当記事は商売のように広告料を得るリンクを採用。記事の出来が悪ければ容赦なく避け、情報だけ頂くといい。
買い切りの「BBQ PRO BLOCK BAD QUERIES(ブロックバットクエリ)」は、セキュリティにお金をかけた事実と引き換えに、ファイアウォールによる保護を受けられる。
知識がいらないうえ競合しないお手軽セキュリティ補完を、実際に使用中の当サイトが魅力と組み合わせを考え、購入方法まで紹介。
Wordfenceと組み合わせる人も多い模様。
ただし、支払いがPayPal(ペイパル)経由(PayPalにクレジットカードや口座登録)のみとなっており、直接のカード及びBitcoinは英語でのお問い合わせ必須。普通に安全な大手決済サービスPayPalにおまかせしよう。
要するに購入方法が少々難解なので、PayPalアカウント作成などもわかりやすくアシストする。
BBQ PROとは
特徴や防御範囲は無料版BBQとほぼ同じであるため、そちらを参考にしよう。目的は防御の可視化と無料版にはない高度なファイアウォール。
確認しなくても超強力だ。
無料版BBQと比較
比較していくが、開発者がわかりやすく述べていたので引用。
In a nutshell: better security and more control.
引用:BBQ Pro | Plugin Planet
一言で言えば、セキュリティの向上と制御の強化です。
特徴 | 無料 | PRO |
強力なファイアウォール(無料版BBQと同じ) | ○ | ○ |
設定は不要(しないとほぼ無料版BBQと同じ) | ○ | ○ |
サーバー「Apache(LiteSpeed互換)・Nginx・Windowsなど」対応 | ○ | ○ |
.htaccessを使わない | ○ | ○ |
カスタマイズできるファイアウォール | × | ○ |
高度なファイアウォール | × | ○ |
ログインユーザーだけBBQ無効 | × | ○ |
長過ぎるURLをブロック(255文字以上) | × | ○ |
リダイレクト先URL指定(301または302コード) | × | ○ |
ブロックした際のメッセージ自作 | × | ○ |
ブロックしたリクエスト(このページください宣言)の統計 | × | ○ |
ステータスコード(301・302・403・404・444・503など)指定 | × | ○ |
5G/6Gファイアウォールなどから派生した技術※ | × | ○ |
クリックだけで挙動テスト | × | ○ |
IPホワイトリスト(自動で入る) | × | ○ |
※5G/6Gファイアウォールなどから派生した技術は、無料版BBQ(英語)にも同じような記述があるので、あまり変わらない可能性あり。
などで、注目点は太字、それ以外の難しいものは省いたので詳しくは公式へ。
デメリット
上記のとおり「高度なファイアウォール」が主な目的となっていて、「設定は不要」と書いてあるが、高度部分は初期設定で有効化されていない。
これは、誤検知によりブロックしてしまう可能性があるためで、BBQ無料版ほどテストがされていないからだ。
※『追記:2019年7月11日』アクセス数減も見られないうえ苦情もなく、正常に弾いている。
さらに、ブロック数を確認できてもブロックしたIPなどの特徴は記録されないので、直接ブロックといった作業が手間。
セキュリティと速度を追求しているプラグインのため、わざと記録を避けている。確認する面倒な方法は用意されているが、要望が多いらしく、将来のアップデートで組み込まれる模様。ただ、 6年以上経過しているので気長に待とう。
要管理とはいかないまでも、「攻撃やエラーがあった場合にブロック数を確認」→「それらしき項目を無効化」といった動作が発生する。
あらま
というわけで、普通の管理の仕方でOK。
BBQ PROの魅力
- BBQより高度なファイアウォールを有効化してすぐ使える
- 5G/6Gファイアウォールなどから派生した技術(15年以上の経験)
使ってわかったものは、
- ブロックしたリクエスト(このページください宣言)の統計(ブロック数を確認できる)
- クリックだけで挙動テスト
- 自分でファイアウォールルールを追加
ブロックしまくりでCount(カウント)が増えても、いい人か判別できるまでは様子見推奨(異常ならさすがにチェックを入れたままでOK)。
2月14日からBasic(基本)ルールとAdvanced(高度)ルールへの攻撃が蓄積されたので、弱小サイトだが参考画像を置いておく。なお、有料セキュリティプラグインと併用してこの数。
ブロック数が一部加速してきた。Wordfenceレベルのセキュリティプラグインが1週間に20件くらいなのに、BBQだけで尋常じゃないくらいブロック中。
さらに加速した。ドン引き。
そして、軽量・高速・柔軟・どのファイアウォールよりも安価。
なぜ安いうえに買い切りなのか、それは「企業のサービスではないから」だろう。
柔軟で競合しにくいという、都合の良いポテンシャルもあるため、現在使用している「それぞれの得意分野セキュリティプラグイン」と併用だ。
Wordfence(ワードフェンス)で使われることも想定されている(その組み合わせが多い模様)。
プラン選択・支払い
- ステップ 1プラン選択
自分にあったプランを選ぶ。
- ステップ2アカウント作成
購入履歴確認でプラグインとライセンスキーを入手。
