【SSS】究極!効果的なWordPressセキュリティプラグイン選び

WordPress WordPress

数多のセキュリティプラグインをテストした結果、強力なのに速度を犠牲にせず、競合しないと謳っているプラグインの存在に気づいたので、無駄なく効果的に利用する方法を提案する。

追加するプラグインならほぼ設定不要が多く、管理のしやすさも抜群だ。

  • Wordfence(ワードフェンス)AIOWPSなどを使用中だが、ちゃんと設定していない
  • SiteGuardなどのログイン防御のみで、ファイアウォールを入れていない
  • セキュリティプラグインを入れたはいいが、機能が被っている気がする
  • そもそも何を入れるべきなのかわからない

これらも同時に解決するだろう。

スポンサーリンク

なぜ効果的なのか

機能被りを抑えた強力な組み合わせと、足りない部分を補う使い方を意識。

さらに、これから紹介する無料版BBQ(ブロックバッドクエリ)プラグインの中に、まず有料でしかお目にかかれない、貴重なSQLインジェクション(SQLi)とクロスサイトスクリプティング(XSS)対策+αが入っていたから。

この2つは、最も重大なウェブアプリケーションリスクトップ10、通称OWASP(オワスプ)Top 10で述べられている、大人気の攻撃だ。

参考OWASP Top 10 – 2017

そして、Wordfenceと双璧をなすAll In One WP Security & FirewallAIOWPS)に提供されているファイアウォールの一部は、実はBBQ作者が提供したもので、BBQに統合されている。

さらには、軽量・競合しない・設定不要と、人気のWordfenceと併用されることもちゃんと想定されていて、追加の保護をいとも簡単に実装可能だ。

まるですべてのSQLi・XSSに対応するかのように述べているが、セキュリティであるかぎり完璧は存在しないので、ここで錯覚を破壊して現実に突き落としておく。

なんと、プラグインである必要もないという、とにかく夢のような何にでもあう魔法のファイアウォールを、ここではとびきりの組み合わせを考えて併用していこう。

当サイト使用中の買い切りもあるよ!
スポンサーリンク

とびきりの組み合わせを環境と相談

このサイトでしか紹介されていない、とびきりの組み合わせを試してみるといい。

「すべてのパターンの常時管理」は非現実的なため、最初から「完全に競合しない」とは述べない。ただ、追加するプラグイン側(2段階認証以外)は競合しないことを強く述べているので、ほぼほぼ問題ないはずだ。

Nginx(エンジンエックス)ではない方はほぼ問題ないので、次の組み合わせ早見表まで読み飛ばそう。


魅力的な組み合わせでも、自分の環境と合わなければ意味がない。

とくに、Nginxのレンタルサーバーは基本.htaccessが使えないため、自分がどのようなサーバータイプを使用しているかは確認しよう。

エックスサーバーのように、Nginxでも.htaccessが使えるタイプは、Apache(アパッチ)やLiteSpeed(ライトスピード)と同じように使える。

.htaccessを使うプラグインは以下で、当サイトはNginx環境ではなく詳しくはわからないが、使えるものは()内参考。

  • Wordfence(問題なしの模様。むしろ低確率でLiteSpeedに問題あり)
  • AIOWPS(Nginxのさくらのレンタルサーバで普通に紹介されているので問題ないかも?)
  • Sucuri(バックドア対策のPHP実行阻止が.htaccess記述)
    • マルウェア(ウイルス)スキャンや削除できない履歴は使用可
  • SiteGuard(ログインページ変更で使用)

これから紹介するBBQ・XO Security(総当たり攻撃対策)・MalCare(ファイアウォール)・2段階認証は.htaccess使用。

組み合わせ早見表

総合セキュリティにプラス

  • WordfenceやAIOWPS
  • BBQ
  • 2段階認証

軽量・競合しにくいものと併用(当サイトの知識を利用)

  • Sucuri(スクリ)でマルウェアスキャンと削除できない履歴記録・総当たり攻撃対策
  • BBQ
  • 2段階認証

総合セキュリティにはスキャン(AIOWPSはマルウェアスキャンがない)・ファイアウォール・総当たり攻撃対策の3つが基本含まれているので、BBQでファイアウォールは被っているが、スキャン系と総当たり攻撃対策を別途入れる必要はない。

