このブログでは、セキュリティのために人気の WordPress セキュリティプラグインのXNUMXつであるiTheme■Securityを使用してきました。 Wordfence SecurityまたはiTheme■Securityなどのセキュリティプラグインは強力で包括的なセキュリティ機能を提供しますが、サイトのパフォーマンスに悪影響を及ぼす可能性があります。
これらの 総合的なセキュリティ機能を提供するプラグインは、サイトの速度を遅くすることが知られており、特にセキュリティプラグインは、あまりにも多くのものに変更するため、システムが不安定になり、システムと競合する場合が多いです。 Happist様のブログでは、これらのプラグインを使用する代わりに、サーバ側のファイアウォールを強化することを提案しています。
悪意のあるURLリクエストからサイトを保護する軽量セキュリティプラグイン - BBQ:Block Bad Queries
このブログで最近Themes Securityを無効にして代わりに BBQ(Block Bad Queries)という WordPress ファイアウォールプラグインをインストールしました。 BBQのプラグインは、無料版と有料版があり、無料版では、インストールした後に設定する項目がないため、そのまま使用するとされます。
機能 | Free | Pro |
強力なファイアウォールのセキュリティ | ✓ | ✓ |
プラグアンドプレイ機能 | ✓ | ✓ |
構成不要 | ✓ | ✓ |
SSL / HTTPSで動作 | ✓ | ✓ |
すべてのWPサポートサーバ(例えば、Apache、Nginx、Windows)で動作 | ✓ | ✓ |
.htaccess不要! | ✓ | ✓ |
Blackhole Proで動作 | ✓ | ✓ |
完全にカスタマイズ可能なファイアウォール | ✓ | |
高度なファイアウォールのセキュリティ | ✓ | |
ブロックされた要求を電子メールで知らせるEmail Alerts | ✓ | |
ルールを迅速に有効/無効 | ✓ | |
ログインユーザーのBBQ無効 | ✓ | |
過度に長いリクエスト(excessively long requests)ブロック | ✓ | |
xml-rpc exploits保護 | ✓ | |
IPアドレスまたはIPアドレス範囲をブロック | ✓ | |
ユーザーIDフィッシング保護 | ✓ | |
ブロックされたすべての要求をリダイレクトする | ✓ | |
カスタムメッセージを表示 | ✓ | |
独自のステータスコード(status code)を設定 | ✓ | |
完璧なインラインドキュメント | ✓ | |
ブロックされた要求の統計 | ✓ | |
オプションとパターンの初期化ツール | ✓ | |
Powered by 5G / 6G Blacklist | ✓ | |
ルールの追加/修正/削除/無効化 | ✓ | |
ワンクリックのパターンのテスト | ✓ | |
IPブロックを解除リスト | ✓ | |
広告なし | ✓ |
無料版をインストールして有効にするとBBQファイアウォールプラグインが動作し、悪意のあるURL要求をブロックします。 プラグインを有効にした後、 WordPress 管理者ページ>設定> BBQ Firewallをクリックすると、BBQプラグインの設定ページが表示されます。
無料版では、プラグインの簡単な情報と一緒にBBQ Proバージョンへのアップグレードリンクとバナーが表示されます。 有料版では、さまざまなオプションが提供され、ファイアウォールのルールを詳細に追加/編集/削除することができます。
Proバージョンを使用している場合は、ブロックされたリクエストについてEメールで通知を受け取ることができます(「Email Alerts」オプションを有効にする)。
電子メール通知を介してブロックされた要求を見てみると、この脆弱性があるプラグインの特定のファイルにアクセスしようとする場合を頻繁にチェックがされているようです。 お知らせメールの例:
Email alert provided by BBQ Pro, sent from WordPress Site.
A bad request was blocked on 2020-01-06 @ 23:00:22.
