無料ではじめるサーバー管理 > ブログ > Wordfence, WordPress, セキュリティ > WordPressのセキュリティプラグイン「Wordfence」とは？WAF製品との違いを解説します

WordPressのセキュリティプラグイン「Wordfence」とは？WAF製品との違いを解説します

最終更新日：2022/07/25

こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。

今回はWordPressのセキュリティプラグイン「Wordfence」の機能をご紹介しつつ、一般的なWAF製品との違いを解説します。

「Wordfence」とは？
「Wordfence」の主な機能
ファイアウォール
スキャン
ログインセキュリティ
WAF製品との違い
どちらの対策を導入すべきか
さいごに

「Wordfence」とは？

WordPressは人気の高いCMSでプラグインも数多く出ている一方で、脆弱性も発見されやすく、アメリカ国立標準技術研究所の脆弱性データベースには日々WordPressプラグインの脆弱性情報が記録されています。

「Wordfence」はそんなWordPressのセキュリティを強化するためのプラグインです。

Wordfence Security – Firewall & Malware Scan

なお、プラグイン開発チームはサードパーティ製のプラグインも含めたWordPressの詳細な脆弱性情報をブログで発信しており、上述のアメリカ国立標準技術研究所の脆弱性データベースにも度々アドバイザリとして彼らのブログ記事へのリンクが貼られています。

https://www.wordfence.com/blog/

「Wordfence」の主な機能

ファイアウォール

悪意のあるトラフィックを判断して防御する機能で、WAF製品の機能に相当します。無料版では防御ルールの更新が30日遅れのものになるため、ゼロデイ攻撃に対する不安が残ります。

2022年7月時点で管理画面を見る限り300以上のルールがあり、それぞれのルールについて必要に応じてON/OFFを切り替えることができます。

また、IPベースのホワイトリスト、ブラックリストをWordPressの管理画面から設定できます。有料版では国別のブロックや、Wordfenceのブラックリストに記録されている不正なIPからのアクセスを自動でブロックすることもできます。

ログインに連続失敗した時のロックアウトやURLパラメータやログインエラーからユーザーIDを露出しないようにする設定など、WordPressに特化した総当たり攻撃への対策機能も含まれています。

スキャン

WordPressのコアファイル・テーマ・プラグインそれぞれにマルウェアや不正なコードが含まれていないかスキャンする機能です。WordPress.orgのソースファイルと比較してコード改変が行われていないかもチェックでき、一般的なセキュリティ製品のマルウェア対策と改ざん検知を合わせたような機能となっています。

こちらも無料版ではマルウェア定義ルールの更新が30日遅れのものになります。

初期設定では1日のどこかで自動スキャンされるようになっています。有料版ではスキャンする時間を指定できるようになります。

ログインセキュリティ

ログイン機能の強化としてスマホのGoogle認証システムを利用した２要素認証やGoogle reCaptchaを利用したCAPTCHA認証をWordPressのログインに組み込むことができます。

https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2

https://www.google.com/recaptcha/about/

ユーザーの権限によって認証を強制したり、ホワイトリストで認証を回避するなど設定も柔軟に調整できます。

WAF製品との違い

WAFの機能だけでなく、マルウェア対策、改ざん検知の製品からWordPress防御に必要な部分を掛け合わせたようなプラグインとなりますが、大きな違いの一つはWordPress専用のプロダクトである点になります。

特にWordPressの機能に直結したログインセキュリティ機能、総当たり攻撃への対策機能はWAFやマルウェア対策、改ざん検知など、一般的な製品だけではカバーが難しい箇所になります。

一方で防御範囲がWordPressに限定されるため、サーバーのroot権限で実行されるマルウェア対策や、サーバーへのWebアクセス全てを監視できるWAF製品のようにサーバー全体を防御できるものではありません。

また、WordPressのプラグインはPHPでの実装が中心となるため、サイトのアクセス数によってはそれなりにサーバーに負荷がかかる可能性があります。

どちらの対策を導入すべきか

WAFルールやマルウェア定義の更新が多少遅い無償版でもWordPressのサイトセキュリティを包括的に強化できるため、個人サイトなどであまりコストをかけたくない場合には導入しておく、というのは一つの選択肢になります。

一方で2022年7月時点ではサポートサイトなどが全て英語のため、法人利用でしっかりとしたサポートが必要な場合は注意が必要です。

有償版は年間99USDから、と一般的なセキュリティ製品に比べるとかなり安めではありますが、先に記載したようにPHPで動作する故のパフォーマンス調整や、誤検知の対策など、何かあった時のことを考えるとWordfenceの有償版のみでサイトを守る方法は慎重に検討する必要があります。

特にファイアウォール機能についてはゲートウェイ型のWAFでサーバーの手前で防御するか、SiteGuardのようにApacheのリクエスト処理の部分で防御した方が不正アクセスによるPHPの処理負担を減らすことができるため、Wordfenceのさらに手前でいずれかのWAF製品を入れておいた方が安全かつ安定した運用が可能になると思われます。