説明
最も人気のある WORDPRESS ファイアウォールとセキュリティスキャナー
WordPress のセキュリティには、最新のマルウェアのバリアントや WordPress の脆弱性を研究する専任のアナリストチームが必要であり、それらをファイアウォールルールやマルウェアシグネチャに変換し、リアルタイムで顧客に提供する必要があります。Wordfence は、世界で最も優れた WordPress セキュリティ研究チームとして広く認められています。当社のプラグインは包括的なセキュリティ機能を提供し、当社のチームの研究成果がプラグインを支え、当社が知られるセキュリティレベルを提供しています。
Wordfence では、WordPress のセキュリティは私たちのビジネスの一部門ではなく、WordPress のセキュリティが私たちのすべての仕事です。私たちは、グローバルに24時間体制の専任インシデント対応チームを配置しており、優先顧客に対してはセキュリティインシデントに対して1時間以内の対応を提供しています。また、グローバル セキュリティチームは日が沈むことがなく、最新のセキュリティ脅威に関する画期的なセキュリティ研究を集約、分析、作成するための洗練された脅威インテリジェンス プラットフォームを運営しています。
Wordfence Security には、エンドポイントファイアウォール、マルウェアスキャナー、堅牢なログインセキュリティ機能、ライブトラフィックビューなどが含まれています。私たちの脅威防御フィードは、サイトを安全に保つために必要な最新のファイアウォールルール、マルウェア署名、悪意のある IP アドレスで Wordfence を強力なものにします。2FA と一連の追加機能により、Wordfence は最も包括的な WordPress セキュリティソリューションとなります。
WordPress ファイアウォール
- Web Application Firewall は、悪意のあるトラフィックを識別してブロックします。 WordPress のセキュリティに 100% 焦点を当てた大規模なチームによって構築および保守されています。
- [プレミアム] 脅威防御フィードを介したリアルタイムのファイアウォールルールとマルウェアシグネチャの更新(無料バージョンは30日遅れます)。
- [プレミアム] リアルタイム IP ブロックリストは、最も悪質な IP からのすべてのリクエストをブロックし、サイトを保護すると同時に負荷を軽減します。
- エンドポイントでサイトを保護し、WordPress との緊密な連携を可能にします。 クラウドの代替手段とは異なり、暗号化が破られず、バイパスすることも、データが漏洩することもありません。
- 統合マルウェアスキャナは、悪質なコードやコンテンツを含むリクエストをブロックします。
- ログイン試行を制限することにより、ブルートフォース攻撃から保護します。
WORDPRESS セキュリティスキャナー
- マルウェアスキャナーは、コアファイル・テーマ・プラグインのマルウェア、不正な URL、バックドア、SEO スパム、悪意のあるリダイレクト、コードインジェクションをチェックします。
- [プレミアム] 脅威防御フィードを介したリアルタイムのマルウェアシグネチャの更新 (無料バージョンは30日遅れます)。
- コアファイル、テーマ、プラグインを WordPress.org リポジトリにあるものと比較し、整合性をチェックして変更を報告します。
- 変更されたファイルを修復し、オリジナルバージョンに上書きします。Wordfenceのインターフェイス上で、不要なファイルを簡単に削除することができます。
- 既知のセキュリティの脆弱性についてサイトをチェックし、問題があれば警告します。 また、プラグインが閉じられたり破棄されたりした場合に、潜在的なセキュリティ問題について警告します。
- ファイルのコンテンツ、投稿、コメントをスキャンして、危険な URL や疑わしいコンテンツがないかどうか、コンテンツの安全性を確認します。
- [プレミアム] サイトまたは IP が悪意のあるアクティビティ、スパムまたはその他のセキュリティ問題の生成のためにブロックリストに登録されているかどうかを確認します。
ログインセキュリティ
- 2要素認証 (2FA) は、TOTP ベースの認証アプリやサービスを介して利用可能な、リモートシステム認証の最も安全な形態の一つです。
- ログインページ CAPTCHA が、ボットのログインを遮断します。
- 無効化するか、XML-RPC に2要素認証を追加します。
- 既知の侵害されたパスワードを使用する管理者のログインをブロックします。
セキュリティ監査ログ [プレミアム]
- サイトのセキュリティ上重要なエリアにおけるすべての変更とアクションを監視します。
- Wordfence Central を介した改ざん防止リモートデータストレージ。
- 監視されるアクションは、ユーザーの作成と編集から、プラグイン/テーマのインストールと更新、投稿とページの変更まで多岐にわたります。
- すべての認証、サイト構成、およびサイト機能イベントを含むすべてのイベントまたは重要なイベントのみをログに記録するように構成できます。
WORDFENCE CENTRAL
- Wordfence Central は、複数のサイトのセキュリティを1か所で管理するための強力で効率的な方法です。
- 1つのビューですべての Web サイトのセキュリティステータスを効率的に評価します。 Wordfence Central を離れることなく、詳細なセキュリティ調査結果を表示します。
- 強力なテンプレートにより、Wordfence の設定が簡単にできます。
- 詳細設定可能なアラートを、メール、SMS、Slack を通じて配信できます。重大度レベルのオプションと毎日のダイジェストオプションを活用して、シグナル対ノイズ比を改善しましょう。
- 管理者ログイン、パスワード使用違反、攻撃活動の急増などの重要なセキュリティイベントを追跡して警告します。
- 無制限のサイトに無料で使用できます。
セキュリティツール
- Live Traffic では、他の解析パッケージでは表示されない訪問やハッキングの試みをリアルタイムで監視し、発信元、IPアドレス、時間帯、サイト滞在時間などを表示します。
- IP 制限を用いて攻撃者をブロックするか、IP 範囲、ホスト名、ユーザーエージェント、リファラーに基づいた高度なルールを構築しましょう。
