WordPressのセキュリティプラグイン【XO Security＋BBQ Firewall】

4

とにかくWordPressを守らなくちゃ！と思います。

自サイトを荒らされるのはもちろんイヤですが、他サイトを攻撃する拠点にされたら…と思うとゾっとします。

私の使っているセキュリティープラグインはSWELLも推奨しているXO SecurityとBBQ Firewallです。

ただ、後ろ側でゴニョゴニョ動くプラグインってすごく難しいですよねぇ？

キャッシュ系プラグインとかセキュリティープラグインとか…。

他サイトの設定を参考にするんだけど、自分のやっていることが理解できていないので結構不安。

裏で何しとるの？と思いつつ、とりあえず入れておこうといった感じです。

幸いキャッシュの方は、SWELLに独自の機能が組み込まれているので何もする必要がなく、ありがたい限りです。

独自のキャッシュ機能【SWELL公式】

あとは悪人からサイトを守るセキュリティープラグインをどうするか？

悩んでもわからないのだけど、悩みますよ。検索しまくり…。

• とにかく設定が簡単
• 設定の意味が少しはわかる
• 重くない
• （信用できそうな）日本語の紹介ブログがある

必要な機能かどうかもわからない＆設定もわからない…こんなだと何もしない方がマシじゃないかと思ったりします。設定がアダになるってことだってあるんじゃないかなぁ？

普段の生活でも、私が選んだ方がハズレって場合が多いので要警戒なんです。

そうは言っても放置はできない！　被害にあった時のことを想像したらのんきにはしていられないですよ。

ということで、SWELLが勧めてくれているセキュリティプラグインを入れてみました。

セキュリティ系プラグイン【SWELL公式】

SWELLのプラグイン記事中、セキュリティ系プラグインの1番に紹介されているのはWordfence Security。

＼プラグインがあまりいらないテーマ／

Wordfenceプラグインは難しかった

Wordfence Security

Wordfenceプラグインは使ったことがあります、IT君の娘婿に勧められて。

私の得意な日本語を解さない残念なトリリンガル。細かいことが聞けず、コロナ禍で来日もできず、で設定は自力。

ちゃんと2段階認証も有効にして…。

Wordfenceの設定を日本語で紹介しているブログと同じ設定にし、2段階認証のためにスマホにAuthenticatorアプリを入れて、それなりに頑張りました。

ちゃんと実力を発揮しているような印象でしたが…

設定の意味が全然わかっていないプラグイン、おまけに何か大きな変更をサイトに加えようとすると「ダメ、ダメ」と叱られるんです。

その度に（何だかヘン！と思いつつ）Wordfenceを一旦無効化して作業を続け、終わったら有効化…おかしいですよね。

30日有効とはいえ、2段階認証も面倒くさい。

厄介なことがいっぱいというのは、つまり強固に守られているってことじゃない？という印象は大いにありました。

良い子だけど気が合わない、そんなWordfence。

なので、次の手。

SWELLの公式サイトには、Wordfenceのほかに2つのセキュリティプラグインが紹介されていて、その2つを組み合わせると結構上手にサイトを守ってくれるらしいと知りました。

プラグインを紹介している他のいくつかのサイトでも同じ意見でしたし…。

すということで、今回その「XO Security」と「BBQ Firewall」というセキュリティプラグインを入れたので、設定などを紹介します。

XO Securityの設定

XO Security【公式サイト】

ログイン関連のセキュリティ強化プラグインです。

国産プラグインなので日本語化なんて考えなくても日本語環境では日本語の設定画面、ホッとします。

設定項目も多くなく、少しは意味がわかるので短時間で設定完了。

ログイン

ログインの設定で最も重要と思うのは、ログインページ（URL）の変更です。

1. ログインファイル名を任意の名前に変更
   「my-door」とか「dameyo」とか…
2. ログインURLが ……/wp-login.php ではなくなり
   my-door.php、とか、dameyo.php となる

コメント

コメント欄を守ります。悪意のある埋め込みなどされたら大変！

コメント欄を解放していなければ設定不要ですね。

XML-RPC

意味がわからないので、知りたい方はウィキペディアを参照してください。

XML-RPC【Wikipedia】

REST API

意味がわからないので、知りたい方は下記を参照してください。

REST APIとは？ – API設計のポイント！

秘匿

大事なモノを秘密にしておこうね、という事だと思います、たぶん。

環境

デフォルトの状態で「自動」にチェックがありIPアドレスも取得されています。

ログインログは、ほかに「自動削除しない」「365日以前」があります。

「自動削除しない」を選ぶと、ログファイルが溜まり続けるので要注意。

ステータス

各項目の説明と設定結果が「ステータス」で確認できます。

理解できない項目もありますが、日本語というだけで心穏やかに設定できます（それって…）。

XO Securityの紹介ブログを10サイトくらいチェックして、これで間違いない！（いや、大きくは間違えてない）と思って設定しました。

環境もWordPressの内容もそれぞれ違うので、設定は参考と思ってください。

＼プラグインがあまりいらないテーマ／

BBQ Firewall

BBQ Firewall【公式サイト】

見出しを「BBQ Firewallの設定」と書こうとして、笑ってしまいました。

BBQ Firewallの無料版は設定項目などありません。

インストールして有効化するだけ。私も最も好きなタイプwww

設定（Settings）をクリックして現れるのは ↓ これだけ。

インフォメーションとバージョンとBBQ Proへの勧誘。

Pro版だと多くのデータを見ることができるらしいです。

こんな面倒なことをしなくてはいけないなんて、本当に残念！　サイトを荒らす優秀な悪者たちがその知恵を正しいお金儲けや研究やボランティアに回してくれることを切に望みます！