Wordfence Securityを交換する光 WordPress ファイアウォールプラグインBBQ

  • Naver ブログを共有する
  • Naver バンドに共有する
  • Facebook 共有する
  • Twitter 共有する
  • 카카오스토리공유하기

このブログでは、セキュリティのために人気のワードプレスのセキュリティプラグインのいずれかであるiThemes Securityを使用してきました。 Wordfence SecurityやiThemes Securityなどのセキュリティプラグインは、強力で包括的なセキュリティ機能を提供していますが、サイトのパフォーマンスにも影響を与える可能性があります。

これらの 総合的なセキュリティ機能を提供するプラグインは、サイトの速度を遅くすることが知られており、特にセキュリティプラグインは、あまりにも多くのものに変更するため、システムが不安定になり、システムと競合する場合が多いです。 Happist様のブログでは、これらのプラグインを使用する代わりに、サーバ側のファイアウォールを強化することを提案しています。

悪質なURL要求からサイトを保護する軽量のセキュリティプラグイン - BBQ:Block Bad Queries

軽いセキュリティプラグイン -  WordPressのファイアウォールのプラグインBBQ:Block Bad Queries

このブログでは、最新iThemes Securityを無効にし、代わりに BBQ(Block Bad Queries)というワードプレスファイアウォールのプラグインをインストールしました。 BBQのプラグインは、無料版と有料版があり、無料版では、インストールした後に設定する項目がないため、そのまま使用するとされます。

機能無料pro
強力なファイアウォールのセキュリティ
プラグアンドプレイ機能
構成不要
SSL / HTTPSで動作
すべてのWPサポートサーバ(例えば、Apache、Nginx、Windows)で動作
.htaccess不要!
Blackhole Proで動作
完全にカスタマイズ可能なファイアウォール
高度なファイアウォールのセキュリティ
ブロックされた要求を電子メールで知らせるEmail Alerts
ルールを迅速に有効/無効
ログインユーザーのBBQ無効
過度に長いリクエスト(excessively long requests)ブロック
xml-rpc exploits保護
IPアドレスまたはIPアドレス範囲をブロック
ユーザーIDフィッシング保護
ブロックされたすべての要求をリダイレクトする
カスタムメッセージを表示
独自のステータスコード(status code)を設定
完璧なインラインドキュメント
ブロックされた要求の統計
オプションとパターンの初期化ツール
Powered by 5G / 6G Blacklist
ルールの追加/修正/削除/無効化
ワンクリックのパターンのテスト
IPブロックを解除リスト
広告なし

無料版をインストールして有効にするとBBQファイアウォールプラグインが動作し、悪意のあるURL要求をブロックします。 プラグインを有効にした後、 ワードプレスの管理ページ>設定> BBQ Firewallをクリックすると、BBQプラグインの設定ページが表示されます。

ワードプレスファイアウォールのプラグインBBQ:Block Bad Queries無料版

無料版では、プラグインの簡単な情報と一緒にBBQ Proバージョンへのアップグレードリンクとバナーが表示されます。 有料版では、さまざまなオプションが提供され、ファイアウォールのルールを詳細に追加/編集/削除することができます。

ワードプレスのセキュリティプラグインBBQ:Block Bad Queries PRO有料版

Proバージョンを使用している場合、ブロックされたリクエストに対して電子メールで通知を受け取ることができます(「Email Alerts」オプションを有効に)。

電子メール通知を介してブロックされた要求を見てみると、この脆弱性があるプラグインの特定のファイルにアクセスしようとする場合を頻繁にチェックがされているようです。 お知らせメールの例:

Email alert provided by BBQ Pro, sent from WordPress Site.

A bad request was blocked on 2020-01-06 @ 23:00:22.

