Wordfence Security – Firewall, Malware Scan, and Login Security

説明

最も人気のある WORDPRESS ファイアウォールとセキュリティスキャナー

WordPress のセキュリティには、最新のマルウェアのバリアントや WordPress の脆弱性を研究する専任のアナリストチームが必要であり、それらをファイアウォールルールやマルウェアシグネチャに変換し、リアルタイムで顧客に提供する必要があります。Wordfence は、世界で最も優れた WordPress セキュリティ研究チームとして広く認められています。当社のプラグインは包括的なセキュリティ機能を提供し、当社のチームの研究成果がプラグインを支え、当社が知られるセキュリティレベルを提供しています。

Wordfence では、WordPress のセキュリティは私たちのビジネスの一部門ではなく、WordPress のセキュリティが私たちのすべての仕事です。私たちは、グローバルに24時間体制の専任インシデント対応チームを配置しており、優先顧客に対してはセキュリティインシデントに対して1時間以内の対応を提供しています。また、グローバル セキュリティチームは日が沈むことがなく、最新のセキュリティ脅威に関する画期的なセキュリティ研究を集約、分析、作成するための洗練された脅威インテリジェンス プラットフォームを運営しています。

Wordfence Security には、エンドポイントファイアウォール、マルウェアスキャナー、堅牢なログインセキュリティ機能、ライブトラフィックビューなどが含まれています。私たちの脅威防御フィードは、サイトを安全に保つために必要な最新のファイアウォールルール、マルウェア署名、悪意のある IP アドレスで Wordfence を強力なものにします。2FA と一連の追加機能により、Wordfence は最も包括的な WordPress セキュリティソリューションとなります。

WordPress ファイアウォール

  • Web Application Firewall は、悪意のあるトラフィックを識別してブロックします。 WordPress のセキュリティに 100% 焦点を当てた大規模なチームによって構築および保守されています。
  • [プレミアム] 脅威防御フィードを介したリアルタイムのファイアウォールルールとマルウェアシグネチャの更新(無料バージョンは30日遅れます)。
  • [プレミアム] リアルタイム IP ブロックリストは、最も悪質な IP からのすべてのリクエストをブロックし、サイトを保護すると同時に負荷を軽減します。
  • エンドポイントでサイトを保護し、WordPress との緊密な連携を可能にします。 クラウドの代替手段とは異なり、暗号化が破られず、バイパスすることも、データが漏洩することもありません。
  • 統合マルウェアスキャナは、悪質なコードやコンテンツを含むリクエストをブロックします。
  • ログイン試行を制限することにより、ブルートフォース攻撃から保護します。

WORDPRESS セキュリティスキャナー

  • マルウェアスキャナーは、コアファイル・テーマ・プラグインのマルウェア、不正な URL、バックドア、SEO スパム、悪意のあるリダイレクト、コードインジェクションをチェックします。
  • [プレミアム] 脅威防御フィードを介したリアルタイムのマルウェアシグネチャの更新 (無料バージョンは30日遅れます)。
  • コアファイル、テーマ、プラグインを WordPress.org リポジトリにあるものと比較し、整合性をチェックして変更を報告します。
  • 変更されたファイルを修復し、オリジナルバージョンに上書きします。Wordfenceのインターフェイス上で、不要なファイルを簡単に削除することができます。
  • 既知のセキュリティの脆弱性についてサイトをチェックし、問題があれば警告します。 また、プラグインが閉じられたり破棄されたりした場合に、潜在的なセキュリティ問題について警告します。
  • ファイルのコンテンツ、投稿、コメントをスキャンして、危険な URL や疑わしいコンテンツがないかどうか、コンテンツの安全性を確認します。
  • [プレミアム] サイトまたは IP が悪意のあるアクティビティ、スパムまたはその他のセキュリティ問題の生成のためにブロックリストに登録されているかどうかを確認します。

ログインセキュリティ

  • 2要素認証 (2FA) は、TOTP ベースの認証アプリやサービスを介して利用可能な、リモートシステム認証の最も安全な形態の一つです。
  • ログインページ CAPTCHA が、ボットのログインを遮断します。
  • 無効化するか、XML-RPC に2要素認証を追加します。
  • 既知の侵害されたパスワードを使用する管理者のログインをブロックします。

WORDFENCE CENTRAL

  • Wordfence Central は、複数のサイトのセキュリティを1か所で管理するための強力で効率的な方法です。
  • 1つのビューですべての Web サイトのセキュリティステータスを効率的に評価します。 Wordfence Central を離れることなく、詳細なセキュリティ調査結果を表示します。
  • 強力なテンプレートにより、Wordfence の設定が簡単にできます。
  • 詳細設定可能なアラートを、メール、SMS、Slack を通じて配信できます。重大度レベルのオプションと毎日のダイジェストオプションを活用して、シグナル対ノイズ比を改善しましょう。
  • 管理者ログイン、パスワード使用違反、攻撃活動の急増などの重要なセキュリティイベントを追跡して警告します。
  • 無制限のサイトに無料で使用できます。

セキュリティツール

  • Live Traffic では、他の解析パッケージでは表示されない訪問やハッキングの試みをリアルタイムで監視し、発信元、IPアドレス、時間帯、サイト滞在時間などを表示します。
  • IP 制限を用いて攻撃者をブロックするか、IP 範囲、ホスト名、ユーザーエージェント、リファラーに基づいた高度なルールを構築しましょう。
  • 国別ブロック (遮断) 機能は Wordfence Premium で利用可能です。

スクリーンショット

  • ダッシュボードでは、通知、攻撃統計、Wordfence 機能のステータスなど、サイトのセキュリティの概要を確認できます。
  • ファイアウォールは、一般的なタイプの攻撃や既知のセキュリティの脆弱性からサイトを保護します。
  • Wordfence セキュリティスキャナーは、サイトが侵害されたかどうかを知らせ、対処すべき他のセキュリティ問題を警告します。
  • Wordfence は高度な設定が可能で、各機能には豊富なオプションが用意されています。高レベルのスキャンオプションを上に示します。
  • ブルートフォースプロテクション機能は、パスワード推測攻撃からあなたを保護します。
  • IP、国、IP範囲、ホスト名、ブラウザー、リファラーで攻撃者をブロックします。
  • Wordfence Live Traffic ビューは、ボットトラフィックやエクスプロイトの試みなど、サイト上のアクティビティをリアルタイムで表示します。
  • 2段階認証を使用して、ログインセキュリティレベルを次のレベルに引き上げてください。
  • Wordfence 2要素認証を使えば簡単にログインできます。

インストール

ウェブサイトを保護するには、下記の Wordfence インストール手順に従ってください:

  1. Wordfence Security を自動的にインストールするか、ZIP ファイルをアップロードしてください。
  2. WordPress の「プラグイン」メニューから Wordfence を有効化します。これで Wordfence が有効になりました。
  3. スキャンメニューに移動し、最初のスキャンを開始します。 スケジュールスキャンも有効になります。
  4. 最初のスキャンが完了すると、脅威のリストが表示されます。それらを1つずつ確認して、サイトを保護してください。
  5. Wordfence Security の設定ページにアクセスして、メールアドレスを入力し、メールセキュリティアラートを受信できるようにします。
  6. オプションで、セキュリティレベルを変更したり、詳細オプションを調整して、サイトのスキャンや保護のオプションを個別に設定することができます。
  7. [ライブトラフィック]メニューオプションをクリックすると、サイトのアクティビティをリアルタイムで見ることができます。サイトの現状把握はウェブサイトのセキュリティの重要な部分です。

