【SSS】WordPressセキュリティプラグインは買い切りのBBQ PROが化物

買い切り有料版BBQ

当記事は商売のように広告料を得るリンクを採用。記事の出来が悪ければ容赦なく避け、情報だけ頂くといい。

買い切りの「BBQ PRO BLOCK BAD QUERIES(ブロックバットクエリ)」は、セキュリティにお金をかけた事実と引き換えに、ファイアウォールによる保護を受けられる。

知識がいらないうえ競合しないお手軽セキュリティ補完を、実際に使用中の当サイトが魅力と組み合わせを考え、購入方法まで紹介。

Wordfenceと組み合わせる人も多い模様。

ただし、支払いがPayPal(ペイパル)経由(PayPalにクレジットカードや口座登録)のみとなっており、直接のカード及びBitcoinは英語でのお問い合わせ必須。普通に安全な大手決済サービスPayPalにおまかせしよう。

要するに購入方法が少々難解なので、PayPalアカウント作成などもわかりやすくアシストする。

スポンサーリンク

BBQ PROとは

特徴や防御範囲は無料版BBQとほぼ同じであるため、そちらを参考にしよう。目的は防御の可視化と無料版にはない高度なファイアウォール

確認しなくても超強力だ。

参考BBQ:Block Bad Queriesとは

無料版BBQと比較

比較していくが、開発者がわかりやすく述べていたので引用。

In a nutshell: better security and more control.

引用:BBQ Pro | Plugin Planet

一言で言えば、セキュリティの向上と制御の強化です。

特徴無料PRO
強力なファイアウォール(無料版BBQと同じ)
設定は不要(しないとほぼ無料版BBQと同じ)
サーバー「Apache(LiteSpeed互換)・Nginx・Windowsなど」対応
.htaccessを使わない
カスタマイズできるファイアウォール×
高度なファイアウォール×
ログインユーザーだけBBQ無効×
長過ぎるURLをブロック(255文字以上)×
リダイレクト先URL指定(301または302コード)×
ブロックした際のメッセージ自作×
ブロックしたリクエスト(このページください宣言)の統計
×
ステータスコード(301・302・403・404・444・503など)指定×
5G/6Gファイアウォールなどから派生した技術×
クリックだけで挙動テスト×
IPホワイトリスト(自動で入る)×

※5G/6Gファイアウォールなどから派生した技術は、無料版BBQ(英語)にも同じような記述があるので、あまり変わらない可能性あり。

などで、注目点は太字、それ以外の難しいものは省いたので詳しくは公式へ。

\詳細はこちら/

デメリット

上記のとおり「高度なファイアウォール」が主な目的となっていて、「設定は不要」と書いてあるが、高度部分は初期設定で有効化されていない。

これは、誤検知によりブロックしてしまう可能性があるためで、BBQ無料版ほどテストがされていないからだ。

※『追記:2019年7月11日』アクセス数減も見られないうえ苦情もなく、正常に弾いている。

だが、高度なファイアウォールを使わなければ、無料版BBQと違うのはカスタマイズくらいしかない。

さらに、ブロック数を確認できてもブロックしたIPなどの特徴は記録されないので、直接ブロックといった作業が手間。

セキュリティと速度を追求しているプラグインのため、わざと記録を避けている。確認する面倒な方法は用意されているが、要望が多いらしく、将来のアップデートで組み込まれる模様。ただ、 6年以上経過しているので気長に待とう。

要管理とはいかないまでも、「攻撃やエラーがあった場合にブロック数を確認」→「それらしき項目を無効化」といった動作が発生する。

セキュリティである以上、最低限の管理は避けきれない……と思っていたが、それは普通のプラグインでも同じなのであった

ぷっぷ
ぷっぷ

あらま

というわけで、普通の管理の仕方でOK。

スポンサーリンク

BBQ PROの魅力

  • BBQより高度なファイアウォールを有効化してすぐ使える
  • 5G/6Gファイアウォールなどから派生した技術(15年以上の経験)

使ってわかったものは、

  • ブロックしたリクエスト(このページください宣言)の統計(ブロック数を確認できる)
  • クリックだけで挙動テスト
  • 自分でファイアウォールルールを追加

上記非常に使いやすい&魅力で、以下の画像のように誤検知エラーならON・OFFを簡単に切り替えられるし、どういったところに攻撃しているのかは「Test」を押せば自分にできる(激レア機能)。