Request Details:

Blocked Count: 1
Pattern Match: ../
Request URI: /wp-content/plugins/wp-support-plus-responsive-ticket-system/includes/admin/downloadAttachment.php
The Request: /wp-content/plugins/wp-support-plus-responsive-ticket-system/includes/admin/downloadAttachment.php?path=../../../../../wp-config.php
Query String: path=../../../../../wp-config.php
Referrer: 
Protocol: HTTP/1.1
IP Address: 51.79.XXX.XXX
User Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0

上記の例では、WP Support Plus Responsive Ticket Systemという ワードプレスサポートチケットのプラグインの特定のファイルにアクセスしようとしています。 このプラグインは、過去のバージョンでセキュリティの脆弱性が発見されたことがあり、そのような脆弱性を狙う悪質なURL要求です。

したがって、ワードプレス、テーマやプラグインを常に最新のバージョンにアップデートすることが重要であり、情報源を知ることができないところからダウンロードしたテーマやプラグインはインストールしない方が安全です。 そして長い間アップデートがないされている放置されたプラグインは、除去することが望ましい。 他にも、パスワードを難解に設定するなど、一般的なセキュリティ慣行にも準拠してください。

おわりに

Wordfenceや iThemesセキュリティ などのセキュリティプラグインは、強力で包括的なセキュリティ機能を提供していますが、これらのプラグインのためのサイトの速度が遅くなったり、サイトが不安定になる場合、または他のプラグインと競合する場合、この記事で紹介するBBQ(Block Bad Queries)プラグインをインストールしてサイトの速度への影響を調べることができるようになります。

Block Bad Queries(BBQ)はシンプルでありながら非常に軽いプラグインでサイトを悪意のあるURL要求から保護します。 BBQは、すべての流入トラフィックをチェックしてeval(、base64_、過度に長いリクエスト文字列のようなセキュリティの脅威になることが含まれている不良クエリ(要求)を静かにバックグラウンドでブロックします。特に、強力な.htaccessファイアウォールを使用することができないサイトにシンプルながらも堅牢なソリューションになることがあります。

このプラグインをインストールして使用する場合、次の記事を参照して、追加のセキュリティ対策を行うことができる場合は、アクションをすると、セキュリティの強化に役立つでしょう。

そして何よりも、定期的にバックアップを受けて、PCやクラウドストレージに保存することが最善の方策です。 Webホスティングのバックアップ方法を提供していない場合、WordPressのプラグインを使用してバックアップして、コンピュータにダウンロードすることができます。 (プラグインを使用している場合は、Webサーバーに十分なスペースが必要です。)

注:



7のコメント

  1. WordPress ショッピングモールへの書き込み適切なセキュリティプラグインを一つお勧めしてくださるのでしょうか?
    wordfenceを書いていた体感するほど重く変えたらします。
    紹介してくださったBBQが完全にwordfenceを置き換えることができますか?

    応答
    • こんにちは、寒気様。

      wordfenceと同様のプラグインとしてiThemes Securityがあります。
      このブログにiThemes Securityをしばらく使用しています。
      速度面では、Wordfenceより良いようです。

      次の記事を参照してみてください:
      https://www.thewordcracker.com/basic/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-%EB%B3%B4%EC%95%88-%ED%94%8C%EB%9F%AC%EA%B7%B8%EC%9D%B8-ithemes-security/

      iThemesも著しく速度が遅くなった場合、BBQを考慮してみることができます。 BBQは、ファイアウォール機能だけあって、他のセキュリティ機能はありません。

      何よりも1)ワープ、テーマ、プラグインを最新バージョンに維持し、2)定期的にバックアップを行うことが重要です。 また、強力なパスワードを使用するなどの一般的なセキュリティ慣行にも準拠してください。

      応答
  2. よく見ていきます。
    ワードさんの言葉が合うようです
    あまりにも多くのことを含めて速度に影響がある要因の一つであることは明らかだと思い.. ^^
    良いプラグイン紹介ありがとうございます。

    応答
    • Wordfence SecurityやiThemes Securityのようなプラグインが強力で包括的なセキュリティ機能を提供するため、良いプラグインですが、一方では、サイトの速度に影響を与えるしかないようです。 私Wordfence SecurityよりiThemes Securityがより軽いようで、長い間使用している途中、最近この記事で紹介されたプラグインに変えました。

      応答
  3. 良い文章ありがとうございます。 私もサーバ側でいくつかのセキュリティ強化をするべきなのに、時間賭けが、最近はスィプジルですね。 ウィンドウ10のアップグレード期間が経過すると、日取ってテストおよびセキュリティの強化をしてくれることようです。
    軽いプラグイン紹介ありがとうございます。

    応答
    • はい。 サーバーを直接操作する場合には、サーバ側でのセキュリティ強化をしてくれるのが、パフォーマンスが最も良いようです。

      私は、セキュリティプラグインをあえて敷く必要はないようだが...それでも、セキュリティプラグインをインストールすると、心の癒し(?)になるようです。笑

      応答