WordPress のマルチサイトに Wordfence をインストールするには:

  1. プラグインディレクトリ経由で Wordfence Security をインストールするか、ZIP ファイルをアップロードしてください。
  2. Wordfence をネットワーク有効化します。このステップは重要です。ネットワーク有効化を行うまでは、サイトのプラグインメニューにプラグインのオプションが表示されます。有効化すると、そのオプションは消えます。
  3. Wordfence がネットワークで有効化されると、ネットワーク管理メニューに表示されます。個々のサイトのメニューには Wordfence は表示されません。
  4. 「スキャン」メニューに移動し、最初のセキュリティスキャンを開始してください。
  5. Wordfence Security は、個々のサイトのディレクトリにあるものを含むすべてのファイルのセキュリティスキャンを行います。
  6. Live Traffic にはネットワーク上のすべてのサイトのトラフィックが表示されます。トラフィックの多いシステムにおいては、live traffic を無効にすることで、DB へのログの書き込みを停止させることができます。
  7. ファイアウォール規則やログイン規則は、システム”全体”に適用されます。それで、site1.example.com と site2.example.com にそれぞれログイン失敗があった場合、2回の失敗とカウントされます。クローラーのトラフィックもサイトごとにカウントされるため、ネットワークに三つのサイトがあった場合、それらすべてのヒットが合計され、システムへのアクセス数としてカウントされます。

FAQ

セキュリティ機能の説明、一般的な解決策、包括的なヘルプを含む公式ドキュメントにアクセスするには、当社の Web サイトにアクセスしてください。

Wordfence Security はどのようにしてサイトを攻撃者から守るのですか ?

Wordfence Security プラグインは、あなたのサイトに最高の保護を提供します。常に更新される脅威防御フィードをを利用して、Wordfence Firewall はハッキングを阻止します。Wordfence Scan は、同じ独自のフィードを活用し、セキュリティ上の問題やサイトが侵害された場合に迅速に警告します。ライブトラフィックビューでは、お客様のサイトのトラフィックやハッキングの試みをリアルタイムに可視化します。その他のツールも充実しており、最も包括的な WordPress セキュリティソリューションとなっています。

Wordfence プレミアム はどのような機能を実現しますか ?

リアルタイムの IP ブロックリスト、ファイアウォールルール、マルウェアシグネチャを含む脅威防御フィードのリアルタイム更新を提供するプレミアム API キーを提供します。プレミアムサポート、国のブロック、より頻繁なスキャン、スパムとスパム広告のチェックも含まれています。ここをクリックして今すぐ Wordfence プレミアムにサインアップするか、Wordfence を無料でインストールしてサイトの保護を始めてください。

Wordfence の WordPress ファイアウオールはどのようにサイトを保護するのですか?

  • ウェブ・アプリケーション・ファイヤーウォールは、悪意のあるアクセスを検知し、ウェブサイトに到達する前にブロックします。
  • Threat Defense Feed はファイアウォールのルールを自動的に更新し、最新の脅威から守ります。プレミアム会員の方はリアルタイムに更新を受けることができます。
  • 偽の Googlebot、ハッカーやボットネットからの悪意のあるスキャンなど、一般的な WordPress のセキュリティ脅威をブロックします。

Wordfence Security Scanner はどのようなチェックを実行しますか ?

  • コア、テーマ、プラグインのすべてのファイルをスキャニングし、WordPress.org のレポジトリの同じバージョンとの同一性を確認し、ソースコードのセキュリティーを確認します。
  • ファイルがどのように変更されたのかを確認し、ファイルを修正することができます。
  • WordPress セキュリティの脅威となる44,000以上のマルウェアバリエーションの定義 (シグネチャ) をスキャンします。
  • C99 、R57 、RootShell 、Crystal Shell 、Matamu 、Cybershell 、W4cking 、Sniper 、Predator 、Jackal 、Phantasma 、GFS 、Dive 、Dx など、セキュリティホールを作る既知のバックドアを多数スキャンします。
  • セキュリティ上の脅威であるすべてのコメント、投稿、ファイルに含まれる Google セーフブラウジングリストのすべての URL を含むマルウェアとフィッシング URL を継続的にスキャンします。
  • バックドア、トロイの木馬、疑わしいコードやその他のセキュリティ問題のヒューリスティックスキャン。

Wordfence にはどのようなセキュリティ監視機能がありますか ?

  • ロボット、人間、404エラー、ログインとログアウト、コンテンツへの負荷が高いものなど、トラフィックをリアルタイムで確認しましょう。直面するセキュリティへの脅威に対する現状認識力を向上させましょう。
  • Javascript の解析パッケージでは表示されない、セキュリティ上の脅威となる自動化されたボットを含むすべてのトラフィックをリアルタイムで表示します。
  • リアルタイムトラフィックは、アクセスした人の逆 DNS 情報や、都市レベルの場所を表示でき、どこでセキュリティの脅威が起きているかを知ることができます。
  • 多くのDDoS攻撃が、サービスの停止をを引き起こすためにすべてのディスク領域を消費しようとするので、それを防止するためにセキュリティに関連するディスクスペースを監視します。

どのようなログインセキュリティ機能が搭載されているか

  • ロボット、人間、404エラー、ログインとログアウト、コンテンツへの負荷が高いものなど、トラフィックをリアルタイムで確認しましょう。直面するセキュリティへの脅威に対する現状認識力を向上させましょう。
  • Javascript の解析パッケージでは表示されない、セキュリティ上の脅威となる自動化されたボットを含むすべてのトラフィックをリアルタイムで表示します。
  • リアルタイムトラフィックは、アクセスした人の逆 DNS 情報や、都市レベルの場所を表示でき、どこでセキュリティの脅威が起きているかを知ることができます。
  • 多くのDDoS攻撃が、サービスの停止をを引き起こすためにすべてのディスク領域を消費しようとするので、それを防止するためにセキュリティに関連するディスクスペースを監視します。

セキュリティ上の問題が発見された場合、どのように警告しますか ?

Wordfence はセキュリティアラートをメールで送信します。Wordfence をインストールすると、セキュリティアラートが送信されるメールアドレスのリストが設定されます。セキュリティアラートを受け取ったら、速やかに対処してサイトの安全性を確保してください。

クラウドベースのファイアウォール (WAF) を使用している場合、Wordfence のようなセキュリティプラグインは必要ですか ?

Wordfenceは、あなたの WordPress サイトに真のエンドポイントセキュリティを提供します。クラウドベースのファイアウォールとは異なり、Wordfence は WordPress の環境下で実行されるため、ユーザーがサインインしているかどうか、ユーザーの ID やアクセスレベルなどの情報を得ることができます。Wordfenceは、WordPress サイトを保護するために使用するファイアウォールルールの80%以上に、ユーザーのアクセスレベルを使用しています。クラウド WAF の ID 問題についてはこちらをご覧ください。また、クラウドベースのファイアウォールはバイパスされる可能性があり、サイトが攻撃者にさらされることになります。Wordfence はエンドポイント (お客様の WordPress ウェブサイト) に不可欠なパーツであるため、バイパスすることはできません。クラウド WAF のバイパス問題についての詳細はこちら。サイトへの投資を完全に保護するには、セキュリティに対する多層防御アプローチを採用する必要があります。 Wordfence はこのアプローチを採用しています。

Wordfence にはどのようなブロック機能がありますか ?

