このプラグインは、Sucuri(スクリ)が効果的だと思うものや、被害後の後始末というレア機能しか搭載していない。
- マルウェア(ウイルス)スキャン
- 侵入者が削除できないファイル変更履歴(API連携必須:激レア機能)
- FTPの特定の場所でPHP実行ブロック(3種のバックドア対策:3種はレア)
- 総当たり攻撃(ブルートフォースアタック)対策
これは、SucuriがCDNファイアウォールサービス会社であるためであり、それで補えない部分しか搭載していないからだ。
もちろん無料でどうにかするため、ここではWordfenceやAIOWPSレベルの総合セキュリティ系を参考にし、他の無料かつ軽量・競合しないプラグインとうまく併用して、活用していく。
現在はWordfenceの2段階認証が無料化されたため、もう最初からWordfenceがおすすめだ。
Sucuriとは
有料セキュリティならWordfenceよりも先に検討するレベルの、最高級CDNファイアウォール会社。
CDNのためプラグインを使わなくても機能し、「セキュリティプラグインを完全なし」にすることは可能だが、ここで紹介するのは無料プラグインなので割愛。
Cloudflare(クラウドフレア)と同じCDN系であるため、同時に使うには非常に面倒。Sucuriがセキュリティ重視、Cloudflareは速度と覚えよう。なお、マルウェア除去機能を除けばSucuriの方が実は安上がり(Sucuri月9.99ドル・Cloudflare月20ドル)。
プラグインには被りにくいレア機能がちょこちょこ搭載されており、穴埋めとして優れていると気づいたので、冒頭で紹介した以下の機能をうまく使っていく。
どこからかファイアウォールをプラスすれば、総合セキュリティごっこが可能。
- マルウェア(ウイルス)スキャン
- 侵入者が削除できないファイル変更履歴
- FTPの特定の場所でPHP実行ブロック(.htaccessを指定の場所に置く:バックドア対策)
- 総当たり攻撃対策
そう、このプラグインはSucuriの調査結果にあるとおり、上位2つの感染傾向「Backdoor(バックドア)」・「Malware(マルウェア)」の対抗手段を実装している。
出典:Hacked Website Report 2017 Statistics | Sucuri
さらに、「侵入者が削除できないファイル変更履歴」は大変貴重であり、Sucuri以外で見たことがない。
現実的には、「Sucuriに履歴残ってるかもー」って、修復業者に教えてあげるといいかも!
デメリット
無料版は「有料ファイアウォールの付属品」であるため、そのままでは微妙。
具体的にいうと、総合セキュリティにある以下3つの定番は欲しい。
- マルウェアスキャン
- ファイアウォール
- 総当たり攻撃対策(XML-RPCも含む)
上記のうちファイアウォールは説明したとおりなく、総当たり攻撃(ブルートフォースアタック)対策はXML-RPCに対する防御に対応しているか不明(実際に攻撃されないとわからない)。
.htaccessに記述する機能は上記以外にもあり、Nginx(エンジンエックス)は指定場所でPHP実行阻止(バックドア対策)が使えないのは残念。
エックスサーバーのように、Nginxでも.htaccessがあるレンタルサーバーは大丈夫だ。
さらに、初期設定のアラート条件が激しく、「アラートメール地獄」に陥ることが約束される。
すごいの
もちろん当サイトがわかりやすく、自然にカスタマイズできるよう、設定方法を次の記事で紹介するが、あからさまに環境を選ぶので注意されたし。
Sucuriが無理そうなら必然的にWordfenceかAIOWPSの2択だが、まだ決めるのは早い。
それは、当サイトが以下の組み合わせでWordfenceに勝てると思っているからだ。
理想の組み合わせ・活用例
総合セキュリティごっこ、すなわちマルウェアスキャン・ファイアウォール・総当たり攻撃対策を複数プラグインで補うために、活用例を紹介していく。
ファイアウォールだけないので、そこだけプラスすればいい。
ファイアウォールはMalCare、大本命はAll In One WP Security & Firewall(AIOWPS)に提供されている、当サイトも使用中の(買い切り有料版の方だが)6Gファイアウォールの化身BBQ。
どちらも速度と競合しない部分を強力に謳っているので、両方使うのはアリ。
2つ目の2段階認証は、有料の総合セキュリティソフトに必ず付属する、「パスワードがバレても守る」意味不明効果を実装できる。
露骨な効果を期待できるので、迷いなくminiOrange(ミニオレンジ)を入れるといい。
実は、Sucuri公式で例として述べられている2段階認証プラグイン。
というような目標で進めていき、この組み合わせは以下の記事でもオススメしている。
Sucuriをそのままインストールするなら、読み進めていこう。
インストール
ダッシュボード左のプラグインにカーソルを乗せて①「新規追加」→ ②右上のキーワードに「Sucuri」→ ③「今すぐインストール」して有効化か、プラグインを直接ダウンロードしてアップロードしてこよう。
有効化すると、ダッシュボード左下に「Sucuri Security」と表示され、クリックするといきなり誤検知の「×印」を見せられる。
初期設定をしたいのはやまやまだが、最初からガッツリ設定することを推奨するので次へ。
設定をちゃんとやる
さっそく誤検知がでて面倒だが、問題のないファイルとして許可していこう。
冒頭で紹介した設定もこちらで述べているし、とりあえず「厳選した推奨設定まとめ」のとおりに進めていけば、初期設定終了かつほぼフルに使えるだろう。
というか、設定しないとアラート地獄であるため、半強制的に設定推奨。
そのまま一緒に使いたいプラグインがあるなら、理想の組み合わせ・活用例まで戻るといい。