ブロックしまくりでCount(カウント)が増えても、いい人か判別できるまでは様子見推奨(異常ならさすがにチェックを入れたままでOK)。

異常確認の仕方
何をしているのか、一切わからないシリーズ
追記:2019年4月4日・計測期間49日

2月14日からBasic(基本)ルールとAdvanced(高度)ルールへの攻撃が蓄積されたので、弱小サイトだが参考画像を置いておく。なお、有料セキュリティプラグインと併用してこの数。

ブロックした攻撃数:2019年4月4日版
※アクセス数減や苦情は今のところないので、影響は本当になし。
また追記:2019年7月11日

ブロック数が一部加速してきた。Wordfenceレベルのセキュリティプラグインが1週間に20件くらいなのに、BBQだけで尋常じゃないくらいブロック中。

ブロックした攻撃数:2019年7月11日版
無料版仕事しすぎ問題
またまた追記:2019年11月7日

さらに加速した。ドン引き。

ブロックした攻撃数:2019年7月11日版

そして、軽量・高速・柔軟・どのファイアウォールよりも安価

料金プラン

なぜ安いうえに買い切りなのか、それは「企業のサービスではないから」だろう。

柔軟で競合しにくいという、都合の良いポテンシャルもあるため、現在使用している「それぞれの得意分野セキュリティプラグイン」と併用だ。

Wordfence(ワードフェンス)で使われることも想定されている(その組み合わせが多い模様)。

スポンサーリンク

プラン選択・支払い

今からやること
  • ステップ 1
    プラン選択

    自分にあったプランを選ぶ。

  • ステップ2
    アカウント作成

    購入履歴確認でプラグインとライセンスキーを入手。

  • ステップ3
    支払い方法選択

    個人サイトのため決済サービスPayPal(ペイパル:説明後述)必須。直接のカード及びBitcoinは英語での直談判。

  • ステップ4
    BBQ PROダウンロード・ライセンスキー入手

    インストール準備をする。

上記手順で進んでいく。

PayPal支払いがほぼ確定しているので、事前にアカウントを持っていたほうがわかりやすい。偽情報で購入するなら、このまま読み進めればOK。

この業界プラグインが海外製であるのは当たり前なので、普通に以下の記事を参考にし、偽情報ではなくまともなPayPalアカウントの作成をしたほうが、将来を考えると都合がいい。

準備ができている方は、お先に過剰な防御を堪能しよう。

※クーポン見えたらラッキー

上記リンクから進むと、上の方に10%割引クーポンが書かれており、何も知らされていないが使用できる。

なかったら残念だが、記述されていたらとりあえずコピー → 下へ進めていこう。

クーポンがあるなら取得

英語で魅力を伝えてくれるので、Google Chromeの右クリック → 日本語に翻訳などで詳しく見るといい。

そうすると以下のようなプランを選ぶところがあり、自分が使用したいプランの「BUY NOW(今買う)」をクリックしよう。

今後を考えて複数サイト入れるなら、ビジネス以上推奨。とりあえずの1サイトでも良く(安い)、ライセンスキーを毎回切り替えて使えば、テストサイトでの動作確認も可能(責任は持てないができた)。

料金プラン
ちゃんと買い切りか確認したよー

プランがカートに入った状態の支払い画面が出現し、注文の確認だ。

クーポン入力タイミングが今なので、「Click to enter it」をクリックして出現した項目に入力 → APPLY(適用)→ 次のアカウント登録へ。

プランを確認してクーポンを入力
JCB、使えるのに省かれる

アカウント作成

カード登録より先にアカウントを作成していく。

このアカウントは、プラグインのダウンロードとライセンスキー取得などで使用。

個人情報入力

まだカード情報を登録していないが、次のアカウントを作成に情報を入力。

パスワードは24桁までしか入らないので注意(作成後、増量可能)。

アカウント作成

そうするとPayPal(ペイパル)支払いのシステムへ飛ばされる。

これは、個人サイトがカード情報の管理をしなくても商売できる際に使われる手法なので、安心しよう。

カード情報入力・PayPal(ペイパル)アカウント作成

PayPalアカウントをすでに所持している方は、次のPayPalにログインまで読み飛ばそう。

個人サイトでも安全に取引できるPayPal経由のため、PayPalアカウントをこのタイミングで作成するが(支払いのみはできなかった)、ここでは買い手保護制度を諦めた匿名購入を紹介していく。