  • 既知の攻撃者をリアルタイムブロック。Wordfence を使っている他のサイトが攻撃された場合には、あなたのサイトも自動的に守られます。
  • 悪意のあるネットワーク全体をブロック。悪意のある IP やネットワークを報告したり、ファイアウォールを使ってネットワーク全体をブロックするための、高度な IP およびドメイン WHOIS を搭載。WordPress のセキュリティ脅威をネットワークオーナーに報告。
  • 攻撃的なクローラー、スクレーパー、ボットがサイトの脆弱性のセキュリティスキャンを実行するなど、WordPress のセキュリティ脅威を制限またはブロックします。
  • WordPress セキュリティルールを守らないユーザーやボットの遮断または制限を選択します。
  • プレミアムユーザーは国別のブロッキング、特定時間のスキャニングをより頻繁に実施することができます。

Wordfence と他の WordPress セキュリティプラグインとの違いは何ですか ?

  • Wordfence Security は、WordPress 専用に開発された WordPress ファイアウォールを提供し、サイトの脆弱性を探している攻撃者をブロックします。 ファイアウォールは、新しい脅威が発生したときに継続的に更新される脅威防御フィードを利用しています。 プレミアム顧客はリアルタイムで更新を受け取ります。
  • Wordfence は、WordPress の公式リポジトリに対してサイトのソースコードの整合性を検証し、その変更点を表示します。
  • Wordfence スキャン はすべてのファイル、コメント、投稿の URL を Google のセーフブラウジングのリストと照らしあわせてチェックをします。この重要な機能を備えているのはこのプラグインだけです。
  • Wordfence のスキャンは、すべてのセキュリティスキャンが Web サーバ上で行われるため、帯域幅を大量に消費することはなく、非常に高速なスキャンが可能です。
  • Wordfence は WordPress マルチサイトを完全にサポートしているので、マルチサイトインストール内のすべてのブログをワンクリックでセキュリティスキャンできます。
  • Wordfence Security は二要素認証の機能を備えており、これはブルートフォースアタックに対する最も効果的な対策です。
  • Wordfence は IPv6 を完全にサポートしており、IPv6 アドレスの場所の検索、IPv6 範囲のブロック、IPv6 の国の検出、IPv6 アドレスの whois 検索などを行うことができます。

Wordfence はサイトを遅くしますか ?

いいえ。Wordfence Security は非常に高速で、独自の設定データをキャッシュしてデータベースの検索を避けたり、サイトの速度を低下させる悪意のある攻撃をブロックするなどの技術を使用しています。

自分のサイトがすでにハッキングされている場合は ?

Wordfence Security は、すでにセキュリティが侵害されているサイトのコアファイル、テーマ、およびプラグインを修復することができます。Wordfence を使用してハッキングされたサイトをクリーンアップする方法については、Wordfence を使用したハッキングされたサイトのクリーンアップ方法ガイドをご覧いただけます。自分のサイトをハッキング後にクリーンアップする場合、サイトのセキュリティは完全な再インストールを行わない限り保証されません。サイトがハッキングされた場合は、必要なデータを回復するために Wordfence Security を使用してサイトを動作状態にするだけで、完全な再インストールを行うことをおすすめします。セキュリティの問題に対する支援が必要な場合は、チームによるハンズオンサポートを提供するWordfence ケアをご覧ください。ミッションクリティカルなサイトには、Wordfence レスポンスもご検討いただけます。

IPv6 はサポートされていますか?

はい。 国別ブロック、範囲ブロック、都市検索、whois 検索、その他すべてのセキュリティ機能を含むすべてのセキュリティ機能で IPv6 を完全にサポートします。 IPv6を実行していない場合、Wordfence はサイトでもうまく機能します。 両方を実行する場合でも、1つのアドレス指定スキームのみを実行する場合でも、IPv4 と IPv6 の両方と完全に互換性があります。

Wordfence Security はマルチサイトをサポートしていますか?

はい。WordPress マルチサイトは完全にサポートされています。Wordfence を使用すると、ネットワーク内のすべてのブログをワンクリックでマルウェアのスキャンができます。顧客の1人が既知のマルウェアの URL を含むページや投稿をして、ドメイン全体が Google のブロックリストに載る恐れがある場合は、次のスキャンで警告します。

Wordfence ユーザーにはどのようなサポートオプションがありますか?

優れたカスタマーサービスを提供することは、私たちにとって非常に重要です。無料ユーザーは、サポートフォーラムでボランティアレベルのサポートを受けることができます。一方、Wordfence プレミアムのお客様は有償のチケットベースのサポートを受けることができます。また、Wordfence ケアのお客様は、セキュリティインシデントへの対応や年次のセキュリティ監査など、ハンズオンのサポートを受けることができます。さらに、Wordfence レスポンスのお客様は、24時間365日のインシデント対応チームからのサポートを受けることができ、1時間以内のレスポンスタイムと最大24時間以内でセキュリティ問題を解決する保証を受けることができます。

WordPressのセキュリティに関する詳細はどこで知ることができますか?

The WordPress Security Learning Center は、あらゆるスキルレベルに対応しており、エントリーレベルの記事、詳細な記事、ビデオ、業界の調査結果、グラフィックなどに無料でアクセスすることができ、セキュリティのベストプラクティスについてユーザーの理解を深めることができます。

Wordfence の利用規約とプライバシーポリシーはどこにありますか ?

これらは、当社のサイトで入手できます: 利用規約およびプライバシーポリシー

評価

2024年4月19日 1 reply
The free version used to be much more useful before it required a license. That's an aggravating extra step which is unfortunate as we regularly had clients opt into the Premium license at a later date.
2024年4月17日 1 reply
To me it is nonsense. For you as a developer it would cost you just a checkbox to hide our admin URL. For your information we had a huge attack on our admin page and after changing the URL using an another plugin, we managed to reduce it for 99%. So basically what you said is wrong and I have not idea why you guys are against changing your block page. We considered to get your paid version of your plugin but still this is the same none-sense with the paid version. If you would like to advertise your plugin this is not the right way!
4,124件のレビューをすべて表示

貢献者と開発者

Wordfence Security – Firewall, Malware Scan, and Login Security はオープンソースソフトウェアです。以下の人々がこのプラグインに貢献しています。

貢献者

“Wordfence Security – Firewall, Malware Scan, and Login Security” は17ロケールに翻訳されています。 翻訳者のみなさん、翻訳へのご協力ありがとうございます。

“Wordfence Security – Firewall, Malware Scan, and Login Security” をあなたの言語に翻訳しましょう。

開発に興味がありますか ?