- 国別ブロック (遮断) 機能は Wordfence Premium で利用可能です。
スクリーンショット
インストール
ウェブサイトを保護するには、下記の Wordfence インストール手順に従ってください:
- Wordfence Security を自動的にインストールするか、ZIP ファイルをアップロードしてください。
- WordPress の「プラグイン」メニューから Wordfence を有効化します。これで Wordfence が有効になりました。
- スキャンメニューに移動し、最初のスキャンを開始します。 スケジュールスキャンも有効になります。
- 最初のスキャンが完了すると、脅威のリストが表示されます。それらを1つずつ確認して、サイトを保護してください。
- Wordfence Security の設定ページにアクセスして、メールアドレスを入力し、メールセキュリティアラートを受信できるようにします。
- オプションで、セキュリティレベルを変更したり、詳細オプションを調整して、サイトのスキャンや保護のオプションを個別に設定することができます。
- [ライブトラフィック]メニューオプションをクリックすると、サイトのアクティビティをリアルタイムで見ることができます。サイトの現状把握はウェブサイトのセキュリティの重要な部分です。
WordPress のマルチサイトに Wordfence をインストールするには:
- プラグインディレクトリ経由で Wordfence Security をインストールするか、ZIP ファイルをアップロードしてください。
- Wordfence をネットワーク有効化します。このステップは重要です。ネットワーク有効化を行うまでは、サイトのプラグインメニューにプラグインのオプションが表示されます。有効化すると、そのオプションは消えます。
- Wordfence がネットワークで有効化されると、ネットワーク管理メニューに表示されます。個々のサイトのメニューには Wordfence は表示されません。
- 「スキャン」メニューに移動し、最初のセキュリティスキャンを開始してください。
- Wordfence Security は、個々のサイトのディレクトリにあるものを含むすべてのファイルのセキュリティスキャンを行います。
- Live Traffic にはネットワーク上のすべてのサイトのトラフィックが表示されます。トラフィックの多いシステムにおいては、live traffic を無効にすることで、DB へのログの書き込みを停止させることができます。
- ファイアウォール規則やログイン規則は、システム”全体”に適用されます。それで、site1.example.com と site2.example.com にそれぞれログイン失敗があった場合、2回の失敗とカウントされます。クローラーのトラフィックもサイトごとにカウントされるため、ネットワークに三つのサイトがあった場合、それらすべてのヒットが合計され、システムへのアクセス数としてカウントされます。
FAQ
セキュリティ機能の説明、一般的な解決策、包括的なヘルプを含む公式ドキュメントにアクセスするには、当社の Web サイトにアクセスしてください。
-
Wordfence Security はどのようにしてサイトを攻撃者から守るのですか ?
-
Wordfence Security プラグインは、あなたのサイトに最高の保護を提供します。常に更新される脅威防御フィードをを利用して、Wordfence Firewall はハッキングを阻止します。Wordfence Scan は、同じ独自のフィードを活用し、セキュリティ上の問題やサイトが侵害された場合に迅速に警告します。ライブトラフィックビューでは、お客様のサイトのトラフィックやハッキングの試みをリアルタイムに可視化します。その他のツールも充実しており、最も包括的な WordPress セキュリティソリューションとなっています。
-
リアルタイムの IP ブロックリスト、ファイアウォールルール、マルウェアシグネチャを含む脅威防御フィードのリアルタイム更新を提供するプレミアム API キーを提供します。プレミアムサポート、国のブロック、より頻繁なスキャン、スパムとスパム広告のチェックも含まれています。ここをクリックして今すぐ Wordfence プレミアムにサインアップするか、Wordfence を無料でインストールしてサイトの保護を始めてください。
-
Wordfence の WordPress ファイアウオールはどのようにサイトを保護するのですか?
-
- ウェブ・アプリケーション・ファイヤーウォールは、悪意のあるアクセスを検知し、ウェブサイトに到達する前にブロックします。
- Threat Defense Feed はファイアウォールのルールを自動的に更新し、最新の脅威から守ります。プレミアム会員の方はリアルタイムに更新を受けることができます。
- 偽の Googlebot、ハッカーやボットネットからの悪意のあるスキャンなど、一般的な WordPress のセキュリティ脅威をブロックします。
-
Wordfence Security Scanner はどのようなチェックを実行しますか ?
-
- コア、テーマ、プラグインのすべてのファイルをスキャニングし、WordPress.org のレポジトリの同じバージョンとの同一性を確認し、ソースコードのセキュリティーを確認します。
- ファイルがどのように変更されたのかを確認し、ファイルを修正することができます。
- WordPress セキュリティの脅威となる44,000以上のマルウェアバリエーションの定義 (シグネチャ) をスキャンします。
- C99 、R57 、RootShell 、Crystal Shell 、Matamu 、Cybershell 、W4cking 、Sniper 、Predator 、Jackal 、Phantasma 、GFS 、Dive 、Dx など、セキュリティホールを作る既知のバックドアを多数スキャンします。
- セキュリティ上の脅威であるすべてのコメント、投稿、ファイルに含まれる Google セーフブラウジングリストのすべての URL を含むマルウェアとフィッシング URL を継続的にスキャンします。
- バックドア、トロイの木馬、疑わしいコードやその他のセキュリティ問題のヒューリスティックスキャン。
-
Wordfence にはどのようなセキュリティ監視機能がありますか ?