- ステップ3支払い方法選択
個人サイトのため決済サービスPayPal(ペイパル:説明後述)必須。直接のカード及びBitcoinは英語での直談判。
- ステップ4BBQ PROダウンロード・ライセンスキー入手
インストール準備をする。
上記手順で進んでいく。
この業界プラグインが海外製であるのは当たり前なので、普通に以下の記事を参考にし、偽情報ではなくまともなPayPalアカウントの作成をしたほうが、将来を考えると都合がいい。
準備ができている方は、お先に過剰な防御を堪能しよう。
上記リンクから進むと、上の方に10%割引クーポンが書かれており、何も知らされていないが使用できる。
なかったら残念だが、記述されていたらとりあえずコピー → 下へ進めていこう。
英語で魅力を伝えてくれるので、Google Chromeの右クリック → 日本語に翻訳などで詳しく見るといい。
そうすると以下のようなプランを選ぶところがあり、自分が使用したいプランの「BUY NOW(今買う)」をクリックしよう。
プランがカートに入った状態の支払い画面が出現し、注文の確認だ。
クーポン入力タイミングが今なので、「Click to enter it」をクリックして出現した項目に入力 → APPLY(適用)→ 次のアカウント登録へ。
アカウント作成
カード登録より先にアカウントを作成していく。
このアカウントは、プラグインのダウンロードとライセンスキー取得などで使用。
まだカード情報を登録していないが、次のアカウントを作成に情報を入力。
パスワードは24桁までしか入らないので注意(作成後、増量可能)。
そうするとPayPal(ペイパル)支払いのシステムへ飛ばされる。
カード情報入力・PayPal(ペイパル)アカウント作成
PayPalアカウントをすでに所持している方は、次のPayPalにログインまで読み飛ばそう。
個人サイトでも安全に取引できるPayPal経由のため、PayPalアカウントをこのタイミングで作成するが(支払いのみはできなかった)、ここでは買い手保護制度を諦めた匿名購入を紹介していく。
住所登録を回避するよ! 面倒なら本物でもOK
参考PayPalで名前や住所を伝えずに匿名で支払う方法と注意点。 – MORIAWASE(モリアワセ)
「本物はカード情報だけ」でも支払いでき、買い手保護制度を代償に匿名購入できる。
もちろんPayPalを今後利用するのであればちゃんと入力(ここで作ると挙動が謎なので以下の記事参考)、買い手保護を受けたいのなら全部本物を入れよう。
カードはバーチャルプリペイドカードでの支払いも可能なはずだが、チャージ式の場合為替手数料で変動するため、余裕のある金額をチャージすること。
カードの名前入力タイミングで「この買い物の通貨」が出現し、PayPalの通貨換算手数料が4%? かかって割高になる。
オススメはUSD(米ドル)払いなのだが、微々たる差なのでJPYのままでもOK。
うまい棒8本分がぁぁぁ
次に請求先住所、オススメは画像のように皇居となっているが、本物でも困らないならそれでOK。
最後にメールアドレスを記入(BBQと同じメアドが入っているはず)、BBQとは別のパスワードを入力して生年月日、国籍はさすがに日本でOK。
これで「支払いを済ませた画面」に移動しているはずだが、違っても日本語表示なので、案内に従って進めよう。
次のPURCHASE CONFIRMATION(購入の確認)とダウンロードまで読み飛ばそう。
PayPalにログイン
PayPalアカウントをお持ちなら、簡単に取引できる。
なお、住所は伝わってしまうが回避方法は面倒なので紹介せず(おそらく書き換え必須?)、新たに作成するなら上記カード情報入力・PayPal(ペイパル)アカウント作成参照。
私は普通に本物住所で購入したよ! だって、それが本物か調べようがないもん
PayPalアカウントを複数作成することはできるが、他のPayPalアカウントで使用している「メールアドレス」・「カード情報」・「口座情報」は使用できない。要するに、「完全にわけて管理する場合」のみアカウントを複数持つことが許されている。
PayPalにログインしよう。
次に支払い方法(ここではクレジットカード)を選択。
今度は請求される金額を提示されるが、PayPalの通貨換算手数料が4%? かかって割高になる。
「通貨換算オプションを表示する」でUSD(米ドル)払いにするとクレカ会社レートに変更できるが、微々たる差なのでJPYのままでもOK。
支払うボタンをクリックすると、完了画面が出現して元のサイトに戻される。
PURCHASE CONFIRMATION(購入の確認)とダウンロード
以下の表示を下へ進め、購入情報を確認 → 必要な手順をしよう。
「BBQ Proと書かれているダウンロードリンクをクリック」してダウンロード(解凍しない)、ライセンスキーは「プラグインインストール後に入力する」のでコピーだ。
アカウント情報・ライセンス・ダウンロードは送られてきたメールからも確認できるので、届いていなかったら迷惑メールフォルダを必ず確認して、大切に保管しておこう。
メール内にアカウントログインリンクもあるので、ログインすれば上記と同じものを確認できる。
メールからのzipファイル直接ダウンロードは、ライセンス登録後しばらくしてクリックしたらリンク切れになっていた。基本は以下のようにログインして、直接ダウンロードしにいこう!