コードを閲覧するか、SVN リポジトリをチェックするか、開発ログRSS で購読してみてください。

変更履歴

7.11.5 – April 3, 2024

  • Fix: Revised the behavior of the reCAPTCHA verification to use the documented expiration period of the token and response to avoid sending verification requests too frequently, which could artificially lower scores in some circumstances
  • Fix: Addressed PHP 8 deprecation notices in the file differ used by file changed scan results
  • Fix: Reduced the frequency of Wordfence Central status update callbacks in sections of the scan that occur quickly in sequence

7.11.4 – March 11, 2024

  • Change: CAPTCHA verification when enabled now additionally applies to 2FA logins (may send an email verification on low scores) and no longer reveals whether a user exists for the submitted account credentials (credit: Raxis)
  • Fix: Addressed a potential PHP 8 notice in the human/bot detection AJAX call
  • Fix: Addressed a potential PHP 8 notice when requesting a lockout unlock verification email
  • Fix: Fixed the emailed diagnostics view not showing the missing table information when applicable
  • Fix: Improved quick scan logic to base timing on regular scans so they’re more evenly distributed

7.11.3 – February 15, 2024

  • Fix: Fixed an issue with sites containing invalid Wordfence Central site data where they could throw an error when viewing Wordfence pages

7.11.2 – February 14, 2024

  • Improvement: Enhanced the vulnerability scan to check and alert for WordPress core vulnerabilities and to adjust the severity of the scan result based on findings or available updates
  • Improvement: Updated the bundled GeoIP database
  • Improvement: Increased compatibility of brute force protection with plugins that override the normal login flow and omit traditional hooks
  • Change: Adjusted the behavior of automatic quick scans to schedule themselves further away from full scans
  • Fix: Added detection for a site being linked to a non-matching Wordfence Central record (e.g., when cloning the database to a staging site)
  • Fix: Streamlined the license and terms of use installation flow to avoid unnecessary prompting
  • Fix: Fixed an issue where user profiles with a selected locale different from the site itself could end up loading the site’s locale instead

7.11.1 – January 2, 2024

  • Improvement: Added “.env” to the files checked for “Scan for publicly accessible configuration, backup, or log files”
  • Improvement: Provided better descriptive text for the option “Block IPs who send POST requests with blank User-Agent and Referer”
  • Improvement: The diagnostics page now displays the contents of any auto_prepend_file .htaccess/.user.ini block for troubleshooting
  • Fix: Fixed an issue where a login lockout on a WooCommerce login form could fail silently
  • Fix: The scan result for abandoned plugins no longer states it has been removed from wordpress.org if it is still listed
  • Fix: Addressed an exception parsing date information in non-repo plugins that have a bad last_updated value
  • Fix: The URL scanner no longer generates a log warning when matching a potential URL fragment that ends up not being a valid URL

7.11.0 – November 28, 2023

  • Improvement: Added new functionality for trusted proxy presets to support proxies such as Amazon CloudFront, Ezoic, and Quic.cloud
  • Improvement: WAF rule and malware signature updates are now signed with SHA-256 as well for hosts that no longer build SHA1 support
  • Improvement: Updated the bundled trusted CA certificates
  • Change: The WAF will no longer attempt to fetch rule or blocklist updates when run via WP-CLI
  • Fix: Removed uses of SQL_CALC_FOUND_ROWS, which is deprecated as of MySQL 8.0.17
  • Fix: Fixed an issue where final scan summary counts in some instances were not sent to Central
  • Fix: Fixed a deprecation notice for get_class in PHP 8.3.0
  • Fix: Corrected an output error in the connectivity section of Diagnostics in text mode

7.10.7 – November 6, 2023

  • Fix: Compatibility fix for WordPress 6.4 on the login page styling

7.10.6 – October 30, 2023

  • Fix: Addressed an issue with multisite installations when the wp_options tables had different encodings/collations

7.10.5 – October 23, 2023

  • Improvement: Updated the bundled GeoIP database
  • Improvement: Added detection for Cloudflare reverse proxies blocking callbacks to the site
  • Change: Files are no longer excluded from future scans if a previous scan stopped during their processing
  • Fix: Added handling for the pending WordPress 6.4 change that removes $wpdb->use_mysqli
  • Fix: The WAF MySQLi storage engine will now work correctly when either DB_COLLATE or DB_CHARSET are not defined
  • Fix: Added additional error handling to Central calls to better handle request failures or conflicts
  • Fix: Addressed a warning that would occur if a non-repo plugin update hook did not provide a last updated date
  • Fix: Fixed an error in PHP 8 that could occur if the time correction offset was not numeric
  • Fix: 2FA AJAX calls now use an absolute path rather than a full URL to avoid CORS issues on sites that do not canonicalize www and non-www requests
  • Fix: Addressed a race condition where multiple concurrent hits on multisite could trigger overlapping role sync tasks
  • Fix: Improved performance when viewing the user list on large multisites
  • Fix: Fixed a UI bug where an invalid code on 2FA activation would leave the activate button disabled
  • Fix: Reverted a change on error modals to bring back the additional close button for better accessibility

7.10.4 – September 25, 2023

  • 改善: 「管理者が WordPress の外部で作成した」スキャン結果をレビューおよび承認するようになりました。
  • 改善: WAF ストレージエンジンは、環境変数「WFWAF_STORAGE_ENGINE」を設定することで指定できるようになりました。
  • 改善: カスタム更新ハンドラーを備えたプラグインまたはテーマが壊れていて更新バージョンチェックをブロックしていることを検出します。
  • 変更: WordPress バージョン 4.7.0より前のサポートは非推奨になりました
  • 変更: 破損したコンパイル済みルールファイルの解析エラーをレポートから除外する
  • 修正: WP-CLI の実行時にルールの読み込みに関連する PHP 通知を抑制する
  • 修正: スキャンモニター cron が不必要に実行されたままになる可能性がある問題を修正しました。

7.10.3 – July 31, 2023

  • 改善: GeoIP データベースを更新しました
  • 修正: 翻訳関数の呼び出しに欠けていたテキストドメインを追加
  • 修正: スイッチコントロールの一貫性のないスタイルを修正
  • 変更: MySQLi ストレージエンジンを Flywheel ホスティングサイトのデフォルトにしました

7.10.2 – July 17, 2023

  • 修正: バンドルされている sodium_compat ライブラリが古い WordPress バージョンに含まれるバージョンと競合しないようにしました

7.10.1 – July 12, 2023

  • 改善: WAF でのファイル配列の処理のサポートを追加しました。
  • 改善: イベントを一括送信するようにセキュリティイベント処理をリファクタリングしました。
  • 改善: バンドルした sodium_compat および random_compat ライブラリを更新しました。
  • 修正: 動的なプロパティ作成による非推奨の警告を防止
  • 修正: 追加文字列の翻訳サポートを追加
  • 変更: Wordfence 登録 UI の調整

7.10.0 – June 21, 2023

  • 改善: ログインセキュリティプラグインからの文字列の翻訳サポートを追加しました。
  • 改善: 語順と隠しテキストに関する翻訳者のメモを追加しました。
  • 改善: 追加の文字列の翻訳サポートを追加しました。
  • 改善: 読み取り不可能なディレクトリが見つかった場合にスキャンを失敗するのを防止しました。
  • 改善: IPv4 スキャンオプションへのヘルプリンクを追加しました。
  • 改善: wordpress.org から削除したプラグインの意味を明確にするためにスキャン結果テキストを更新しました。
  • 改善: 「攻撃率の増加」メールを実行可能にしました
  • 改善: GeoIP データベースを更新しました
  • 改善: JavaScript ライブラリを更新しました。
  • 修正: IPv6 アドレスの拡張を修正
  • 修正: 悪意のあるリクエストの長いリクエストペイロードをライブトラフィックに記録するようにしました。
  • 修正: データベース接続が失敗した場合に「コマンドが同期していません」というデータベースエラーメッセージを表示しないようにしました
  • 修正: 稀に発生する JSON エンコードの問題により無料ライセンス登録を中断するのを防止しました
  • 修正: リクエストパラメータが欠落している場合に PHP 通知をログに記録しないようにしました
  • 修正: PHP 8.1で非推奨の警告を表示しないようにしました
  • 変更: 古い TimThumb ファイルの検出をマルウェアシグネチャに移動しました
  • 変更: 翻訳ファイルを .po から .pot に移動しました。
  • 変更: 「マケドニア」の名前を「北マケドニア共和国」に変更しました。