-
- ロボット、人間、404エラー、ログインとログアウト、コンテンツへの負荷が高いものなど、トラフィックをリアルタイムで確認しましょう。直面するセキュリティへの脅威に対する現状認識力を向上させましょう。
- Javascript の解析パッケージでは表示されない、セキュリティ上の脅威となる自動化されたボットを含むすべてのトラフィックをリアルタイムで表示します。
- リアルタイムトラフィックは、アクセスした人の逆 DNS 情報や、都市レベルの場所を表示でき、どこでセキュリティの脅威が起きているかを知ることができます。
- 多くのDDoS攻撃が、サービスの停止をを引き起こすためにすべてのディスク領域を消費しようとするので、それを防止するためにセキュリティに関連するディスクスペースを監視します。
-
どのようなログインセキュリティ機能が搭載されているか
-
- ロボット、人間、404エラー、ログインとログアウト、コンテンツへの負荷が高いものなど、トラフィックをリアルタイムで確認しましょう。直面するセキュリティへの脅威に対する現状認識力を向上させましょう。
- Javascript の解析パッケージでは表示されない、セキュリティ上の脅威となる自動化されたボットを含むすべてのトラフィックをリアルタイムで表示します。
- リアルタイムトラフィックは、アクセスした人の逆 DNS 情報や、都市レベルの場所を表示でき、どこでセキュリティの脅威が起きているかを知ることができます。
- 多くのDDoS攻撃が、サービスの停止をを引き起こすためにすべてのディスク領域を消費しようとするので、それを防止するためにセキュリティに関連するディスクスペースを監視します。
-
セキュリティ上の問題が発見された場合、どのように警告しますか ?
-
Wordfence はセキュリティアラートをメールで送信します。Wordfence をインストールすると、セキュリティアラートが送信されるメールアドレスのリストが設定されます。セキュリティアラートを受け取ったら、速やかに対処してサイトの安全性を確保してください。
-
クラウドベースのファイアウォール (WAF) を使用している場合、Wordfence のようなセキュリティプラグインは必要ですか ?
-
Wordfenceは、あなたの WordPress サイトに真のエンドポイントセキュリティを提供します。クラウドベースのファイアウォールとは異なり、Wordfence は WordPress の環境下で実行されるため、ユーザーがサインインしているかどうか、ユーザーの ID やアクセスレベルなどの情報を得ることができます。Wordfenceは、WordPress サイトを保護するために使用するファイアウォールルールの80%以上に、ユーザーのアクセスレベルを使用しています。クラウド WAF の ID 問題についてはこちらをご覧ください。また、クラウドベースのファイアウォールはバイパスされる可能性があり、サイトが攻撃者にさらされることになります。Wordfence はエンドポイント (お客様の WordPress ウェブサイト) に不可欠なパーツであるため、バイパスすることはできません。クラウド WAF のバイパス問題についての詳細はこちら。サイトへの投資を完全に保護するには、セキュリティに対する多層防御アプローチを採用する必要があります。 Wordfence はこのアプローチを採用しています。
-
Wordfence にはどのようなブロック機能がありますか ?
-
- 既知の攻撃者をリアルタイムブロック。Wordfence を使っている他のサイトが攻撃された場合には、あなたのサイトも自動的に守られます。
- 悪意のあるネットワーク全体をブロック。悪意のある IP やネットワークを報告したり、ファイアウォールを使ってネットワーク全体をブロックするための、高度な IP およびドメイン WHOIS を搭載。WordPress のセキュリティ脅威をネットワークオーナーに報告。
- 攻撃的なクローラー、スクレーパー、ボットがサイトの脆弱性のセキュリティスキャンを実行するなど、WordPress のセキュリティ脅威を制限またはブロックします。
- WordPress セキュリティルールを守らないユーザーやボットの遮断または制限を選択します。
- プレミアムユーザーは国別のブロッキング、特定時間のスキャニングをより頻繁に実施することができます。
-
Wordfence と他の WordPress セキュリティプラグインとの違いは何ですか ?
-
- Wordfence Security は、WordPress 専用に開発された WordPress ファイアウォールを提供し、サイトの脆弱性を探している攻撃者をブロックします。 ファイアウォールは、新しい脅威が発生したときに継続的に更新される脅威防御フィードを利用しています。 プレミアム顧客はリアルタイムで更新を受け取ります。
- Wordfence は、WordPress の公式リポジトリに対してサイトのソースコードの整合性を検証し、その変更点を表示します。
- Wordfence スキャン はすべてのファイル、コメント、投稿の URL を Google のセーフブラウジングのリストと照らしあわせてチェックをします。この重要な機能を備えているのはこのプラグインだけです。
- Wordfence のスキャンは、すべてのセキュリティスキャンが Web サーバ上で行われるため、帯域幅を大量に消費することはなく、非常に高速なスキャンが可能です。
- Wordfence は WordPress マルチサイトを完全にサポートしているので、マルチサイトインストール内のすべてのブログをワンクリックでセキュリティスキャンできます。
- Wordfence Security は二要素認証の機能を備えており、これはブルートフォースアタックに対する最も効果的な対策です。
- Wordfence は IPv6 を完全にサポートしており、IPv6 アドレスの場所の検索、IPv6 範囲のブロック、IPv6 の国の検出、IPv6 アドレスの whois 検索などを行うことができます。
-
Wordfence はサイトを遅くしますか ?
-
いいえ。Wordfence Security は非常に高速で、独自の設定データをキャッシュしてデータベースの検索を避けたり、サイトの速度を低下させる悪意のある攻撃をブロックするなどの技術を使用しています。
-
自分のサイトがすでにハッキングされている場合は ?
-
Wordfence Security は、すでにセキュリティが侵害されているサイトのコアファイル、テーマ、およびプラグインを修復することができます。Wordfence を使用してハッキングされたサイトをクリーンアップする方法については、Wordfence を使用したハッキングされたサイトのクリーンアップ方法ガイドをご覧いただけます。自分のサイトをハッキング後にクリーンアップする場合、サイトのセキュリティは完全な再インストールを行わない限り保証されません。サイトがハッキングされた場合は、必要なデータを回復するために Wordfence Security を使用してサイトを動作状態にするだけで、完全な再インストールを行うことをおすすめします。セキュリティの問題に対する支援が必要な場合は、チームによるハンズオンサポートを提供するWordfence ケアをご覧ください。ミッションクリティカルなサイトには、Wordfence レスポンスもご検討いただけます。
-
IPv6 はサポートされていますか?