インストール
WordPress専用機能の「zipファイルをインストールする方法」を紹介。
①プラグインにカーソルを合わせて「新規追加」 → ②「プラグインのアップロード」→ ③「ファイルを選択」でzipのまま選択 → ④「今すぐインストール」→ ⑤「プラグインを有効化」。
なぜか無理だった場合は、FTPの「public_html/自サイト/wp-content/plugins」の中にzipファイルの解凍したものを入れる。
ライセンスキー入力
追加されたBBQ Proの文字にカーソルを合わせ、①「License」をクリック → ②「貼り付け」→ 「変更を保存(有効化はまだされない)」。
ライセンスキーのコピーを取り忘れたのなら、メールを確認してこよう。
赤文字で「まだ有効になっていないから、『Activate License(ライセンス認証)』を押してね」と言われるので押すと、これで有効化される。
初期設定
初期設定のままは「無料版BBQの機能を個別にON・OFF」程度しか恩恵を受けられないので、「Advanced Rules(高度なルール)」を適用させていく。
ファイアウォールの詳しい設定などは実践中のため割愛し、念のため高度なルールを有効化する前にバックアップを取ってもいいが、面倒なので私は無視した。
5年経過しているが、何も起きないため合格だろう。
Advancedが保存できない403エラー
修正されるかわからないが、報告済み。
原因はサーバーのWAF(ウェブアプリケーションファイアウォール)、当サイトの場合はMod Securityを一時的に無効化することで回避できたが、他のサーバーのWAFも同様のことを起こすかもしれないので、軽く流し読みしておこう。
本来は放置のままでいいので、このエラーに出くわすこともない。
高度なルールを触った結果、何も変更していない状態で「Save Changes(変更保存)」をしても、403で弾かれた。
当サイトはレンタルサーバーmixhostのLiteSpeed環境で、自動有効になっているMod Security(サーバー側のファイアウォール)が誤検知をして弾いていた模様。
Mod SecurityはApacheでも使えるようなので、お使いのレンタルサーバーが使用しているのなら、設定変更は一時的にMod Securityを無効化させ、403ページのキャッシュを削除して再度有効化させよう。
要するに、設定を触るタイミングだけ一時的に無効化させ、すぐ戻せばOK。
究極の組み合わせリスト
すべての組み合わせを非現実的のため最初から管理せず、「併用できるか」を保証できない。
といいつつ、「併用できないわけがない」と思っているので、騙されたと思って適当に使うといいだろう。
以下を参考にし、わかりやすくいえば総合セキュリティプラグインごっこを目指していく。
スキャン・ログイン防御系・ファイアウォールを揃えるだけ。
総合セキュリティ併用構成
- WordfenceやAIOWPS
- 2段階認証
- BBQ PRO
軽量で固めた得意分野併用構成
- Sucuri(スキャン+α)
- 2段階認証
- BBQ PRO
有料総合セキュリティ併用構成(当サイトはこれ)
- 有料の全部入れ
- ほぼ2段階認証付属
- BBQ PRO
上記はBBQ PROを効率よく組み合わせた簡易リストなので、詳しくは以下を参考にするといい。
コメント
この記事を投稿されてから一年が経ちましたが、BBQ Proの使い心地は変わらずでしょうか?
「軽量・強力なFW・競合しにくい・他のプラグインより勝ってる」など、依然としての優秀なプラグインの立ち位置でしょうかね・・・?
全部公式の謳い文句だったかは覚えていませんが、
はそうです。
参考BBQ Firewall – WordPress plugin | WordPress.org
「他のプラグインより勝ってる」は私の当時の主観だったかもしれません。
今でもそう思っていますけどね( Ꙭ)
※軽い、何もする必要がない、SQLインジェクション・XSS対策と明記、何ていうか無駄もなければバグりもしない等を総合的に判断して。
ですが、更新したのは去年の最初の方なので、もしかしたら新しいもっといいものは出現しているかもしれませんし、もともと出現していたかもしれません。
それでもかなりスマートで無駄のないプラグインなので、無料のやつでも依然としての優秀なプラグインの立ち位置ですね∩(・∀・∩