Request Details:
Blocked Count: 1
Pattern Match: ../
Request URI: /wp-content/plugins/wp-support-plus-responsive-ticket-system/includes/admin/downloadAttachment.php
The Request: /wp-content/plugins/wp-support-plus-responsive-ticket-system/includes/admin/downloadAttachment.php?path=../../../../../wp-config.php
Query String: path=../../../../../wp-config.php
Referrer:
Protocol: HTTP/1.1
IP Address: 51.79.XXX.XXX
User Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0
上記の例では、WP Support Plus Responsive Ticket Systemという WordPress サポートチケットのプラグインの特定のファイルにアクセスしようとしています。 このプラグインは、過去のバージョンでセキュリティの脆弱性が発見されたことがあり、そのような脆弱性を狙う悪質なURL要求です。
したがって WordPress、テーマやプラグインを常に最新のバージョンにアップデートすることが重要であり、情報源を知ることができないところからダウンロードしたテーマやプラグインはインストールしない方が安全です。 そして長い間アップデートがないされている放置されたプラグインは、除去することが望ましい。 他にも、パスワードを難解に設定するなど、一般的なセキュリティ慣行にも準拠してください。
最後に、
Wordfenceや iThemes Security などのセキュリティプラグインは、強力で包括的なセキュリティ機能を提供していますが、これらのプラグインのためのサイトの速度が遅くなったり、サイトが不安定になる場合、または他のプラグインと競合する場合、この記事で紹介するBBQ(Block Bad Queries)プラグインをインストールしてサイトの速度への影響を調べることができるようになります。
Block Bad Queries(BBQ)はシンプルでありながら非常に軽いプラグインでサイトを悪意のあるURL要求から保護します。 BBQは、すべての流入トラフィックをチェックしてeval(、base64_、過度に長いリクエスト文字列のようなセキュリティの脅威になることが含まれている不良クエリ(要求)を静かにバックグラウンドでブロックします。特に、強力な.htaccessファイアウォールを使用することができないサイトにシンプルながらも堅牢なソリューションになることがあります。
このプラグインをインストールして使用する場合、次の記事を参照して、追加のセキュリティ対策を行うことができる場合は、アクションをすると、セキュリティの強化に役立つでしょう。
そして何よりも、定期的にバックアップを受けて、PCやクラウドストレージに保存することが最善の方策です。 Webホスティングのバックアップ方法を提供していない場合 WordPress プラグインを使用してバックアップして、コンピュータにダウンロードすることができます。 (プラグインを使用している場合は、Webサーバーに十分なスペースが必要です。)
WordPress ショッピングモールへの書き込み適切なセキュリティプラグインを一つお勧めしてくださるのでしょうか?
wordfenceを書いていた体感するほど重く変えたらします。
紹介してくださったBBQが完全にwordfenceを置き換えることができますか?
こんにちは、寒気様。
wordfenceに似たプラグインでiTheme■セキュリティがあります。
このブログでiTheme■ Security をしばらく使用しました。
速度面では、Wordfenceより良いようです。
次の記事を参照してみてください:
https://www.thewordcracker.com/basic/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-%EB%B3%B4%EC%95%88-%ED%94%8C%EB%9F%AC%EA%B7%B8%EC%9D%B8-ithemes-security/
iThemesでも目立つ速度が遅くなる場合は、BBQを考えることができます。 BBQはファイアウォール機能のみを持ち、他のセキュリティ機能は提供しません。
何よりも1)ワープ、テーマ、プラグインを最新バージョンに維持し、2)定期的にバックアップを行うことが重要です。 また、強力なパスワードを使用するなどの一般的なセキュリティ慣行にも準拠してください。
ありがとう!
よく見ていきます。
ワードさんの言葉が合うようです
あまりにも多くのことを含めて速度に影響がある要因の一つであることは明らかだと思い.. ^^
良いプラグイン紹介ありがとうございます。
Wordfence SecurityまたはiThemes Securityのようなプラグインが強力で包括的なセキュリティ機能を提供するため、良いプラグインですが、一方ではサイトの速度に影響を及ぼすしかないようです。 私はWordfence SecurityよりiThemes Securityがより軽いようで、長い間使用し、最近この記事で紹介されたプラグインに変えました。
良い文章ありがとうございます。 私もサーバ側でいくつかのセキュリティ強化をするべきなのに、時間賭けが、最近はスィプジルですね。 ウィンドウ10のアップグレード期間が経過すると、日取ってテストおよびセキュリティの強化をしてくれることようです。
軽いプラグイン紹介ありがとうございます。
はい。 サーバーを直接操作する場合には、サーバ側でのセキュリティ強化をしてくれるのが、パフォーマンスが最も良いようです。
私はセキュリティプラグインをあえて敷く必要はないようですが…それでもセキュリティプラグインをインストールすると心の慰め(?)になるようです。