-
はい。 国別ブロック、範囲ブロック、都市検索、whois 検索、その他すべてのセキュリティ機能を含むすべてのセキュリティ機能で IPv6 を完全にサポートします。 IPv6を実行していない場合、Wordfence はサイトでもうまく機能します。 両方を実行する場合でも、1つのアドレス指定スキームのみを実行する場合でも、IPv4 と IPv6 の両方と完全に互換性があります。
-
Wordfence Security はマルチサイトをサポートしていますか?
-
はい。WordPress マルチサイトは完全にサポートされています。Wordfence を使用すると、ネットワーク内のすべてのブログをワンクリックでマルウェアのスキャンができます。顧客の1人が既知のマルウェアの URL を含むページや投稿をして、ドメイン全体が Google のブロックリストに載る恐れがある場合は、次のスキャンで警告します。
-
Wordfence ユーザーにはどのようなサポートオプションがありますか?
-
優れたカスタマーサービスを提供することは、私たちにとって非常に重要です。無料ユーザーは、サポートフォーラムでボランティアレベルのサポートを受けることができます。一方、Wordfence プレミアムのお客様は有償のチケットベースのサポートを受けることができます。また、Wordfence ケアのお客様は、セキュリティインシデントへの対応や年次のセキュリティ監査など、ハンズオンのサポートを受けることができます。さらに、Wordfence レスポンスのお客様は、24時間365日のインシデント対応チームからのサポートを受けることができ、1時間以内のレスポンスタイムと最大24時間以内でセキュリティ問題を解決する保証を受けることができます。
-
WordPressのセキュリティに関する詳細はどこで知ることができますか?
-
The WordPress Security Learning Center は、あらゆるスキルレベルに対応しており、エントリーレベルの記事、詳細な記事、ビデオ、業界の調査結果、グラフィックなどに無料でアクセスすることができ、セキュリティのベストプラクティスについてユーザーの理解を深めることができます。
-
Wordfence の利用規約とプライバシーポリシーはどこにありますか ?
-
これらは、当社のサイトで入手できます: 利用規約およびプライバシーポリシー
評価
貢献者と開発者
Wordfence Security – Firewall, Malware Scan, and Login Security はオープンソースソフトウェアです。以下の人々がこのプラグインに貢献しています。
貢献者変更履歴
8.0.2 – January 2, 2025
- Improvement: General compatibility improvements and better error handling for PHP 8+
- Improvement: Added audit log status to the plugin dashboard
- Change: Increased width of diagnostics text export for better legibility
- Fix: Addressed an error with mail hooks and the audit log when third party plugins send unexpected value types
8.0.1 – November 14, 2024
- 改善: GeoIP データベースを更新しました
- Change: Revised some help text related to the audit log to be more clear
- Fix: Improved audit log compatibility with some plugins that would cause excessive noise due to their behaviors around setting up user roles and capabilities
- Fix: Fixed a log notice that could occur when deactivating Wordfence with audit log events still pending and a broken Wordfence Central link
8.0.0 – November 4, 2024
- Improvement: Introduced the Wordfence Audit Log, a new premium feature to monitor all changes and actions in security-sensitive areas of the site with remote tamper-proof data storage via Wordfence Central
- Change: Increased the minimum supported WordPress version to 4.7
- Change: Increased the minimum supported PHP version to 7.0
7.11.7 – July 29, 2024
- Improvement: Optimized scan performance by reducing database queries by approximately 38% along with CPU usage
- Fix: Added translation support for “Page not found” string when viewing recent traffic
7.11.6 – June 6, 2024
- Improvement: Revised the strong password requirements notice to be more readable
- Improvement: Removed unnecessary calls for the plugin and theme vulnerability checks
- Improvement: Reduced the frequency of calls to Wordfence Central during some operations where the values do not need to be synced
- Improvement: Refactored some queries to avoid the automatic SHOW FULL COLUMNS queries that WordPress performs to verify database encodings
- Improvement: Infrequently-used config values are no longer automatically loaded into memory and instead loaded only on demand
- Fix: Fixed an issue where multisite installations using the WAF mysqli storage engine could repeatedly attempt to update WAF rules when not in optimized mode
- Improvement: Updated the bundled GeoIP database
- Change: Revised the formatting of TOTP app URLs to prioritize the site’s own URL for better sorting and display
- Fix: Fixed the last captcha column in the users page so it no longer displays “(not required)” on 2FA users since that no longer applies
- Fix: Added a check in wflogs/rules.php to only run when within the WAF’s bootstrap stage when hosted behind nginx
7.11.5 – April 3, 2024