人気攻撃対象のXML-RPCを無効化している方は多いかもしれないが、WordfenceとXO Securityは明確に無効化しないまま総当たり対策で対応可能と述べているし、以下のプラグインはXML-RPC検証サービスを利用した結果、「ログイン失敗扱い」にした。

※XML-RPC検証はメチャメチャ探したら見つかったので、褒めるべき。

  • AIOWPS
  • Sucuri
  • MalCare(マルケア)
  • SiteGuard WP Plugin

つまり、この記事で述べたすべてが失敗扱い=ロック対象にしたので、述べるまでもなく対応しているのが当たり前だったようだ。

ぷっぷ
ぷっぷ

これでJetpackやスマホ投稿が使えるし、突如XML-RPCを使う機能が増えたりしても乗り遅れないね!

ふたたびのBBQカットイン。

2段階認証の扱い

2段階認証は効果テキメンすぎるので、当サイトではベタ褒め。

有料総合セキュリティにほぼ付いてくるため、無限にお金があるなら不要。

Wordfence主軸

WordfenceはBBQ公式でも述べられている想定された組み合わせなので、何かあったら真っ先に対応されるだろう。

すでにインストール済みなら、せっかくある設定を見直すだけで底上げができる。

といいつつ、当サイトはあろうことかセキュリティを落とし、軽量設定版も紹介。

All In One WP Security & Firewall(AIOWPS)主軸

Wordfenceの重さが気になったり、相性が悪いならAIOWPSも良い。

だが、マルウェア(ウイルス)スキャンが付いていないので、その部分は無料版MalCare(マルケア)にやらせよう(記事で述べている)。

そして、BBQとAIOWPSのファイアウォールはモロ被りなのをお忘れなく。

厳密にいうとBBQとAIOWPSに搭載されている6Gファイアウォールは、若干違うのでうまく機能する。効果が薄くなるのは否定できないが、その場合は買い切りのBBQ PROを検討するといい。

非常に機能が多いとはいえ不要部分も多いので(名前も長い)、こちらも見直し推奨。

Sucuri Security主軸(オススメ)

軽量とは述べられていないが、重いとも噂されないWordfenceより先に検討すべき有料ファイアウォール会社のプラグインを使い、総合セキュリティと同じような保護範囲を目指せたので、ぜひオススメしたい。

当サイト推奨のこの組み合わせで、Wordfenceに勝つつもりだ。

このプラグインはSucuriの調査結果のもと、下の画像「感染傾向」上位のBackdoor(バックドア)とMalware(マルウェア)に対抗する機能を、うまいこと仕込んでいる。

感染傾向

出典:Hacked Website Report 2017 Statistics | Sucuri

PHP実行を防ぐバックドア対策が.htaccess記述のため、Nginxはこの部分を使えないと思われるが、マルウェアスキャンと削除できない変更履歴、その他ブラックリスト確認などおまけも付いているので、それほど気にならないはずだ。

軽量かつ.htaccessに記述しない組み合わせ

管理しやすく、上記3つの組み合わせと同じくらい魅力的な、「.htaccessに一切記述しない」ことを重視した組み合わせ。

おそらくダントツで軽量。

総合セキュリティ系のように、スキャン・ファイアウォール・総当たり攻撃対策の三点セットを意識した。MalCare(マルケア)とXO Securityはどちらか1つでいいが、両方使うのもアリ。

  • BBQ(設定不要のファイアウォール)
  • MalCare(設定不要のクラウド型軽量ファイアウォール+マルウェアスキャン)
  • XO Security(総当たり攻撃+貴重なログイン失敗数ダッシュボード表示+激レア遅延)
  • 2段階認証

スキャンはどちらかというと「侵入された後の話」なので、必要ないと感じたらMalCareではできない設定をXO Securityでするといい。

よく使われているSiteGuardとソックリだが、こちらは.htaccess記述なし&Nginxで使えるため、今から使うなら同じ国産のこちらを推奨。

REST API無効も付いており、ユーザー名隠しのEdit Author Slugも節約できるし、素晴らしいのがこの記事で紹介したダッシュボードログイン失敗数を表示するのはWordfenceとコレだけ

なお、当サイトはユーザー名隠しを捨てた。

プラグインの数が気になった方はいるはずなので、次に真実をお話する。

スポンサーリンク

何も入れなくても、WordPressは安全

「セキュリティサイトなのに何を言っているんだ。今までのは茶番か? このやろう!」

オラァ( っ・∀・)≡⊃ ゚∀゚)・∵.