7.9.3 – May 31, 2023

  • 改善: WAF エラーが致命的になるのを防ぐために例外処理を追加しました。
  • 修正: WAF での null でのメソッド呼び出しによって引き起こされるエラーを修正しました
  • 変更: PHP 5.5 および 5.6 の非推奨サポート、PHP 5.3 および 5.4 のサポートを終了しました
  • 変更: ファイアウォールルールのリクエスト時に WAF のバージョンパラメーターを指定するようにしました

7.9.2 – March 27, 2023

  • 改善: 脆弱性重大度スコア (CVSS) を、スキャナーからの脆弱性の検出結果とともに表示するようになりました。
  • 改善: インストールが中断されないように、初期セットアップ中にいくつかのリンクを新しいウィンドウ / タブで開くように変更しました。
  • 変更: Wordfence サーバーへの非 https コールバックテストを削除しました。
  • 修正: プラグインの更新をチェックし、別のプラグインのフックが壊れているときに発生する可能性がある PHP 8のエラーを修正しました。
  • 修正: PHP 8でのエラーを回避するために、サポート診断を生成するときに無効な関数のチェックを追加しました。
  • 修正: 「セットアップ済み」エラーを回避するために、2FA をアクティブ化するときにダブルクリックを防止します

7.9.1 – March 1, 2023

  • 改善: 2FA 設定を表示する際のパフォーマンスがさらに向上し、多くのユーザーがいるサイトでデフォルトでユーザー数は非表示になりました。
  • 修正: アイコンの欠落を防ぐために、スタイルの組み込みと使用法を調整しました。
  • 修正: ctype 拡張機能は有効になっていない可能性があるため、使用を避けました。
  • 修正: 不正な形式の中央キーによって引き起こされる致命的なエラーを防止しました

7.9.0 – February 14, 2023

  • 改善: 2FA 管理ショートコードと WooCommerce アカウント連携を追加しました。
  • 改善: 多くのユーザーがいるサイトで2FA 設定を表示するときのパフォーマンスが向上しました。
  • 改善: GeoIP データベースを更新しました
  • 修正: マルチサイトのサブサイトでアクティブ化した場合、Captcha および 2FA スクリプトを WooCommerce に確実に読み込むようにしました。
  • 修正: 一部のテーマで reCAPTCHA ロゴが隠れないようにしました
  • 修正: WooCommerce 連携に対する wfls_registration_blocked_message フィルターのサポートを有効にしました

7.8.2 – December 13, 2022

  • 修正: wordpress.org エラーのため、7.8.1と同じ変更をリリース

7.8.1 – December 13, 2022

  • 改善: 非アクティブ化プロンプトに、より詳細なデータ削除オプションを追加しました。
  • 改善: 登録を完了する前に診断にアクセスできるようにしました。
  • 修正: ライセンスキーをすでにインストールしているが、アラートメールアドレスを削除した場合、インストールプロンプトを表示しないようにしました。

7.8.0 – November 28, 2022

  • 改善: ログインフォームを 2FA で送信したときのフィードバックを追加しました。
  • 修正: WooCommerce で 2FA を使用する場合のログインボタンのクリックサポートを復元しました。
  • 修正: reCAPTCHA スコア履歴グラフの表示の問題を修正しました。
  • 修正: ログインタイムスタンプの破損によって引き起こる PHP でのエラーを防止しました
  • 修正: 動的プロパティに関連する PHP 8.2での非推奨通知の回避
  • 変更: Wordfence 登録ワークフローを更新しました

7.7.1 – October 4, 2022

  • 修正: 初期スキャン段階が失敗した場合に、スキャンの再開試行を無期限に繰り返すのを防止しました。

7.7.0 – October 3, 2022

  • 改善: 断続的な接続の問題があるサイトでのスキャンの失敗を防ぐために、構成可能なスキャン再開機能を追加しました。
  • 改善: WordPress.org 経由で入手可能なパッチを適用したバージョンがないプラグインで見つかった脆弱性に対する新しいスキャン結果を追加しました。
  • 改善: プラグインの競合を防止し、追加の PHP バージョンをサポートするために、IP アドレス検索用のスタンドアロン MMDB リーダーを実装しました。
  • 改善: Wordfence API を介した IP アドレスの場所の検索を無効にするオプションを追加しました。
  • 改善: ログインに成功してもブルートフォースカウンターをリセットしないようにしました。
  • 改善: IPv6 診断を明確にしました。
  • 改善: ライブトラフィックオプションのテキストに最大日数を含めました。
  • 修正: ファイアウォールページでタイムゾーンを一貫したものにしました
  • 修正: 検索に「IPv4 のみを使用してスキャンを開始する」オプションを追加しました。
  • 修正: アクティビティログをメールで送信するときに、PHP 8.1で非推奨の通知を送信しないようにしました。
  • 修正: PHP 8 でプロセス所有者の診断に関連する警告を表示しないようにしました
  • 修正: T_BAD_CHARACTER に関連する PHP コードスニッファーの誤検知を防止しました
  • 修正: サポートされていないベータフィードオプションを削除しました

7.6.2 – September 19, 2022

  • 改善: 攻撃者がデータベースから特権情報を取得できる場合の危険性を軽減するために、2FA ログインフローを強化しました。

7.6.1 – September 6, 2022

  • 修正: 悪用するには管理者権限が必要となる XSS を防止しました (CVE-2022-3144)

7.6.0 – July 28, 2022

  • 改善: IPv4 のみを使用してスキャンを開始するオプションを追加しました。
  • 改善: サイトへの内部 IPv6 接続の診断を追加しました。
  • 改善: AUTOMATIC_UPDATER_DISABLED 診断を追加しました。
  • 改善: パスワード強度チェックを更新しました。
  • 改善: WP_CONTENT_DIR/WP_PLUGIN_DIR 定数を使用する場合のプラグイン / テーマファイルのスキャンのサポートを追加しました。
  • 改善: GeoIP データベースを更新しました
  • 改善: DISABLE_WP_CRON 診断をより明確にしました。
  • 改善: ホスト名ブロックのために表示するライブトラフィックメッセージに「ホスト名」を追加しました。
  • 改善: Flywheel hosting との互換性の向上
  • 改善: セマンティックバージョニングの採用
  • 改善: リクエストをログに記録する際の動的な Cookie 編集パターンのサポートを追加しました。
  • 修正: まれにスキャンしたパスをスキップして表示しないようにしました。
  • 修正: スキャンメッセージ内のインデックス付きファイルの数を修正しました。
  • 修正: 低速サーバーでライブトラフィックを表示するときに、AJAX リクエストが重複するのを防止しました。
  • 修正: WP_DEBUG_DISPLAY 診断を修正しました
  • 修正: DNS 解決の失敗によって引き起こされる無関係な警告の防止
  • 修正: 「すべてのオプション」ページの「保存 / キャンセル」ボタンの表示の問題を修正しました。
  • 修正: 無効な値の WHOIS 検索によって引き起こされるエラーの防止