- Fix: Revised the behavior of the reCAPTCHA verification to use the documented expiration period of the token and response to avoid sending verification requests too frequently, which could artificially lower scores in some circumstances
- Fix: Addressed PHP 8 deprecation notices in the file differ used by file changed scan results
- Fix: Reduced the frequency of Wordfence Central status update callbacks in sections of the scan that occur quickly in sequence
7.11.4 – March 11, 2024
- Change: CAPTCHA verification when enabled now additionally applies to 2FA logins (may send an email verification on low scores) and no longer reveals whether a user exists for the submitted account credentials (credit: Raxis)
- Fix: Addressed a potential PHP 8 notice in the human/bot detection AJAX call
- Fix: Addressed a potential PHP 8 notice when requesting a lockout unlock verification email
- Fix: Fixed the emailed diagnostics view not showing the missing table information when applicable
- Fix: Improved quick scan logic to base timing on regular scans so they’re more evenly distributed
7.11.3 – February 15, 2024
- Fix: Fixed an issue with sites containing invalid Wordfence Central site data where they could throw an error when viewing Wordfence pages
7.11.2 – February 14, 2024
- Improvement: Enhanced the vulnerability scan to check and alert for WordPress core vulnerabilities and to adjust the severity of the scan result based on findings or available updates
- Improvement: Updated the bundled GeoIP database
- Improvement: Increased compatibility of brute force protection with plugins that override the normal login flow and omit traditional hooks
- Change: Adjusted the behavior of automatic quick scans to schedule themselves further away from full scans
- Fix: Added detection for a site being linked to a non-matching Wordfence Central record (e.g., when cloning the database to a staging site)
- Fix: Streamlined the license and terms of use installation flow to avoid unnecessary prompting
- Fix: Fixed an issue where user profiles with a selected locale different from the site itself could end up loading the site’s locale instead
7.11.1 – January 2, 2024
- Improvement: Added “.env” to the files checked for “Scan for publicly accessible configuration, backup, or log files”
- Improvement: Provided better descriptive text for the option “Block IPs who send POST requests with blank User-Agent and Referer”
- Improvement: The diagnostics page now displays the contents of any
auto_prepend_file
.htaccess/.user.ini block for troubleshooting - Fix: Fixed an issue where a login lockout on a WooCommerce login form could fail silently
- Fix: The scan result for abandoned plugins no longer states it has been removed from wordpress.org if it is still listed
- Fix: Addressed an exception parsing date information in non-repo plugins that have a bad
last_updated
value - Fix: The URL scanner no longer generates a log warning when matching a potential URL fragment that ends up not being a valid URL
7.11.0 – November 28, 2023
- Improvement: Added new functionality for trusted proxy presets to support proxies such as Amazon CloudFront, Ezoic, and Quic.cloud
- Improvement: WAF rule and malware signature updates are now signed with SHA-256 as well for hosts that no longer build SHA1 support
- Improvement: Updated the bundled trusted CA certificates
- Change: The WAF will no longer attempt to fetch rule or blocklist updates when run via WP-CLI
- Fix: Removed uses of SQL_CALC_FOUND_ROWS, which is deprecated as of MySQL 8.0.17
- Fix: Fixed an issue where final scan summary counts in some instances were not sent to Central
- Fix: Fixed a deprecation notice for get_class in PHP 8.3.0
- Fix: Corrected an output error in the connectivity section of Diagnostics in text mode
