WordPressのWAF設定を簡単に!NinjaFirewall (WP Edition) 初期設定|コーディング、Web開発の外注、代行ならコーディングアライブ

Chat Work

mail

blog

ブログ
  • HOME
  • ブログ
  • WordPressのWAF設定を簡単に!NinjaFirewall (WP Edition) 初期設定

WordPressのWAF設定を簡単に!NinjaFirewall (WP Edition) 初期設定

Writer

石川 理穂

Sales Engineer Web Developer

WordPressは世界的に有名なオープンソースのCMSで、コーディングアライブの制作でも多く利用しています。

カスタマイズ性に富み、なおかつ無料で利用できる範囲が広いWordPressはとても人気があり、多くの企業や団体が利用していますが、オープンソースでかつ人気があるシステムは、無差別なサイバー攻撃を受けるターゲットになりやすいということでもあります。

セキュリティをどこまでやるか?というところは難しく、お金と技術をできる限り投資してガチガチに固めたサイトがそれ以上の攻撃で突破されることもありますし、逆にゆるゆるなセキュリティでもターゲットにさえならなければ永久に攻撃されません。

コーディングアライブではWordPressのセキュリティに「NinjaFirewall (WP Edition)」を採用しています。

 

なぜ「NinjaFirewall (WP Edition)」を採用しているのか?

セキュリティ関係のプラグインはたくさんありますが、なぜコーディングアライブでは「NinjaFirewall (WP Edition)」を採用しているのでしょうか?

WordPressに送信されるリクエスト以外も保護対象に設定できる

NinjaFirewallの優れている点として、WordPressに送信されるリクエストだけではなく、
WordPressのインストールディレクトリとサブディレクトリ内にあるすべてのスクリプトに対し、WordPressのパッケージの一部でないものも含めて保護できるという点が挙げられます。
つまりインストールディレクトリの配下にさえあれば、WordPressのシステムに関係ないファイルや、プラグインファイルへの直接攻撃(WordPressに送信されない)なども、NinjaFirewallのセキュリティの範囲に設定してブロックできます

詳細な設定が可能

初期設定でも十分なセキュリティと言えますが、特にこだわってセキュリティを強化したいお客様へのご要望に答えることができたり(有償)、
現存するシステムとバッティングして不具合が生じた場合などにセキュリティの設定を変更して対応したり、詳細な設定が可能な点もNinjaFirewallの魅力です。

無料で利用が可能

優秀なセキュリティプラグインですが、プラグイン自体は基本的な機能であれば無料で利用できます。
これも気軽にお客様に導入いただけるという点でコーディングアライブとしては魅力的です。

無償でできる範囲での最大の対策として、コーディングアライブではNinjaFirewallを採用しています。

 

「NinjaFirewall (WP Edition)」は何をするプラグインなのか?

端的には、サイトを不正アクセスから守ったり、ファイルを監視して改ざんを検知したりするプラグインです。

仕組みとしてはサイトにリクエストがあった際に一旦NinjaFirewallを経由し、アクセスが不正ではないかどうかを判断して許可 / 拒否を行います。

また、オプションでブロックするアクセスの種類を詳細に設定できたり、
モニタリング機能で定期的にファイルのスナップショットを撮って現在のファイルと比較し、差分を洗い出すことで不正に改ざんがされていないか?(身に覚えのない更新がされていないか?)を確認できたり、アラートを受信できたりします。

 

「NinjaFirewall (WP Edition)」の有効化と初期設定

プラグインのインストール・有効化

まずはプラグインの新規追加画面から、「NinjaFirewall」を検索してこのプラグインを選択します。

インストールが済んだら「有効化」をクリックしてプラグインを有効にします。

有効化されると管理画面のサイドバー内に「NinjaFirewall」が出ますのでこちらをクリック。
Firewall Dashboard > Firewall の項目が「Enabled」になっていればひとまずWordPressへの導入が初期設定で完了しています!

「NinjaFirewall (WP Edition)」のセキュリティ範囲をfull WAF modeに変更

続けて、NinjaFirewallで保護・監視するアクセス対象を、「WordPressに送信されるリクエストのみ」から「ブログのインストールディレクトリとサブディレクトリ内にあるすべてのファイルへのリクエスト」に変更します。
初期設定ではWordPress内のファイルのみを守るモード:WordPress WAF mode になっています。
ここを「Active Full WAF mode」に変更します。

① あなたのサーバの環境に合わせて自動で選択され、選択肢に(reccommended)が付きます。
基本的に特に変更の必要はなく、(reccommended)の選択肢のままにしておきましょう。

② どの機能でFirewallを設定しますか?という質問です。あなたのサーバの環境に合わせて(reccommended)=おすすめが選択されますので、選択されているものに従うのが無難です。

③ WordPressのコアファイルのディレクトリのうち、保護対象から外したいものがある場合はチェックを外してください。

④ NinjaFirewallによって必要ファイル(この場合は.user.ini)を書き換えてもいいですか?という質問です。
.user.iniで既に独自の設定をしていて上書きされたくない!という場合は「 I want to make the changes myself.」を選択してください。
必要なコードが発行され、自分で.user.iniに加筆することができます。

設定を終えたら「Finish Installation」をクリックで完了です。

「Full WAF mode」になっていればOKです!

 

この初期設定から「Firewall Options」や「Firewall Policies」から詳細に設定を調整できたり、
「Monitoring」や「Logs」機能でアクセスやファイルの改ざんを監視できたり、
ログイン画面に画像認証を設置することでログインのセキュリティをアップしたりできます。

今回のブログは「まずは導入」編ですが、「セキュリティプラグインを導入したいけど、どのプラグインがいいのか・どう導入したらいいか分からない!」という方の助けになればと思います。