Cerber Security, Antispam & Malware Scan:総合的なセキュリティ対策ができる
日本語化もされていて、総合的なセキュリティ対策ができる WordPress 用プラグインの紹介です。
それは「Cerber Security, Antispam & Malware Scan」です。
その導入手順から日本語化・使い方と設定などを解説していきます。
Cerber Security, Antispam & Malware Scan
Cerber Security, Antispam & Malware Scan は、総合的なセキュリティ対策ができます。
- HTTP リクエストを検査し保護する特殊な Web アプリケーションファイヤーウォール
- 2 種類のモードをもつマルウェアスキャナー
- メールによる 2 段階認証
- ブルートフォースアタック(総当たり攻撃)をブロック
- コードのインジェクション攻撃をブロック
- REST API の無効化もしくはアクセス制限
- XML-RPC の無効化
- / ? author = n などのユーザー列挙攻撃をブロック
- メディアフォルダー内での PHP スクリプトの実行をブロック
- RSS、Atom、および RDF フィードへのアクセスをブロック
- 新規登録、ログイン・パスワード紛失・コメントフォームを保護
- Contact Form 7 などの主要な問い合わせフォームを含む全てのフォームを保護
- WooCommerce のフォームとチェックアウトページも保護
- スパムコメントの自動削除
- 全てのファイル、テーマとプラグインのスキャン
- 新規作成されたファイルと変更されたファイルの監視
- 上級ユーザーのセッション管理
- wp-login.php の無効化&カスタムログイン URL の設定
- 許可・非許可されたユーザーのアクティビティと HTTP リクエストの記録と表示
- IP サブネットクラス C を予防的にブロック
- Invisible reCAPTCHA を含む Google reCAPTCHA をサポート
他のセキュリティ系プラグインには無い機能も搭載
- 大規模なブルートフォースアタック対策として特別なモードを搭載
- 世界中の悪意のある IP アドレスをリアルタイムで検出しブロック
- メールでの通知以外にプッシュ通知(デスクトップブラウザーとモバイルアプリに対応)も可能
バージョン 8.0 以降からリモート管理機能を搭載。
WP Cerberプラグインの管理、アクティビティの監視、
メインの WordPress サイトから複数の WordPress サイトでプラグインのアップグレードが可能。
日本語化対応もされています。
Cerber Security, Antispam & Malware Scan オンラインドキュメント(公式英語)
記事を作成もしくは更新時点でのバージョン:v 8.5.5
マルチサイトでの利用:可
Gutenberg エディターでの動作
Gutenberg エディターに追加される機能は無いので、気にする必要は無いです。
インストール手順
下記の URL から ZIP ファイルを入手して、管理画面からアップロードして有効化するか
Cerber Security, Antispam & Malware Scan – WordPress.org
もしくは、WordPress.org の公式プラグインディレクトリにリリースされているので、
管理画面から入手できます。
ダッシュボードから「プラグイン」メニューの「新規追加」を選択し、
プラグイン追加画面右上の検索窓に「Cerber Security」と入力します。
検索結果の一番左上に表示されると思うので、「今すぐインストール」をクリックします。
※一番左上に表示されない場合は、上記の画像から探して下さい。
インストールが完了したら、プラグインを「有効化」します。
プラグインのインストールに慣れていない方は、
下記の記事にて詳しく解説していますので、御覧ください。
WordPressプラグインのインストール手順を解説 – WordPress活用術
日本語化
Cerber Security, Antispam & Malware Scan は、日本語化対応がされているので、有効化するだけで日本語化されます。
日本語化されない場合には、日本語化用の言語パックを translate.wordpress.org から入手できる場合があります。
WordPress と関連プロジェクト(テーマ・プラグイン)用の翻訳プラットフォームとして、