7.10.7 – November 6, 2023
- Fix: Compatibility fix for WordPress 6.4 on the login page styling
7.10.6 – October 30, 2023
- Fix: Addressed an issue with multisite installations when the wp_options tables had different encodings/collations
7.10.5 – October 23, 2023
- Improvement: Updated the bundled GeoIP database
- Improvement: Added detection for Cloudflare reverse proxies blocking callbacks to the site
- Change: Files are no longer excluded from future scans if a previous scan stopped during their processing
- Fix: Added handling for the pending WordPress 6.4 change that removes $wpdb->use_mysqli
- Fix: The WAF MySQLi storage engine will now work correctly when either DB_COLLATE or DB_CHARSET are not defined
- Fix: Added additional error handling to Central calls to better handle request failures or conflicts
- Fix: Addressed a warning that would occur if a non-repo plugin update hook did not provide a last updated date
- Fix: Fixed an error in PHP 8 that could occur if the time correction offset was not numeric
- Fix: 2FA AJAX calls now use an absolute path rather than a full URL to avoid CORS issues on sites that do not canonicalize www and non-www requests
- Fix: Addressed a race condition where multiple concurrent hits on multisite could trigger overlapping role sync tasks
- Fix: Improved performance when viewing the user list on large multisites
- Fix: Fixed a UI bug where an invalid code on 2FA activation would leave the activate button disabled
- Fix: Reverted a change on error modals to bring back the additional close button for better accessibility
7.10.4 – September 25, 2023
- 改善: 「管理者が WordPress の外部で作成した」スキャン結果をレビューおよび承認するようになりました。
- 改善: WAF ストレージエンジンは、環境変数「WFWAF_STORAGE_ENGINE」を設定することで指定できるようになりました。
- 改善: カスタム更新ハンドラーを備えたプラグインまたはテーマが壊れていて更新バージョンチェックをブロックしていることを検出します。
- 変更: WordPress バージョン 4.7.0より前のサポートは非推奨になりました
- 変更: 破損したコンパイル済みルールファイルの解析エラーをレポートから除外する
- 修正: WP-CLI の実行時にルールの読み込みに関連する PHP 通知を抑制する
- 修正: スキャンモニター cron が不必要に実行されたままになる可能性がある問題を修正しました。
7.10.3 – July 31, 2023
- 改善: GeoIP データベースを更新しました
- 修正: 翻訳関数の呼び出しに欠けていたテキストドメインを追加
- 修正: スイッチコントロールの一貫性のないスタイルを修正
- 変更: MySQLi ストレージエンジンを Flywheel ホスティングサイトのデフォルトにしました
7.10.2 – July 17, 2023
- 修正: バンドルされている sodium_compat ライブラリが古い WordPress バージョンに含まれるバージョンと競合しないようにしました
7.10.1 – July 12, 2023
- 改善: WAF でのファイル配列の処理のサポートを追加しました。
- 改善: イベントを一括送信するようにセキュリティイベント処理をリファクタリングしました。
- 改善: バンドルした sodium_compat および random_compat ライブラリを更新しました。
- 修正: 動的なプロパティ作成による非推奨の警告を防止
- 修正: 追加文字列の翻訳サポートを追加
- 変更: Wordfence 登録 UI の調整
7.10.0 – June 21, 2023
- 改善: ログインセキュリティプラグインからの文字列の翻訳サポートを追加しました。
- 改善: 語順と隠しテキストに関する翻訳者のメモを追加しました。
- 改善: 追加の文字列の翻訳サポートを追加しました。
- 改善: 読み取り不可能なディレクトリが見つかった場合にスキャンを失敗するのを防止しました。
- 改善: IPv4 スキャンオプションへのヘルプリンクを追加しました。
- 改善: wordpress.org から削除したプラグインの意味を明確にするためにスキャン結果テキストを更新しました。
- 改善: 「攻撃率の増加」メールを実行可能にしました
- 改善: GeoIP データベースを更新しました
- 改善: JavaScript ライブラリを更新しました。
- 修正: IPv6 アドレスの拡張を修正
- 修正: 悪意のあるリクエストの長いリクエストペイロードをライブトラフィックに記録するようにしました。
- 修正: データベース接続が失敗した場合に「コマンドが同期していません」というデータベースエラーメッセージを表示しないようにしました
- 修正: 稀に発生する JSON エンコードの問題により無料ライセンス登録を中断するのを防止しました
- 修正: リクエストパラメータが欠落している場合に PHP 通知をログに記録しないようにしました
- 修正: PHP 8.1で非推奨の警告を表示しないようにしました
- 変更: 古い TimThumb ファイルの検出をマルウェアシグネチャに移動しました
- 変更: 翻訳ファイルを .po から .pot に移動しました。
- 変更: 「マケドニア」の名前を「北マケドニア共和国」に変更しました。
7.9.3 – May 31, 2023
- 改善: WAF エラーが致命的になるのを防ぐために例外処理を追加しました。
- 修正: WAF での null でのメソッド呼び出しによって引き起こされるエラーを修正しました
- 変更: PHP 5.5 および 5.6 の非推奨サポート、PHP 5.3 および 5.4 のサポートを終了しました
- 変更: ファイアウォールルールのリクエスト時に WAF のバージョンパラメーターを指定するようにしました
7.9.2 – March 27, 2023
- 改善: 脆弱性重大度スコア (CVSS) を、スキャナーからの脆弱性の検出結果とともに表示するようになりました。
- 改善: インストールが中断されないように、初期セットアップ中にいくつかのリンクを新しいウィンドウ / タブで開くように変更しました。
- 変更: Wordfence サーバーへの非 https コールバックテストを削除しました。
- 修正: プラグインの更新をチェックし、別のプラグインのフックが壊れているときに発生する可能性がある PHP 8のエラーを修正しました。