7.5.11 – June 14, 2022

  • 改善: WordPress ユーザーページの最終ログイン列の表示を切り替えるオプションを追加しました。
  • 改善: Apple デバイスでの 2FA コードのオートコンプリートサポートを改善しました。
  • 改善: Batcache がブロックページをキャッシュできないようにしました。
  • 改善: GeoIP データベースを更新しました
  • 修正: UPLOADS および関連する定数を使用して存在しないパスを設定している場合に、無関係なスキャン結果を生成しないようにする
  • 修正: reCAPTCHA スコアを記録しない問題を修正しました
  • 修正: 無効な JSON 設定値が致命的なエラーを引き起こすのを防止しました
  • 修正: 翻訳サポートのためにテキストドメインの一貫性を確保しました。
  • 修正: ホワイトリストに登録した IP アドレスも reCAPTCHA をバイパスすることを明確にしました。

7.5.10 – May 17, 2022

  • 改善: 非標準のディレクトリ構造を持つサイトのスキャンサポートを改善しました。
  • 改善: 実行可能 PHP アップロード検出の精度が向上しました。
  • 改善: PHP 8.1のさまざまな非推奨通知に対処しました。
  • 改善: 無効になったライセンスキーの処理を改善しました。
  • 修正: WooCommerce で使用した場合に紛失したパスワードのリダイレクト URL を修正しました
  • 修正: ライブトラフィックデータがデータベース列の長さを超えた場合のエラーを防止しました
  • 修正: パスワードの一括リセットによって管理者がロックアウトされるのを防止しました
  • 修正: 特定の場合に国をブロックする設定を保存できない問題を修正しました
  • 変更: 著作権情報を更新しました

7.5.9 – March 22, 2022

  • 改善: GeoIP データベースを更新しました
  • 改善: タイムアウトを減らすために、ブロッキングデータ更新ロジックを削除しました。
  • 改善: タイムアウトを減らすために、API 呼び出しのタイムアウト値を増加しました。
  • 改善: Wordfence メニューの通知数を明確にしました。
  • 改善: WooCommerce とのスキャン互換性が向上しました。
  • 改善: アプリケーションのパスワードが無効になっている場合のメッセージを追加しました。
  • 修正: wp-config.php 内の他の定数の値に基づいて定数を定義している場合の警告とエラーの防止
  • 修正: スキャン結果内のファイルの表示または修復を妨げていた冗長なエスケープを修正しました。

7.5.8 – February 1, 2022

  • Wordfence Care と Wordfence Response の開始

7.5.7 – November 22, 2021

  • 改善: PHP 8.1との互換性のために予備的な変更を加えました。
  • 変更: GPLv3 ライセンスを追加し、EULA を更新しました

7.5.6 – October 18, 2021

  • 修正: WooCommerce 登録フォームで手動ユーザー名入力が有効になっている場合、WooCommerce 連携によるログインエラーを防止しました
  • 修正: WooCommerce 統合とのテーマの非互換性を修正しました

7.5.5 – August 16, 2021

  • 改善: アクセシビリティの強化
  • 改善: スキャンログの正規表現を署名 ID に置き換えました。
  • 改善: Knockout JS の依存関係をバージョン 3.5.1に更新しました。
  • 改善: PHP 8互換性に関する通知を削除しました。
  • 改善: 診断にログインセキュリティの NTP ステータスを追加しました。
  • 改善: WordPress 5.8 との互換性のためにプラグインヘッダーを更新しました。
  • 改善: Nginx ドキュメントの HTTPS へのリンクを更新しました。
  • 改善: IP アドレス地理位置情報データベースを更新しました。
  • 改善: WAF SQL 構文サポートの拡張
  • 改善: WAF データベース接続を構成するためのオプションの定数を追加しました。
  • 改善: Punycode ドメイン名の照合のサポートを追加しました。
  • 改善: Wordfence のインストール数を更新しました。
  • 改善: 4.4.0より古い WordPress バージョンのサポートを廃止しました。
  • 改善: 米国をブロックする際の警告メッセージを追加しました。
  • 改善: WAF データベース接続に MYSQLI_CLIENT_SSL サポートを追加しました。
  • 改善: WooCommerce ログインおよび登録フォームに 2FA および reCAPTCHA サポートを追加しました。
  • 改善: あらゆるユーザー権限に 2FA を要求するオプションを追加しました。
  • 改善: 失敗を繰り返した場合に NTP を自動的に無効にするロジックと、NTP を手動で無効にするオプションを追加しました。
  • 改善: reCAPTCHA セットアップに関するメモを更新しました。
  • 修正: 国をブロックする変更を保存しない問題を回避しました
  • 修正: 文字列プレースホルダーを修正しました。
  • 修正: 不足しているテキストドメインを翻訳呼び出しに追加しました
  • 修正: セントラル設定ページの sprintf 引数に関する警告を修正しました。
  • 修正: パスワード紛失機能により有効なログインが明らかにならないようにしました。

7.5.4 – June 7, 2021

  • 修正: woocommerce-gateway-amazon-payments-advanced プラグインとの競合を解決する

7.5.3 – May 10, 2021

  • 改善: JSON およびユーザー権限の処理の改善を含む WAF 機能の拡張
  • 改善: 移植性を高めるために、WAF auto_prepend ファイル内の相対パスに切り替えました。
  • 改善: Wordfence サーバーへの不要な呼び出しを排除しました。
  • 修正:disk_free_space および / または disk_total_space を disabled_functions に含んでいる場合の PHP 8.0でのエラーの防止
  • 修正: 予期しないプラグインバージョンデータによって引き起こされる PHP 通知を修正しました
  • 修正: Wordfence サーバーからの予期しない応答を適切に処理する
  • 修正: 「最近のトラフィックを表示」オーバーレイに時間フィールドを正しく表示するようになりました。
  • 修正: 診断ページのタイプミスを修正しました
  • 修正: アクティビティレポートの IP カウントを修正
  • 修正: スキャン結果メールに欠落していた改行を追加しました
  • 修正: テストアクティビティレポートを送信すると、成功 / 失敗の応答を提供するようになりました。
  • 修正: カンマ区切り文字列によって引き起こされる SQLi 誤検知の減少
  • 修正: 最後のスキャン結果を解決する際の JS エラーを修正しました。

7.5.2 – March 24, 2021

  • 修正: WordPress 4.9 未満を実行しているシングルサイトでの致命的なエラーを修正しました。

7.5.1 – 2021年3月24日

  • 修正: ホワイトリストに登録した IP からログインセキュリティ設定ページを表示するときの致命的なエラーを修正しました。

7.5.0 – March 24, 2021

  • 改善: 翻訳対応: ユーザー向けのすべての文字列を WordPress の i18n 関数を通じて実行するようになりました。
  • 改善: UI 内で使用しなくなった従来の管理機能を削除しました。
  • 改善: ローカル GeoIP データベースの更新。
  • 改善: Lynwood IP 範囲をホワイトリストから削除し、新しい AWS IP 範囲を追加します。
  • 修正: 失敗カウンターを正しくリセットせずに、ロックアウトした IP のロックを解除するバグを修正しました。
  • 修正: 削除したプレミアムライセンスを使用しているサイトは、無料ライセンスの動作に正しく戻ります。
  • 修正: 有効にすると、以前に使用したデバイス上で Cookie を正しいユーザー権限に設定するようになりました。
  • 修正: CLI での実行時に WAF cron ジョブをスキップするようになりました。
  • 修正: PHP 8.0互換性 – ファイルの lint チェック時の構文エラーを防止します。
  • 修正: PHP 8 通知を無視できない場合がある問題を修正しました。