ぷっぷ
ぷっぷ

住所登録を回避するよ! 面倒なら本物でもOK

PayPalアカウント登録も含まれているため、住所登録をすることになるのだが、データのやり取りに住所など不要。ここではわざと偽住所を登録していく。実際、PayPal側には何の問題もない模様。

参考PayPalで名前や住所を伝えずに匿名で支払う方法と注意点。 – MORIAWASE(モリアワセ)

当サイトはあらゆる責任を取らない、非常に都合の良い免責事項をたずさえているため、「実は問題ありました!」でも平謝りしかしない。

「本物はカード情報だけ」でも支払いでき、買い手保護制度を代償に匿名購入できる。

もちろんPayPalを今後利用するのであればちゃんと入力(ここで作ると挙動が謎なので以下の記事参考)、買い手保護を受けたいのなら全部本物を入れよう。

カードはバーチャルプリペイドカードでの支払いも可能なはずだが、チャージ式の場合為替手数料で変動するため、余裕のある金額をチャージすること。

カード情報入力

カードの名前入力タイミングで「この買い物の通貨」が出現し、PayPalの通貨換算手数料が4%? かかって割高になる。

オススメはUSD(米ドル)払いなのだが、微々たる差なのでJPYのままでもOK。

ぷっぷ
ぷっぷ

うまい棒8本分がぁぁぁ

次に請求先住所、オススメは画像のように皇居となっているが、本物でも困らないならそれでOK。

請求先住所入力

最後にメールアドレスを記入(BBQと同じメアドが入っているはず)、BBQとは別のパスワードを入力して生年月日、国籍はさすがに日本でOK。

PayPalアカウントを作成

これで「支払いを済ませた画面」に移動しているはずだが、違っても日本語表示なので、案内に従って進めよう。

支払い完了
購入の確認

PayPalにログイン

PayPalアカウントをお持ちなら、簡単に取引できる。

なお、住所は伝わってしまうが回避方法は面倒なので紹介せず(おそらく書き換え必須?)、新たに作成するなら上記カード情報入力・PayPal(ペイパル)アカウント作成参照。

ぷっぷ
ぷっぷ

私は普通に本物住所で購入したよ! だって、それが本物か調べようがないもん

PayPalアカウントを複数作成することはできるが、他のPayPalアカウントで使用している「メールアドレス」・「カード情報」・「口座情報」は使用できない。要するに、「完全にわけて管理する場合」のみアカウントを複数持つことが許されている。

PayPalにログインしよう。

ログインへ進む
アカウント情報入力

次に支払い方法(ここではクレジットカード)を選択。

クレジットカードで支払う

今度は請求される金額を提示されるが、PayPalの通貨換算手数料が4%? かかって割高になる。

「通貨換算オプションを表示する」でUSD(米ドル)払いにするとクレカ会社レートに変更できるが、微々たる差なのでJPYのままでもOK。

通貨換算オプションを表示する
通貨換算オプションでUSDに変更するか選択

支払うボタンをクリックすると、完了画面が出現して元のサイトに戻される。

支払い完了
購入の確認

PURCHASE CONFIRMATION(購入の確認)とダウンロード

以下の表示を下へ進め、購入情報を確認 → 必要な手順をしよう。

購入の確認

「BBQ Proと書かれているダウンロードリンクをクリック」してダウンロード(解凍しない)、ライセンスキーは「プラグインインストール後に入力する」のでコピーだ。

ダウンロードとライセンスキーをコピー

アカウント情報・ライセンス・ダウンロードは送られてきたメールからも確認できるので、届いていなかったら迷惑メールフォルダを必ず確認して、大切に保管しておこう。

メール内容

メール内にアカウントログインリンクもあるので、ログインすれば上記と同じものを確認できる。

メールからのzipファイル直接ダウンロードは、ライセンス登録後しばらくしてクリックしたらリンク切れになっていた。基本は以下のようにログインして、直接ダウンロードしにいこう!