- 修正: PHP 8でのエラーを回避するために、サポート診断を生成するときに無効な関数のチェックを追加しました。
- 修正: 「セットアップ済み」エラーを回避するために、2FA をアクティブ化するときにダブルクリックを防止します
7.9.1 – March 1, 2023
- 改善: 2FA 設定を表示する際のパフォーマンスがさらに向上し、多くのユーザーがいるサイトでデフォルトでユーザー数は非表示になりました。
- 修正: アイコンの欠落を防ぐために、スタイルの組み込みと使用法を調整しました。
- 修正: ctype 拡張機能は有効になっていない可能性があるため、使用を避けました。
- 修正: 不正な形式の中央キーによって引き起こされる致命的なエラーを防止しました
7.9.0 – February 14, 2023
- 改善: 2FA 管理ショートコードと WooCommerce アカウント連携を追加しました。
- 改善: 多くのユーザーがいるサイトで2FA 設定を表示するときのパフォーマンスが向上しました。
- 改善: GeoIP データベースを更新しました
- 修正: マルチサイトのサブサイトでアクティブ化した場合、Captcha および 2FA スクリプトを WooCommerce に確実に読み込むようにしました。
- 修正: 一部のテーマで reCAPTCHA ロゴが隠れないようにしました
- 修正: WooCommerce 連携に対する wfls_registration_blocked_message フィルターのサポートを有効にしました
7.8.2 – December 13, 2022
- 修正: wordpress.org エラーのため、7.8.1と同じ変更をリリース
7.8.1 – December 13, 2022
- 改善: 非アクティブ化プロンプトに、より詳細なデータ削除オプションを追加しました。
- 改善: 登録を完了する前に診断にアクセスできるようにしました。
- 修正: ライセンスキーをすでにインストールしているが、アラートメールアドレスを削除した場合、インストールプロンプトを表示しないようにしました。
7.8.0 – November 28, 2022
- 改善: ログインフォームを 2FA で送信したときのフィードバックを追加しました。
- 修正: WooCommerce で 2FA を使用する場合のログインボタンのクリックサポートを復元しました。
- 修正: reCAPTCHA スコア履歴グラフの表示の問題を修正しました。
- 修正: ログインタイムスタンプの破損によって引き起こる PHP でのエラーを防止しました
- 修正: 動的プロパティに関連する PHP 8.2での非推奨通知の回避
- 変更: Wordfence 登録ワークフローを更新しました
7.7.1 – October 4, 2022
- 修正: 初期スキャン段階が失敗した場合に、スキャンの再開試行を無期限に繰り返すのを防止しました。
7.7.0 – October 3, 2022
- 改善: 断続的な接続の問題があるサイトでのスキャンの失敗を防ぐために、構成可能なスキャン再開機能を追加しました。
- 改善: WordPress.org 経由で入手可能なパッチを適用したバージョンがないプラグインで見つかった脆弱性に対する新しいスキャン結果を追加しました。
- 改善: プラグインの競合を防止し、追加の PHP バージョンをサポートするために、IP アドレス検索用のスタンドアロン MMDB リーダーを実装しました。
- 改善: Wordfence API を介した IP アドレスの場所の検索を無効にするオプションを追加しました。
- 改善: ログインに成功してもブルートフォースカウンターをリセットしないようにしました。
- 改善: IPv6 診断を明確にしました。
- 改善: ライブトラフィックオプションのテキストに最大日数を含めました。
- 修正: ファイアウォールページでタイムゾーンを一貫したものにしました
- 修正: 検索に「IPv4 のみを使用してスキャンを開始する」オプションを追加しました。
- 修正: アクティビティログをメールで送信するときに、PHP 8.1で非推奨の通知を送信しないようにしました。
- 修正: PHP 8 でプロセス所有者の診断に関連する警告を表示しないようにしました
- 修正: T_BAD_CHARACTER に関連する PHP コードスニッファーの誤検知を防止しました
- 修正: サポートされていないベータフィードオプションを削除しました
7.6.2 – September 19, 2022
- 改善: 攻撃者がデータベースから特権情報を取得できる場合の危険性を軽減するために、2FA ログインフローを強化しました。
7.6.1 – September 6, 2022
- 修正: 悪用するには管理者権限が必要となる XSS を防止しました (CVE-2022-3144)
7.6.0 – July 28, 2022
- 改善: IPv4 のみを使用してスキャンを開始するオプションを追加しました。
- 改善: サイトへの内部 IPv6 接続の診断を追加しました。
- 改善: AUTOMATIC_UPDATER_DISABLED 診断を追加しました。
- 改善: パスワード強度チェックを更新しました。
- 改善: WP_CONTENT_DIR/WP_PLUGIN_DIR 定数を使用する場合のプラグイン / テーマファイルのスキャンのサポートを追加しました。
- 改善: GeoIP データベースを更新しました
- 改善: DISABLE_WP_CRON 診断をより明確にしました。
- 改善: ホスト名ブロックのために表示するライブトラフィックメッセージに「ホスト名」を追加しました。
- 改善: Flywheel hosting との互換性の向上
- 改善: セマンティックバージョニングの採用
- 改善: リクエストをログに記録する際の動的な Cookie 編集パターンのサポートを追加しました。
- 修正: まれにスキャンしたパスをスキップして表示しないようにしました。
- 修正: スキャンメッセージ内のインデックス付きファイルの数を修正しました。
- 修正: 低速サーバーでライブトラフィックを表示するときに、AJAX リクエストが重複するのを防止しました。
- 修正: WP_DEBUG_DISPLAY 診断を修正しました
- 修正: DNS 解決の失敗によって引き起こされる無関係な警告の防止
- 修正: 「すべてのオプション」ページの「保存 / キャンセル」ボタンの表示の問題を修正しました。
- 修正: 無効な値の WHOIS 検索によって引き起こされるエラーの防止
7.5.11 – June 14, 2022
- 改善: WordPress ユーザーページの最終ログイン列の表示を切り替えるオプションを追加しました。
- 改善: Apple デバイスでの 2FA コードのオートコンプリートサポートを改善しました。
- 改善: Batcache がブロックページをキャッシュできないようにしました。
- 改善: GeoIP データベースを更新しました
- 修正: UPLOADS および関連する定数を使用して存在しないパスを設定している場合に、無関係なスキャン結果を生成しないようにする
- 修正: reCAPTCHA スコアを記録しない問題を修正しました
- 修正: 無効な JSON 設定値が致命的なエラーを引き起こすのを防止しました
- 修正: 翻訳サポートのためにテキストドメインの一貫性を確保しました。
- 修正: ホワイトリストに登録した IP アドレスも reCAPTCHA をバイパスすることを明確にしました。
7.5.10 – May 17, 2022
- 改善: 非標準のディレクトリ構造を持つサイトのスキャンサポートを改善しました。
- 改善: 実行可能 PHP アップロード検出の精度が向上しました。
- 改善: PHP 8.1のさまざまな非推奨通知に対処しました。
- 改善: 無効になったライセンスキーの処理を改善しました。
- 修正: WooCommerce で使用した場合に紛失したパスワードのリダイレクト URL を修正しました
- 修正: ライブトラフィックデータがデータベース列の長さを超えた場合のエラーを防止しました
- 修正: パスワードの一括リセットによって管理者がロックアウトされるのを防止しました
- 修正: 特定の場合に国をブロックする設定を保存できない問題を修正しました
- 変更: 著作権情報を更新しました
7.5.9 – March 22, 2022
- 改善: GeoIP データベースを更新しました
- 改善: タイムアウトを減らすために、ブロッキングデータ更新ロジックを削除しました。