7.4.14 – December 3, 2020

  • 改善: アプリケーションのパスワードを無効にするオプションを追加しました。
  • 改善: 1年間の保証付きでサイトクリーニングのコールアウトを更新しました。
  • 改善: sodium_compat ライブラリを1.13.0にアップグレードしました。
  • 改善: ホワイトリストとブラックリストという用語をホワイトリストとブロックリストに置き換えました。
  • 改善: WordPress 5.6および jQuery 3.x の互換性を多数改善しました。
  • 改善: PHP 8の互換性を多数改善しました。
  • 改善: PHP8 互換性の問題の可能性をユーザーに通知する、無視可能な通知を追加しました。

7.4.12 – October 21, 2020

  • 改善: Wordfence への i18n の初期統合。
  • 改善: Wordfence を PHP 5.3未満でロードしないようにしました。
  • Improvement: Updated GeoIP database.
  • 改善: スキャンの除外ファイルパターンに対してワイルドカードを実行 / 保存しないようにしました。
  • 改善: 診断欠落テーブルリストに Wordfence Login Security テーブルを含めました。
  • 修正: WordPress の更新がスキャン中に発生した場合の新しいスキャンの問題を削除しました。
  • 修正: whitelistedServiceIPs を WAF ストレージエンジンに保存するときに指定したカテゴリ。
  • 修正: 自動更新メールアラートのローカルホスト IP を削除しました。
  • 修正: MySQLi ストレージエンジンを使用したライブトラフィックでブロックリストに登録したヒットに対する壊れたメッセージを修正しました。
  • 修正: PHP 8との互換性のためにオプションのパラメーター値を削除しました。

2020年7月4日~8月27日

  • 改善: Wordfence Central 接続データをデータベースからクリアするための診断デバッグボタンを追加しました。
  • 改善: 変更したプラグイン / テーマファイルのスキャン結果へのヘルプドキュメントのリンクを追加しました。
  • 修正: ファイルシステムスキャンがルートへのシンボリックリンクをたどることを防止します。
  • 修正: プラグイン / テーマを自動更新したときの保留中のプラグイン / テーマ更新のスキャン結果と通知をクリアしました。
  • 修正: Central 側でサイトを切断したときのチェックを追加しましたが、プラグインではチェックしませんでした。

2020年7月4日~8月5日

  • 改善: WordPress >= 5.5.0で作成者のサイトマップからユーザー名が漏洩するのを防ぎます。
  • 修正: ユーザーが WordPress による自動更新を有効にしている場合、Wordfence の自動更新を実行しないようにします。
  • 修正: デフォルトの permission_callback パラメータを Wordfence Central REST ルートに追加しました。
  • 修正: WAF 最適化管理者通知で欠落していたスタイルを修正しました。

7.4.9 – July 8, 2020

  • 改善: 不審な管理者のスキャンに既知の悪意のあるユーザー名のリストを追加しました。
  • 改善: WAF が特定のプラグイン / テーマ / コアバージョンをインストールしているかどうかを判断する機能を追加しました。
  • 改善: 診断レポートをエクスポートする機能を追加しました。
  • 改善: 診断でダウンロード可能なログのリストに php_errorlog を追加しました。
  • 改善: ファイルを修復する前にユーザーがバックアップをダウンロードできるようにするプロンプトを追加しました。
  • 改善: ホーム URL が変更され、キーが有効でなくなった場合にスキャンが失敗するのを防ぎます。
  • 改善: PHP 5.3を非推奨にし、古いバージョンで自動更新を実行しないようにすることで PHP 5.2のサポートを終了しました。
  • 修正: wflogs/ が存在しない場合、WAF mysqli ストレージエンジンが資格情報を見つけられない問題を修正しました。
  • 修正: 「… によるユーザー名の検出を防止する」が有効になっている場合に、WP REST API ユーザーエンドポイントを読み取るようにチェックされる機能を変更しました。
  • 修正: wordfenceCentralConnected wfconfig 値の重複クエリを防止しました。
  • 修正: スキャンした場合でも、カスタム wp-content またはその他のディレクトリを「スキップしたパス」スキャン結果に表示しないようにしました。
  • 修正: 長いユーザー名とIPによって折り返しが発生すると、ログイン試行ダッシュボードウィジェットの「もっと見る」リンクが表示されません。
  • 修正: Readme のタイプミスを修正しました。

7.4.8 – June 16, 2020

  • 修正: 特定の条件下でアクティベーション中に発生した致命的なエラーの問題を修正しました。

7.4.7 – April 23, 2020

  • Improvement: Updated bundled GeoIP database.
  • 改善: 制限的なレート制限を選択する場合のメッセージングを改善しました。
  • 改善: スキャン結果のメールには、再度見つかった問題の数を含むようになりました。
  • 改善: 解決したスキャンの問題が再発した場合、再度メールを送信するようになりました。
  • 改善: Live Traffic の地理位置情報表示に該当する場合、州 / 県名を追加しました。
  • 改善: 新しいブロックページのデザインにより、ブロックした訪問者にブロックの解決方法をより適切に通知します。
  • 改善: カスタム WP_CONTENT_DIR、WP_PLUGIN_DIR、および UPLOADS パス定数を正しくスキャンするようになりました。
  • 改善: TLS 接続障害の検出をブルートフォースのレポートとチェック、および対応するバックオフ期間に追加しました。
  • 修正: 不正な cron レコードが WAF ルールの自動更新を妨げる可能性がある問題を修正しました。
  • 修正: IP リストの更新中に不正な応答を受信した場合に発生する可能性のある PHP 警告を修正しました。
  • 修正: 新しいユーザーツアーとオンボーディングフローが 2FA ページで正しく機能するようになりました。

7.4.6 – February 12, 2020

  • 改善: SQLi 攻撃に対する WAF の検出能力を強化しました。
  • Improvement: Updated the bundled GeoIP database.
  • 改善: ブロック構成内の一部の国名を、ライブトラフィックに表示する国名と一致するように変更しました。
  • 変更: スキップしたファイルのスキャンチェックをサーバー状態カテゴリに移動しました。
  • 修正: 「ライブトラフィック」ページをスクロール後、更新を自動的に読み込まなくなる問題を修正しました。
  • 修正: 維持されるログインレコードの数を変更して、ライブトラフィックとの整合性を高め、ほぼ同時にトリミングするようにしました。

7.4.5 – January 15, 2020

  • 改善: Infinite WP 認証バイパスの脆弱性に対する WAF の適用範囲を改善しました。

7.4.4 – January 14, 2020

  • 修正: マルウェアのスキャン概要ステータスマーカーが検出結果と必ずしも一致しないという UI の問題を修正しました。

7.4.3 – January 13, 2020

  • 改善: Infinite WP 認証バイパスの脆弱性に対する WAF の適用範囲を追加しました。
  • 改善: 悪意のある URL スキャンにプロトコル相対 URL (例: //example.com) を含むようになりました。
  • 改善: マルウェアシグネチャは、複数のパスで読み取る大きなファイルに適切に適用するようになりました。
  • 改善: スキャン設定が除外されているために1つ以上のパスをスキップした場合に発生するスキャンの問題を追加しました。
  • 変更: AJAX エンドポイントは application/json Content-Type ヘッダーを送信するようになりました。
  • 変更: wordpress.org から削除されたプラグインのスキャン問題に関するテキストを更新し、考えられる理由をよりわかりやすく示しました。
  • 変更: WooCommerce がアクティブな場合の reCAPTCHA の互換性メッセージングを追加しました。
  • 修正: カスタムアクションで404ページを出力するときに欠落していた $wp_query->set_404() 呼び出しを追加しました。
  • 修正: WordPress 5.3 の変更により壊れた Live Traffic のログアウトユーザー名の表示を修正しました。
  • 修正: 拡張保護のインストール中の WAF ステータスチェックに使用する応答コールバックを改善しました。
  • 修正: 管理者が 2FA を設定すると「すべての管理者に2FA が必要」という通知は自動的に無視するようになりました。