translate.wordpress.org (GlotPress) が導入されています。
※ボランティアで翻訳されている場合が多いので、
全てのプラグインで、必ずしも日本語化用の言語パックが用意されているわけでは無いです。
また、用意されていても 100% 翻訳されている保証もありません。
日本語化用の翻訳ファイルの探し方は、下記の記事を参照してください。
WordPress公式での日本語化用の翻訳ファイルの探し方 – WordPress活用術
専用テーブル
下記のテーブルを Cerber Security, Antispam & Malware Scan 専用のテーブルとして作成し利用します。
テーブル作成時に $wpdb->prefix も使用しているので、マルチサイトにも対応。
cerber-load.php に記述されています(長文になるので省略)。
有効化すると
右上の「×」をクリックしましょう。
専用メニュー
ダッシュボードの「設定」メニューの下に追加されています。
使い方
各設定画面から必要な設定を行いましょう。
ダッシュボード
インストールしたバージョンの簡単な説明が記載されています。
このボタンをクリックすると非表示になります。
ダッシュボード
このプラグインが悪意のある行動を検出し、その処理結果を表示しています。
アクティビティログと直近でロックアウトされた IP アドレスも表示されます。
アクティビティ
アクティビティログ一覧が表示されます。
各行動・登録ユーザー・IP アドレスなどで絞り込みもできます。
セッション
ユーザーのセッション情報を確認できます。
ロックアウト
ロックアウトされた IP アドレスが表示されます。
メイン設定
セキュリティエンジンのロード:
エンジンのモードを選択します。
ログイン試行回数の制限設定ができます。
試行:
ロックアウトまでの試行回数を設定できます。
ロックアウト期間:
ロックアウトされた場合にロックアウト期間を分単位で指定します。
積極的なロックアウト:
再三ロックアウトされる訪問者をさらにロックアウト期間を延ばしたい場合に設定できます。
ホワイト IP アクセスリストを使用する:
ホワイト IP アクセスリストに登録されている IP アドレスにログインルールを適用するかどうか。
セキュリティルールを選択していきます。
サブネットをブロック:
サブネットクラス C の侵入者 IP を常にブロックするかどうか。
※クラス C は、192.0.0.0 ~ 223.255.255.255 の範囲の IP アドレスです。
存在しないユーザー:
サイトに登録されていないユーザー名でログインを試行した場合、
その訪問者の IP を即時ブロックするかどうか。
ダッシュボードのリダイレクトを無効にする:
/ wp-admin / が許可されていないアクセスがリクエストされると、
ログインページへの自動リダイレクトを無効にするかどうか。
wp-login.php をリクエスト:
wp-login.php へのアクセスがあると、その IP を即時ブロックするかどうか。
404 ページを表示する
表示する 404 ページを選択します。
wp-login.php を無効にし、カスタムログインページを設定したい場合に使用します。
カスタムログイン URL:
カスタムログイン用の URL を設定します。
wp-login.php を無効にします:
wp-login.php への直接アクセスをブロックし、404 エラーを返します。
サイト連携:
サイトがリバースプロキシ環境下にある場合に有効にします。
プラグイン Cookie のプレフィックス:
このプラグインの Cookie のプレフィックスを指定します。
大規模なブルートフォースアタック用の設定を行えます。
アクティビティログに関する設定を行えます。
記録を残す:
ログの保存期間を日数単位で入力します。
Cerber Lab 接続:
自サイトにアクセスしてきた悪意のある IP アドレスを Cerber Lab に提供するかどうか。
Cerber Lab プロトコル:
Cerber Lab への接続時のプロトコルを選択します。
ファイルを使用:
ログインに失敗した情報をファイルに書き込むかどうか。
その他の設定を行えます。
IP のドリルダウン:
IP に関する WHOIS 情報を取得するかどうか。
日付フォーマット:
アクティビティログなどで表示する際の日付情報の表示書式を設定できます。
管理インターフェイスで英語を使用する:
管理画面を英語で使用するかどうか。
アクセスリスト
ホワイト&ブラック IP アドレスのアクセスリストを確認できます。