と、思われるかもしれないが、最初から危険なものじゃないことを感じているはずだ。

以下のWordfenceの調査画像でわかるとおり、セキュリティプラグインと引き換えに、新たな脆弱性(弱点)が増える抽選も獲得している。

WordPressはどのように侵害されたかリスト

出典:How Attackers Gain Access to WordPress Sites(Wordfence)
  1. plugin(プラグインの脆弱性55.9%:入れなければ最強)
  2. brute force(総当たり16.1%:攻撃中重いだろうがパスワードで対応可)
  3. core(WordPress本体)
  4. theme(WordPressテーマ:セキュリティ専門家協力はGenesis Frameworkのみ?)
  5. hosting(おそらく共有レンタルサーバー:サービス側のファイアウォールが重要)

というような攻撃対象ランキングで、上記説明のとおりプラグイン以外の手段でも対応可。

さらに、本体は10%ないし、上2つだけで70%以上を占めているため、この2つに気をつけるだけで事実上のセキュリティ対策。

よく言われている「古いプラグインを使わず、すぐに更新する」というのはコレのせいだ。

いきなり乗っ取られるサービスなんてものは、最初からサービスとして成り立たないはずなのだ。それが、不要な理由の根拠。

ぷっぷ
ぷっぷ

そもそも、オープンソースってセキュリティ系最強メリットだよ! 世界中の現役ガチ勢が、企業じゃなしえない数の暴力で確認するからね!

それでも当サイトがプラグインを入れているのは以下の理由。

自分の知らない攻撃、例えば初心者の頃にログインページに総当たり攻撃を仕掛けられた際の、自分の挙動を想像してみるといい。

どういった攻撃かわからない&攻撃されているのかもわからず(ここが重要)、ひたすら重くて原因を知った際の、失われた時間や想定のできない恐怖、専門用語地獄のセキュリティ知識で時間を消費しないための「保険と安心」として役に立つからだ。

プラグインに頼るか、WordPressを信じるか

判断は任せるが、以下の決断方法を参考にするといい。

  • プラグインを12個以上使用
  • どうしても使いたいプラグインの中に、2年以上更新されていないものがある
  • デザイン系のプラグインをガッツリ使用(不要最有力)
  • プラグインなしでできると知っていてプラグインを使う(多機能テーマが便利)
  • 週1でサイトを管理できない

上記に該当するならそう簡単に減らせないので、紹介した組み合わせ防御を推奨する。

プラグインが多いと「本体原因」の可能性は減っていくため、セキュリティプラグインでそれらを守る使い方を狙う。

個数は「当サイトと比較しての適当な数字」だが、とりあえず「入れるのならちゃんと(特に設定)、中途半端なら完全なしを目指す」べき。

プラグインなしの場合「更新管理」・「当然のパスワード増強」が最重要となっており、更新は基礎かつ必須事項のため、最低でも週1管理をできないならプラグインを頼ること。

ぷっぷ
ぷっぷ

当サイトはBBQや総合セキュリティ系を入れてるけど、プラグインの数は9だよーん。多機能テーマは遠回しにセキュリティ向上!

どれほどの人が最新版を使わないのかは、以下の公式を見て絶望するといい。

参照日本語 « 統計情報 — WordPress

当サイトが確認した時点で最新版(5.0)は33.9%しか存在せず、過激な言い方をすると、更新しない人達から食われてくれるので、ありがたい存在

「エラーになるから先延ばし」・「Gutenberg(グーテンベルク:ブロックエディタ)って何」という理由は利便性重視の傾向がでているので、セキュリティ重視に切り替えよう。

ちなみに、Gutenbergもデザイン系プラグイン排除に一役買い、遠回しにセキュリティ向上。

そう、多機能テーマとGutenbergがプラグイン激減の鍵。

途中でも紹介した、プラグインなしでファイアウォールを実装する、ズルい方法はこちら。

パスワードの増強はいとも簡単にできるし、パスワード管理ソフトもついに帝王が君臨したので、知らなかったらbitwardenを使うといい。

コメント