- 改善: タイムアウトを減らすために、API 呼び出しのタイムアウト値を増加しました。
- 改善: Wordfence メニューの通知数を明確にしました。
- 改善: WooCommerce とのスキャン互換性が向上しました。
- 改善: アプリケーションのパスワードが無効になっている場合のメッセージを追加しました。
- 修正: wp-config.php 内の他の定数の値に基づいて定数を定義している場合の警告とエラーの防止
- 修正: スキャン結果内のファイルの表示または修復を妨げていた冗長なエスケープを修正しました。
7.5.8 – February 1, 2022
- Wordfence Care と Wordfence Response の開始
7.5.7 – November 22, 2021
- 改善: PHP 8.1との互換性のために予備的な変更を加えました。
- 変更: GPLv3 ライセンスを追加し、EULA を更新しました
7.5.6 – October 18, 2021
- 修正: WooCommerce 登録フォームで手動ユーザー名入力が有効になっている場合、WooCommerce 連携によるログインエラーを防止しました
- 修正: WooCommerce 統合とのテーマの非互換性を修正しました
7.5.5 – August 16, 2021
- 改善: アクセシビリティの強化
- 改善: スキャンログの正規表現を署名 ID に置き換えました。
- 改善: Knockout JS の依存関係をバージョン 3.5.1に更新しました。
- 改善: PHP 8互換性に関する通知を削除しました。
- 改善: 診断にログインセキュリティの NTP ステータスを追加しました。
- 改善: WordPress 5.8 との互換性のためにプラグインヘッダーを更新しました。
- 改善: Nginx ドキュメントの HTTPS へのリンクを更新しました。
- 改善: IP アドレス地理位置情報データベースを更新しました。
- 改善: WAF SQL 構文サポートの拡張
- 改善: WAF データベース接続を構成するためのオプションの定数を追加しました。
- 改善: Punycode ドメイン名の照合のサポートを追加しました。
- 改善: Wordfence のインストール数を更新しました。
- 改善: 4.4.0より古い WordPress バージョンのサポートを廃止しました。
- 改善: 米国をブロックする際の警告メッセージを追加しました。
- 改善: WAF データベース接続に MYSQLI_CLIENT_SSL サポートを追加しました。
- 改善: WooCommerce ログインおよび登録フォームに 2FA および reCAPTCHA サポートを追加しました。
- 改善: あらゆるユーザー権限に 2FA を要求するオプションを追加しました。
- 改善: 失敗を繰り返した場合に NTP を自動的に無効にするロジックと、NTP を手動で無効にするオプションを追加しました。
- 改善: reCAPTCHA セットアップに関するメモを更新しました。
- 修正: 国をブロックする変更を保存しない問題を回避しました
- 修正: 文字列プレースホルダーを修正しました。
- 修正: 不足しているテキストドメインを翻訳呼び出しに追加しました
- 修正: セントラル設定ページの sprintf 引数に関する警告を修正しました。
- 修正: パスワード紛失機能により有効なログインが明らかにならないようにしました。
7.5.4 – June 7, 2021
- 修正: woocommerce-gateway-amazon-payments-advanced プラグインとの競合を解決する
7.5.3 – May 10, 2021
- 改善: JSON およびユーザー権限の処理の改善を含む WAF 機能の拡張
- 改善: 移植性を高めるために、WAF auto_prepend ファイル内の相対パスに切り替えました。
- 改善: Wordfence サーバーへの不要な呼び出しを排除しました。
- 修正:disk_free_space および / または disk_total_space を disabled_functions に含んでいる場合の PHP 8.0でのエラーの防止
- 修正: 予期しないプラグインバージョンデータによって引き起こされる PHP 通知を修正しました
- 修正: Wordfence サーバーからの予期しない応答を適切に処理する
- 修正: 「最近のトラフィックを表示」オーバーレイに時間フィールドを正しく表示するようになりました。
- 修正: 診断ページのタイプミスを修正しました
- 修正: アクティビティレポートの IP カウントを修正
- 修正: スキャン結果メールに欠落していた改行を追加しました
- 修正: テストアクティビティレポートを送信すると、成功 / 失敗の応答を提供するようになりました。
- 修正: カンマ区切り文字列によって引き起こされる SQLi 誤検知の減少
- 修正: 最後のスキャン結果を解決する際の JS エラーを修正しました。
7.5.2 – March 24, 2021
- 修正: WordPress 4.9 未満を実行しているシングルサイトでの致命的なエラーを修正しました。
7.5.1 – 2021年3月24日
- 修正: ホワイトリストに登録した IP からログインセキュリティ設定ページを表示するときの致命的なエラーを修正しました。
7.5.0 – March 24, 2021
- 改善: 翻訳対応: ユーザー向けのすべての文字列を WordPress の i18n 関数を通じて実行するようになりました。
- 改善: UI 内で使用しなくなった従来の管理機能を削除しました。
- 改善: ローカル GeoIP データベースの更新。
- 改善: Lynwood IP 範囲をホワイトリストから削除し、新しい AWS IP 範囲を追加します。
- 修正: 失敗カウンターを正しくリセットせずに、ロックアウトした IP のロックを解除するバグを修正しました。
- 修正: 削除したプレミアムライセンスを使用しているサイトは、無料ライセンスの動作に正しく戻ります。
- 修正: 有効にすると、以前に使用したデバイス上で Cookie を正しいユーザー権限に設定するようになりました。
- 修正: CLI での実行時に WAF cron ジョブをスキップするようになりました。
- 修正: PHP 8.0互換性 – ファイルの lint チェック時の構文エラーを防止します。
- 修正: PHP 8 通知を無視できない場合がある問題を修正しました。
7.4.14 – December 3, 2020
- 改善: アプリケーションのパスワードを無効にするオプションを追加しました。
- 改善: 1年間の保証付きでサイトクリーニングのコールアウトを更新しました。
- 改善: sodium_compat ライブラリを1.13.0にアップグレードしました。
- 改善: ホワイトリストとブラックリストという用語をホワイトリストとブロックリストに置き換えました。
- 改善: WordPress 5.6および jQuery 3.x の互換性を多数改善しました。
- 改善: PHP 8の互換性を多数改善しました。
- 改善: PHP8 互換性の問題の可能性をユーザーに通知する、無視可能な通知を追加しました。
7.4.12 – October 21, 2020
- 改善: Wordfence への i18n の初期統合。
- 改善: Wordfence を PHP 5.3未満でロードしないようにしました。
- Improvement: Updated GeoIP database.
- 改善: スキャンの除外ファイルパターンに対してワイルドカードを実行 / 保存しないようにしました。
- 改善: 診断欠落テーブルリストに Wordfence Login Security テーブルを含めました。
- 修正: WordPress の更新がスキャン中に発生した場合の新しいスキャンの問題を削除しました。
- 修正:
whitelistedServiceIPs
を WAF ストレージエンジンに保存するときに指定したカテゴリ。 - 修正: 自動更新メールアラートのローカルホスト IP を削除しました。
- 修正: MySQLi ストレージエンジンを使用したライブトラフィックでブロックリストに登録したヒットに対する壊れたメッセージを修正しました。
- 修正: PHP 8との互換性のためにオプションのパラメーター値を削除しました。
完全な変更ログは、ドキュメントサイトでご覧いただけます。