7.4.2 – December 3, 2019

  • 改善: IP CIDR 範囲比較のパフォーマンスが向上しました。
  • 改善: フォーク中の検証を改善するために、リモートスキャンにパラメータ署名を追加しました。
  • 変更: Live Traffic の重複したブラウザーラベルを削除しました。
  • 修正: get_magic_quotes_gpc による PHP 7.4 非推奨通知に対する補償を追加しました。
  • 修正: 更新が見つからない場合のダッシュボードウィジェットの潜在的な通知を修正しました。
  • 修正: 発生する可能性のある変数名の衝突を補うために、JS ハッシュライブラリを更新しました。
  • 修正: 特定のシンボリックリンクにより、スキャンでファイルを誤ってスキップする可能性がある問題を修正しました。
  • 修正: 最適化により希望どおりにメモリを割り当てることができなかった新しい PHP バージョンの PHP メモリテストを修正しました。

7.4.1 – November 6, 2019

  • Improvement: Updated the bundled GeoIP database.
  • 改善: PHP 7.4 との互換性を確保するためのマイナーな変更。
  • 改善: 信頼性を高めるために WHOIS ルックアップを更新しました。
  • 改善: WAF MySQL ストレージ エンジンがアクティブな場合の、より適切な診断データを追加しました。
  • 改善: プレミアムライセンスと無料ライセンスを切り替えるときのメッセージを改善しました。
  • 変更: 非推奨の DNS 変更スキャン。
  • 変更: Central がアラートを管理している場合、プラグインはアラートをメールで送信しなくなりました。
  • 修正: 無効になっているホスト上でエラーを抑制するために、ignore_user_abort 呼び出しにエラー抑制を追加しました。
  • 修正: URL 内の余分なスラッシュの出力をより適切に回避するためにパス生成を改善しました。
  • 修正: コンテンツサイズが大きいことによる失敗を回避するために、マルウェアレポートに長さ制限を適用しました。

7.4.0 – August 22, 2019

  • 改善: WAF に MySQL ベースの構成とデータ ストレージを追加し、サポートするホスティング環境の数を拡張しました。 詳細については、https://www.wordfence.com/help/firewall/mysqli-storage-engine/ を参照してください。
  • Improvement: Updated bundled GeoIP database.
  • 修正: CLI 経由で実行する場合のいくつかのコンソール通知を修正しました。

7.3.6 – July 31, 2019

  • 改善: 複数の「コアディレクトリ内の php.ini ファイル」の問題が1つの問題に統合され、スキャン結果がより明確になりました。
  • 改善: 誤検知 WAF ブロックの AJAX エラー検出は、ホワイトリストプロンプトを表示するための応答をより適切に検出して処理するようになりました。
  • 改善: 問題の特定に役立つように、期限切れの cron の検出と診断にハイライト表示を追加しました。
  • 改善: WP Tide との将来の互換性のために、下位互換性コードが phpcs での警告の作成から除外するために必要なディレクティブを追加しました。
  • 改善: コードの品質を向上させるために、すべての PHP require/include 呼び出しが完全パスを使用するように正規化されました。
  • 変更: 現在の署名の方が正確であるため、非推奨の高感度スキャンオプションを削除しました。
  • 修正: ステータスサークルのツールチップを表示しない問題を修正しました。
  • 修正: 自動設定を使用する場合、WAF レベルでの IP 検出はメインプラグインをより正確に反映します。
  • 修正: 厳密なチェックのためにメールアドレス検証で現在使用していないコードパスを修正しました。

7.3.5 – July 16, 2019

  • 改善: ブルートフォース保護のためのログインエンドポイントのタグ付けを改善しました。
  • 改善: reCAPTCHA に関する追加情報を設定コントロールに追加しました。
  • 改善: ログイン確認メールリンクの有効期限をカスタマイズするためにオーバーライドできる定数を追加しました。
  • 改善: v2 キーの誤入力を防ぐために、reCAPTCHA キーを保存時にテストするようになりました。
  • 改善: reCAPTCHA 人間 / ボットのしきい値を制御する設定を追加しました。
  • 改善: 非アクティブ化時にログインセキュリティテーブルとデータの削除をトリガーする別のオプションを追加しました。
  • 改善: トークンの期限切れを回避するために、ログイン / 登録フォームの送信時にトークンチェックをトリガーするように reCAPTCHA 実装を再加工しました。
  • 修正: 完全なキーを表示できるように、reCAPTCHA キー フィールドの幅を広げました。
  • 修正: マルウェアの検出を報告する際の省略記号文字のエンコードを修正しました。
  • 修正: IP ブロックリストを再度無効にすると、ブロックキャッシュを正しくクリアします。
  • 修正: アウトバウンド UDP 接続をブロックし、NTP チェックでエラーを記録する可能性がある問題に対処しました。
  • 修正: 以前はログインをブロックしていた、reCAPTCHA の JavaScript のロード失敗に対する処理を追加しました。
  • 修正: 2FA 猶予期間通知を送信するボタンの機能を修正しました。
  • 修正: スタンドアロンモードで実行しているときに一部のヘルプリンクに表示しないアイコンを修正しました。

7.3.4 – June 17, 2019

  • 改善: Wordfence Central に組み込まれたセキュリティイベントと警告機能を追加しました。

7.3.3 – June 11, 2019

  • 改善: ログインセキュリティ設定を管理するためのサポートを Wordfence Central に追加しました。
  • 改善: バンドルしたルート CA 証明書ストアを更新しました。
  • 改善: WAF の拡張保護モード用に PHP5 ディレクティブのみをが設定した mod_php ホストのチェックと更新フローを追加しました。
  • 改善: 時間関連の問題をデバッグするための追加値を診断に追加し、新しい致命的エラーハンドラー設定を追加し、WordPress の新しい 5.6.20 要件を反映するように PHP バージョンチェックを更新しました。
  • 変更: WordPress コアの後に常にロードされるように、sodium_compat のコピーのオートローダーを変更しました。
  • 修正: API の変更により壊れていたプラグインの「wordpress.org から削除」検出を修正しました。
  • 修正: コアファイルを含む場合のスキャン結果の一括修復機能を修正しました。

7.3.2 – May 16, 2019

  • 改善: 保留中の WordPress 5.2.1アップデートで発生する可能性のある非互換性に対処するために、sodium_compat を更新しました。
  • 改善: v3 キーを使用する必要があることを示す、reCAPTCHA 設定の周囲のテキストを明確にしました。
  • 改善: Jetpack の検出と、XML-RPC 認証が無効になっている場合の通知を追加しました。
  • 修正: UDP 接続が無効になっているホストを補うために、NTP 時間チェックのエラーメッセージを抑制しました。

= 7.3.1 – …