【S】クラウド型ファイアウォールで軽量!MalCareプラグイン

MalCare WordPress

無料版MalCare(マルケア)は、自分のサーバーとは別の独自サーバーでスキャンをし、過負荷をかけずにセキュリティを向上させる、クラウド型ファイアウォールプラグインだ。

ファイアウォールの多くは総合セキュリティプラグインに付属されているため、他のセキュリティプラグインと併用する際に都合が悪く、競合・干渉してエラーになりがち。

だが、このプラグインは併用して使え、貴重なスキャン機能付きだ

SiteGuard WP Plugin(サイトガード)やXO Securityのログイン強化系しかやっていなかったり、Wordfence(ワードフェンス)の誤検知やエラーに悩まされていたら、一緒に使ってみよう。

All In One WP Security & Firewallを使用しているなら、マルウェア(ウイルス)スキャンが付いていないため、非常に相性が良い。

管理画面は英語だが、「設定項目が存在せず」インストールとメアド登録だけで完了し、あっけなく終わる。

スポンサーリンク

MalCareとは

有料バックアッププラグインBlogVaultと同じところが開発しているセキュリティプラグインで(日本では無名)、他のセキュリティプラグインと併用されることを想定している

Webホスティング(レンタルサーバー:mixhostやColorfulBox)付属のファイアウォール(imunify360など)と併用できることもウリにしているぞ。

ぷっぷ
ぷっぷ

バックアップコピーの技術を活かして、クラウドにデータコピー → スキャンしているから軽い・競合しないっぽいよ!

参考Malware Protect – Secure Your Website From Hackers With MalCare(英語)

有料版はファイアウォール以外も付属している「総合セキュリティプラグイン」なのだが、今回紹介するのは無料版のファイアウォールで、以下のようなことをしている。

  • 不正アクセスを防止・自動ロック
  • コメントスパムブロック
  • 総当たり攻撃(ブルートフォースアタック)防御
  • Webサイト上すべてのファイルを自動スキャン(手動も可)
  • 最小限の誤検知
  • マルウェア(ウイルス)の発見・警告・ファイル変更追跡
  • 100以上の信号を使い、マルウェアを見逃さない
  • DDoS防御なし
    • すごく重くする攻撃で、実装はまだ? 追加されても有料(英語)だけかも?

というような基本的な感じになっており、専門性が高く解釈の違いもあるかもしれないので、詳しくは公式のプラグイン説明(英語)、無料と有料版の比較はFree VS Premium(英語)を参照。

このファイアウォールのみをうまく使い、ログイン強化系、またはすでに使用している総合セキュリティ系と併用し、安全の底上げをおこなっていく。

ぷっぷ
ぷっぷ

このサイトがWordfenceを使っていた時代は、誤検知とエラーで面倒くさくて、一緒に使ってたよ!

クラウドベースのため負荷が気にならず、「メールアドレス登録をしてあとは放置」なので非常に使いやすい。

なお、WordPressのファイアウォールはWAF(ウェブアプリケーションファイアウォール)とも呼ばれ、ファイアウォールがなんなのかはMalCareのブログ(英語)を参照。

簡単にいえば、不測の事態用。

インストール

ダッシュボード左のプラグインにカーソルを乗せて①「新規追加」→ ②右上のキーワードに「MalCare」→ ③「今すぐインストール」して有効化か、プラグインを直接ダウンロードしてアップロードしてこよう。

プラグインにカーソルを合わせて新規追加
インストール

そうすると、「メールアドレス入力欄」にWordPress登録済みアドレスが入っているので、①利用規約と個人情報保護方針に同意チェック → ②「GET STARTED」。

不都合ならメアドを変えても良い。

メアドを入れて GET STARTED

このタイミングでMalCareからウェルカムメールが届き、どうでもいいので無視し、さっそくファイアウォールが有効化され、スキャンを開始するので「OK」をクリック。

OKをクリック

そうすると真ん中の「Scan Now」で今すぐにでもスキャンできるが、1分ほど放置してもスキャンされる。

スキャンが完了すると正常の場合なんの表示もでないので、設定はこれで完了。

MalCareのダッシュボード

自動スキャンは確か24時間ごとだったが、ファイアウォール・ログイン保護履歴はすぐに反映されるので安心しよう。

ぷっぷ
ぷっぷ

本当に設定は何もないし、誤検知にも悩まされないよ!

Firewall Logs(ファイアウォール履歴)とLogin Protection Logs(ログイン保護履歴)をクリックすれば、何があったかも確認可能。

ログで不審な動きをチェック
ファイアウォールもだいたいこんな感じ

とりあえず、「緑以外」を警戒しておけば良い。

ちなみに、上記画面はWordPressのダッシュボードではなく、MalCareのダッシュボードへ飛ばされており、戻ればWordPressに戻れる。

次回以降MalCareのダッシュボードへ行くには、「VISIT DASHBOARD(ダッシュボードにアクセス)」をクリックする必要があるので覚えておこう。

今後はVISIT DASHBOARDからアクセス

MalCareのダッシュボードは、URLを手に入れると誰でも閲覧可能で、秘密にしたいなら共有はしないように。なお、IPは住所特定できないし、ユーザー名はどうでもいい。

アカウント作成してないけど?

公式の方ではアカウント必須と書かれているが、WordPressプラグインからだとメールアドレスのみで連携されているようだ(そもそもパスワード設定していない)。

APIキーが表示されず、内部でやっているのかもしれないが、やはり何もしなくていい。

スポンサーリンク

ログインができなくなったら

普通に利用するには何も起きず、過去30分の間に6回失敗すると、一定時間ロックされる。

その際は、FTPの「public_html/自サイト/wp-content/plugins/malcare-security」のMalCareフォルダ名を変更すると無効化できる。

ぷっぷ
ぷっぷ

「malcare-security-」みたいに、最後にハイフンやアンダーバーを足すだけでOK!

これでログインページにたどり着けなくても、一時的にMalCareを無効化でき、ログインが完了した時点で名前をもとに戻せば問題なく、時間経過でロックも解除。

上記の方法は、他のプラグインでも同様の効果が期待できる。

なお、パスワード管理ソフトでログイン入力をミスをしない自動入力にでき、WordPressに細工をせずにセキュリティを底上げすることができるので必須。

ブックマークで自動入力

当サイトはパスワード管理ソフトガチ勢なので、参考になるだろう。

スポンサーリンク

さらなる強化

MalCareは設定しないため空気だが、私としては逆に不安(もっとキツくしたい)。

このプラグインはコレのみで使うものではないので、当サイトが推奨する「2段階認証のワンタイムパスワードを時間切れに追い込むこと」を目的とした、超次元コンボを導入するといい。

これにより、ログインセキュリティが新たなるステージへ爆進する。

All In One WP Security & Firewallを導入していたら、一緒に使うと苦手なところをうまくカバーできる。

コメント