無料版MalCare(マルケア)は、自分のサーバーとは別の独自サーバーでスキャンをし、過負荷をかけずにセキュリティを向上させる、クラウド型ファイアウォールプラグインだ。
だが、このプラグインは併用して使え、貴重なスキャン機能付きだ。
SiteGuard WP Plugin(サイトガード)やXO Securityのログイン強化系しかやっていなかったり、Wordfence(ワードフェンス)の誤検知やエラーに悩まされていたら、一緒に使ってみよう。
管理画面は英語だが、「設定項目が存在せず」インストールとメアド登録だけで完了し、あっけなく終わる。
MalCareとは
有料バックアッププラグインBlogVaultと同じところが開発しているセキュリティプラグインで(日本では無名)、他のセキュリティプラグインと併用されることを想定している。
バックアップコピーの技術を活かして、クラウドにデータコピー → スキャンしているから軽い・競合しないっぽいよ!
参考Malware Protect – Secure Your Website From Hackers With MalCare(英語)
有料版はファイアウォール以外も付属している「総合セキュリティプラグイン」なのだが、今回紹介するのは無料版のファイアウォールで、以下のようなことをしている。
- 不正アクセスを防止・自動ロック
- コメントスパムブロック
- 総当たり攻撃(ブルートフォースアタック)防御
- Webサイト上すべてのファイルを自動スキャン(手動も可)
- 最小限の誤検知
- マルウェア(ウイルス)の発見・警告・ファイル変更追跡
- 100以上の信号を使い、マルウェアを見逃さない
- DDoS防御なし
- すごく重くする攻撃で、実装はまだ? 追加されても有料(英語)だけかも?
というような基本的な感じになっており、専門性が高く解釈の違いもあるかもしれないので、詳しくは公式のプラグイン説明(英語)、無料と有料版の比較はFree VS Premium(英語)を参照。
このファイアウォールのみをうまく使い、ログイン強化系、またはすでに使用している総合セキュリティ系と併用し、安全の底上げをおこなっていく。
このサイトがWordfenceを使っていた時代は、誤検知とエラーで面倒くさくて、一緒に使ってたよ!
クラウドベースのため負荷が気にならず、「メールアドレス登録をしてあとは放置」なので非常に使いやすい。
なお、WordPressのファイアウォールはWAF(ウェブアプリケーションファイアウォール)とも呼ばれ、ファイアウォールがなんなのかはMalCareのブログ(英語)を参照。
簡単にいえば、不測の事態用。
インストール
ダッシュボード左のプラグインにカーソルを乗せて①「新規追加」→ ②右上のキーワードに「MalCare」→ ③「今すぐインストール」して有効化か、プラグインを直接ダウンロードしてアップロードしてこよう。
そうすると、「メールアドレス入力欄」にWordPress登録済みアドレスが入っているので、①利用規約と個人情報保護方針に同意チェック → ②「GET STARTED」。
不都合ならメアドを変えても良い。
このタイミングでMalCareからウェルカムメールが届き、どうでもいいので無視し、さっそくファイアウォールが有効化され、スキャンを開始するので「OK」をクリック。
そうすると真ん中の「Scan Now」で今すぐにでもスキャンできるが、1分ほど放置してもスキャンされる。
スキャンが完了すると正常の場合なんの表示もでないので、設定はこれで完了。
自動スキャンは確か24時間ごとだったが、ファイアウォール・ログイン保護履歴はすぐに反映されるので安心しよう。
本当に設定は何もないし、誤検知にも悩まされないよ!
Firewall Logs(ファイアウォール履歴)とLogin Protection Logs(ログイン保護履歴)をクリックすれば、何があったかも確認可能。
とりあえず、「緑以外」を警戒しておけば良い。
次回以降MalCareのダッシュボードへ行くには、「VISIT DASHBOARD(ダッシュボードにアクセス)」をクリックする必要があるので覚えておこう。
アカウント作成してないけど?
公式の方ではアカウント必須と書かれているが、WordPressプラグインからだとメールアドレスのみで連携されているようだ(そもそもパスワード設定していない)。
APIキーが表示されず、内部でやっているのかもしれないが、やはり何もしなくていい。
ログインができなくなったら
普通に利用するには何も起きず、過去30分の間に6回失敗すると、一定時間ロックされる。
その際は、FTPの「public_html/自サイト/wp-content/plugins/malcare-security」のMalCareフォルダ名を変更すると無効化できる。
「malcare-security-」みたいに、最後にハイフンやアンダーバーを足すだけでOK!
これでログインページにたどり着けなくても、一時的にMalCareを無効化でき、ログインが完了した時点で名前をもとに戻せば問題なく、時間経過でロックも解除。
上記の方法は、他のプラグインでも同様の効果が期待できる。
なお、パスワード管理ソフトでログイン入力をミスをしない自動入力にでき、WordPressに細工をせずにセキュリティを底上げすることができるので必須。
当サイトはパスワード管理ソフトガチ勢なので、参考になるだろう。
さらなる強化
MalCareは設定しないため空気だが、私としては逆に不安(もっとキツくしたい)。
このプラグインはコレのみで使うものではないので、当サイトが推奨する「2段階認証のワンタイムパスワードを時間切れに追い込むこと」を目的とした、超次元コンボを導入するといい。
これにより、ログインセキュリティが新たなるステージへ爆進する。
All In One WP Security & Firewallを導入していたら、一緒に使うと苦手なところをうまくカバーできる。
コメント
やりすぎセキュリティ様
こんにちは!参考にさせていただいております!
Malcareについて、他に書かれているサイトが少なく疑問を解決できなかったので質問させてください。
malcareを入れていたら、support@malcareから
「Hi,
MalCare was unable to scan the following sites, because they are unreachable:
• ttps://僕のドメイン
Why is your site not reachable?
You could receiving this alert because of many reasons:
• The site is down and therefore unreachable.
• The MalCare plugin has been deactivated on the site.
• Our IPs are blocked from your website.
What do you need to do next?
Please check your website and reactivate MalCare. Until we can reach your website, we cannot protect your website from hacks and malware.
If you have any questions, please email us. We are happy to help.
Stay Safe,
MalCare」
とメールが来ました。
「What is IPs of Malcare?」と返信したら、IPアドレスなどを書いた返信が来たのですが
これらのメールって本物なのでしょうか。
また、malcareのIPアドレスがwordfenceにブロックされることってあり得るのでしょうか?
これだけだと本物かどうかわかりませんが、利用していてマイナーなMalcareになりすますのもよくわからないので、確率的には本物っぽいです。
一番確実な判別方法は、自分からMalCare公式に行ってこの内容は本物かどうかを聞くことです。
めんどくさい場合はなりすましメールをメールソースから見破る方法 | SendGridブログのように、SPFやDKIMの部分がPASSかどうかをみます。
すべてPASSなら本物、一部やすべてがPASS以外なら設定していないか偽物なので、PASSの数で本物かどうかを判断することになります。
なお、2020年時点ではDMARC未設定。確かDMARCの設定だけ激しくめんどくさくて、私は断念した記憶があります(´ε`;)
いわゆるご検知というやつですので、どこのサービスでもよくあることです!
ログを確認できるのでしたら、もらったIPアドレスをWordfence内で検索してみてください。