強化
ユーザー列挙を停止する:
/ ? author=n などのユーザーページへのアクセスをブロックするかどうか。
管理スクリプトを保護する:
load-scripts.phpおよびload-styles.phpへの不正アクセスをブロックするかどうか。
アップロードにおいて PHP を無効化:
メディアフォルダー内での PHP スクリプトの実行をブロックするかどうか。
PHP エラー表示を無効にする:
PHP のエラー表示を無効にするかどうか。
XML-RPC を無効にする:
XML-RPC サーバーへのアクセスをブロックするかどうか。
※ピンバックとトラックバックを含みます。
フィードを無効にする:
RSS、Atom、および RDF フィードへのアクセスをブロックするかどうか。
ユーザー列挙を停止する:
REST API を介したユーザーのデータへのアクセスをブロックするかどうか。
REST API を無効にする:
下記のいずれか以外での WordPress REST API へのアクセスをブロックするかどうか。
ログインユーザー:
ログインしているユーザーに REST API を許可するかどうか。
これらのロールの REST API を許可します:
REST API へのアクセスを許可するユーザーを権限で指定します。
これらの名前空間を許可する:
許可する REST API 名前空間を 1 行に 1 つ指定します。
プラグインの Text Domain 名を指定します。
お問い合わせフォーム7だと contact-form-7 を入力します。
通知
メール通知に関する設定を行えます。
通知制限:
メール通知の件数を 1 時間当たりで制限したい場合に使用します。
新しいバージョンが利用できます。
このプラグインの新しいバージョンがリリースされた場合に通知するかどうか。
デスクトップブラウザーもしくはスマホアプリでプッシュ通知を受け取りたい場合に使用します。
週間レポートを配信するかどうかと、
配信タイミングと送信先メールアドレスを設定できます。
トラフィック監査
リアルタイムトラフィック
サイト上の様々なトラフィック(リクエストなど)をリアルタイムで確認できます。
トラフィックログの検索とエクスポートができます。
ログ検索画面です。
エクスポートは「エクスポート」ボタンをクリックすると即時ダウンロードされます。
設定
トラフィック監査を有効にする:
トラフィック監査を有効にするかどうか。
ホワイト IP アクセスリストを使用する:
特定の URL へのリクエストを検査から除外するために、
下記のホワイト IP アクセスリストを使用するかどうか。
リクエストのホワイトリスト:
検査から除外したい特定の URL を登録します。
エラーシールドを有効にする:
エラーシールドを有効にするかどうか。
ログインユーザーを無視する:
エラーシールドからログインユーザーを除外するかどうか。
ログ取得モード:
ログの取得モードを選択します。
クローラーを無視する:
クローラーを無効にするかどうか。
リクエストフィールドを保存:
リクエストフィールドを保存するかどうか。
これらのフォームフィールドをマスクする:
フォームフィールドをマスクするかどうか。
カンマで区切りと複数指定可。
リクエストヘッダーを保存する:
リクエストヘッダーを保存するかどうか。
$_SERVER を保存:
$_SERVER を保存するかどうか。
リクエスト Cookie を保存する:
リクエスト Cookie を保存するかどうか。
ソフトウェアエラーを保存する:
ソフトウェアエラーを保存するかどうか。
ページ生成時間のしきい値:
ミリ秒単位で指定します。
記録を残す:
リアルタイムトラフィックログの保存期間を日数で指定します。
ユーザーポリシー
ロールベース
ユーザー権限別にアクセス制御を行えます。
WordPress ダッシュボードへのアクセスをブロック:
WordPress のダッシュボードへのアクセスをブロックするかどうか。
サイトを表示するときにツールバーを非表示にする:
サイトを表示するときにツールバーを非表示にするかどうか。
ログイン後にユーザーをリダイレクト:
ログイン後のリダイレクト先を URL で指定できます。
ログアウト後にユーザーをリダイレクト:
ログアウト後のリダイレクト先を URL で指定できます。
ユーザーセッションの有効期限:
ユーザーセッションの有効期限を分単位で指定できます。
二段階認証:
メールによる 2 段階認証を有効にするかどうか。
有効にすると確認コードが記載されたメールが送信されます。
グローバル
許可ユーザーのみ:
このモードを有効にすると、
訪問者はログインせずにサイトを表示しようとするとログインページにリダイレクトされます。
ログインに成功すると、
ユーザーは表示しようとしたページにリダイレクトされます。
メールアドレスを制限:
メンバー登録をブロックしたいメールアドレスを設定できます。
メールアドレスもしくは、ワイルドカード、または、REGEX パターンで指定します。
カンマ使用すると複数指定可。
禁止されているユーザー名:
このリストに登録されているユーザー名は、ログインまたは新規登録できません。
また、いずれかを使用しようとした IP アドレスは、即時ブロックされます。
カンマで区切ると複数指定可。
REGEX パターンを指定するには、パターンを 2 つのスラッシュで囲みます。
ユーザーセッションの有効期限:
ユーザーセッションの有効期限を分単位で指定できます。
WordPress のデフォルト値を使用するには空のままにします。)
ダッシュボードでユーザーを並べ替える:
ダッシュボードでユーザーを登録日順で並び替えるかどうか。
サイトの整合性
セキュリティスキャナー
クイックスキャンもしくはフルスキャンを実行できます。
設定
カスタム署名:
カスタム PHP コードシグネチャを 1 行に 1 つ指定します。
REGEX パターンを指定するには、行全体を 2 つの中括弧で囲みます。
不要なファイル拡張子:
検索するファイル拡張子を指定します。
フルスキャンのみで指定可。カンマを使用すると複数指定可。
除外するディレクトリ
スキャンから除外するディレクトリを指定します。
1 行に 1 つの絶対パスを入力します。
新しいファイルを監視する:
新規ファイルが存在しないかをチェックするかどうか。
変更されたファイルを監視する:
変更されたファイルを監視するかどうか。
一時ディレクトリをスキャンする:
一時ディレクトリをスキャンするかどうか。
セッションディレクトリをスキャンする:
セッションディレクトリをスキャンするかどうか。
診断ログを有効化:
診断ログを記録するかどうか。
この後に隔離されたファイルを削除する:
スキャン後、隔離されたファイルを削除するまでの待機時間を日数単位で指定できます。
予約中
プロ版でのみの機能です。
クリーニング中
プロ版でのみの機能です。
リストを無視
実際にはスルーしたリストが表示されます。
検疫
スキャン時に引っかかったファイルが表示されます。
アンチスパム
アンチスパムエンジン
コメントフォーム:
ボット検出エンジンでコメントフォームを保護するかどうか。
登録フォーム:
ボット検出エンジンで登録フォームを保護するかどうか。
その他のフォーム:
ボット検出エンジンでウェブサイト上の全てのフォームを保護するかどうか。
セーフモード:
制限の少ないポリシーを使用する(AJAXを許可する)
ログインユーザー:
ログインしているユーザーにボット検出エンジンを無効にするかどうか。
クエリのホワイトリスト:
クエリ文字列またはクエリパスの一部を、1 行に 1 つ入力して、
ボット検出エンジンによる検査からリクエストを除外する際に使用します。
スパムコメントが検出された場合:
スパムコメントを検出した際の扱いを選択します。
スパムコメントを削除:
何日後にスパムコメントをゴミ箱に移動するかを指定できます。
reCAPTCHA
の使用を開始する前に、Google Web サイトでサイトキーとシークレットキーを取得する必要があります 続きを読む
サイトキー:
シークレットキー:
Google reCAPTCHA のサイトキーとシークレットキーを入力します。
隠し reCAPTCHA
Google Invisible reCAPTCHA を使用したい場合に有効にします。
Invisible 版のサイトキーとシークレットキーを取得&入力する必要があります。
WordPress と WooCommerce 標準の登録・・ログイン・パスワード再発行フォームを保護するかどうか。
コメントフォームとログインユーザーへの reCAPTCHA の有効・無効切り替えができます。
ロックアウトするまでの試行回数の設定を行います。
Cerber.Hub
複数のサイトを管理・運用している場合、
このプラグインの一元管理する際に使用します。
ツール
エクスポートとインポート
このプラグインの設定をインポート&エクスポートすることができます。
診断
診断用の各種システム情報などを確認できます。
ログ
ログの確認できます。
変更履歴
リリース開始からこれまでのプラグインの変更履歴を確認できます。
ライセンス
Pro 版のライセンスキーを入力します。