況を把握しておきましょう。

Wordfenceの使い方

まずは管理画面、ダッシュボードから「自動更新を有効化」しておきます。

スキャンの実行

「新しいスキャンを開始する」でチェックします。

Wordfenceのまとめ

【無料】のWordfenceでも次のチェックをしてくれます。

・サーバーの状態
・ファイルの変更
・マルウェアスキャン
・コンテンツの安全性
・公開ファイル
・パスワード強度
・脆弱性スキャン
・ユーザー＆オプションの監査

私のチェック・指摘された体験から簡単にまとめてみました。

・サーバーの状態 ・脆弱性スキャン	・レンタルしているサーバーのphpが古いバージョンの場合や、 ・WPのバージョンが古い場合などにチェックが入るようです。 ※ カートなどのプログラムをインストールしている場合など、稼働するphpやWPのバージョンとの関係で、古いバージョンを最新のものにバージョンアップできない場合もあります。 ※ リスクとの向き合い方は人それぞれです。自分で判断してください。
・ファイルの変更 ・マルウェアスキャン	・WPを乗っ取られて、正体不明なファイルが量産されていたり、WPのプログラムが改ざんされていたり、WPのプラグインが勝手に無効化されていたりしたら、ここに警告が表示されます。 ・Wordfenceで修復や削除などを（自分の判断で）やる手もありますが、万が一の時には大変です。 （バックアップをしてから実行してください） ※ 私の場合は修復・削除でブログがダメになったケースと、上手くいったケースとありました。
・パスワード強度	・複数のブログを同じ「admin」で、同じ「パスワード」で管理運営していたら・・全部、やられました。 ・今は、ユーザー名も18桁の英数の組み合わせ、パスワードは全ブログ、違うパスワードにしました。

WPユーザー（管理者＝自分）のパスワードを強化する方法

WPの管理画面 ⇒ 「ユーザー一覧」⇒「編集」からパスワードを作成します。

何度でもお気に入りのパスワードを要求できますので、ラクです。
パスワードを変更する時は画面左下の【プロフィールを更新】をクリックしてください。

⇒ 定期的に、あるいは不定期的にパスワードを変更することをおすすめします。

【Wordfenceのまとめ】
・備えあれば患いなし、とまではいきませんが・・インストールすることで意識は高まります。
・ただし、その他の要因（php、WPバージョン、WPテーマのバージョン・・)などが重なって、脆弱になることもあります。
・少なくとも、ユーザー名を予測されにくいものに変更する、パスワードを強固なものにする（定期・不定期に）変更る、といった対策をマメにすることを強くおすすめします。

なんといっても、乗っ取られてからブログを再構築するのは大変ですから。

【追伸】
最後に、最近こんな不穏なことがあったので老婆心ながらの話題です。

実は、会社で会社内のWi-Fiに接続してパソコンを使用している時でした。
「えっ、会社のルーターが・・」という思い。
「そういえば、先日、○さんがパソコンが使えなくなった、メールがおかしい」というトラブルが発生していたのです。

※ 今、専門の業者を呼んで対応してもらっているところですが・・やはり自己責任で、ちゃんとした対策を二重、三重にやっておかないといけないなぁ、と感じたところでした。

いよいよ二重・三重の対策の一環として【VPN】を考えないといけなくなったなぁと思っています。

※ 特に公共のWi-Fiでネットを利用すると、情報がダダ漏れらしいです。
※ そんな状況でも「トンネル内にいるように」「自分が見えなくなるようにしてくれる」サービスです。
※ 自分が外国からアクセスしているようにもできる仕組みです。
※ 逆に外国に在住していて、その国からのアクセスだと使えないネットサービスでも、あたかも日本に住んでいるようにして日本からのアクセスだと認識させて日本で使えるサービスにつながる、というようなこともできるというものです。

＼ 乗っ取り・リセット関連記事まとめ ／
⇒ WP乗っ取り・リセット記事まとめ

ここまで本当にありがとうございました。