メール内のログインURL
スポンサーリンク

インストール

無料版BBQは不要。おかしくなる可能性があるので、先に無効化 → アンインストールしてこよう。

WordPress専用機能の「zipファイルをインストールする方法」を紹介。

①プラグインにカーソルを合わせて「新規追加」 → ②「プラグインのアップロード」→ ③「ファイルを選択」でzipのまま選択 → ④「今すぐインストール」→ ⑤「プラグインを有効化」。

プラグインアップロード

なぜか無理だった場合は、FTPの「public_html/自サイト/wp-content/plugins」の中にzipファイルの解凍したものを入れる。

ライセンスキー入力

追加されたBBQ Proの文字にカーソルを合わせ、①「License」をクリック → ②「貼り付け」→ 「変更を保存(有効化はまだされない)」。

ライセンスキーのコピーを取り忘れたのなら、メールを確認してこよう。

BBQ ProのLicenseへ進む
貼り付けて変更を保存
まだ有効化されないよ

赤文字で「まだ有効になっていないから、『Activate License(ライセンス認証)』を押してね」と言われるので押すと、これで有効化される。

実は有効化されていないのでActivate Licenseを押す
緑文字になればOK

初期設定

初期設定のままは「無料版BBQの機能を個別にON・OFF」程度しか恩恵を受けられないので、「Advanced Rules(高度なルール)」を適用させていく。

前述のとおり、強力なAdvanced Rulesを有効化させると同時にある程度の管理が必要。その他の小さい設定(カスタムページなど)も魅力の一つだが、当サイトはとりあえず有効化させ、完全放置で使用中。

ファイアウォールの詳しい設定などは実践中のため割愛し、念のため高度なルールを有効化する前にバックアップを取ってもいいが、面倒なので私は無視した。

高度なルールと文章を設定

5年経過しているが、何も起きないため合格だろう。

Advancedが保存できない403エラー

修正されるかわからないが、報告済み。

原因はサーバーのWAF(ウェブアプリケーションファイアウォール)、当サイトの場合はMod Securityを一時的に無効化することで回避できたが、他のサーバーのWAFも同様のことを起こすかもしれないので、軽く流し読みしておこう。

本来は放置のままでいいので、このエラーに出くわすこともない。

高度なルールを触った結果、何も変更していない状態で「Save Changes(変更保存)」をしても、403で弾かれた。

当サイトはレンタルサーバーmixhostのLiteSpeed環境で、自動有効になっているMod Security(サーバー側のファイアウォール)が誤検知をして弾いていた模様。

Mod SecurityはApacheでも使えるようなので、お使いのレンタルサーバーが使用しているのなら、設定変更は一時的にMod Securityを無効化させ、403ページのキャッシュを削除して再度有効化させよう。

念を押すが、Mod Securityを再度有効。

要するに、設定を触るタイミングだけ一時的に無効化させ、すぐ戻せばOK。

スポンサーリンク

究極の組み合わせリスト

注意

すべての組み合わせを非現実的のため最初から管理せず、「併用できるか」を保証できない。

といいつつ、「併用できないわけがない」と思っているので、騙されたと思って適当に使うといいだろう。

以下を参考にし、わかりやすくいえば総合セキュリティプラグインごっこを目指していく。

スキャン・ログイン防御系・ファイアウォールを揃えるだけ。

総合セキュリティ併用構成


  • WordfenceやAIOWPS
  • 2段階認証
  • BBQ PRO

軽量で固めた得意分野併用構成


  • Sucuri(スキャン+α)
  • 2段階認証
  • BBQ PRO

有料総合セキュリティ併用構成(当サイトはこれ)


  • 有料の全部入れ
    • ほぼ2段階認証付属
  • BBQ PRO

上記はBBQ PROを効率よく組み合わせた簡易リストなので、詳しくは以下を参考にするといい。

コメント

  1. piyo より:

    この記事を投稿されてから一年が経ちましたが、BBQ Proの使い心地は変わらずでしょうか?
    「軽量・強力なFW・競合しにくい・他のプラグインより勝ってる」など、依然としての優秀なプラグインの立ち位置でしょうかね・・・?

    • ぷっぷ より:

      全部公式の謳い文句だったかは覚えていませんが、

      • 軽量
      • 強力な(最高の)FW
      • 競合しにくい

      はそうです。
      参考BBQ Firewall – WordPress plugin | WordPress.org
      「他のプラグインより勝ってる」は私の当時の主観だったかもしれません。
      今でもそう思っていますけどね( Ꙭ)
      ※軽い、何もする必要がない、SQLインジェクション・XSS対策と明記、何ていうか無駄もなければバグりもしない等を総合的に判断して。

      ですが、更新したのは去年の最初の方なので、もしかしたら新しいもっといいものは出現しているかもしれませんし、もともと出現していたかもしれません。
      それでもかなりスマートで無駄のないプラグインなので、無料のやつでも依然としての優秀なプラグインの立ち位置ですね∩(・∀・∩