- BBQ(Block Bad Queries:ブロックバッドクエリ)ってどんなプラグイン?
- 無料版と有料版の違いは?
- BBQの設定方法は?
という人のために、プラグイン「BBQ(Block Bad Queries:ブロックバッドクエリ)」の特徴、無料版と有料版の違い、設定方法を、画像付きで解説します。
BBQはインストールするだけで、高度なファイアウォール(Wordfenceを超える攻撃ブロック数)をサイトに実装できます。
1.前提条件・事前準備・参考記事
WordPressのセキュリティに関しては、以下を参考にしてください。
- WordPress(サイト)運営者が知るべきサイバー攻撃の種類と対策
- WordPressのおすすめセキュリティ系プラグインを比較した結果【Cocoon】
- Googleアカウントの作成方法(データSIMだけでもOK)
- Wordfenceの(アン)インストール方法と最適な設定方法
- Wordfence Securityの全ての設定方法を3万文字で解説
- WordfenceとGoogle認証システムで2段階認証(2FA)を設定する方法
- Wordfenceの使い方、画面の見方を6万文字で解説
- XO Securityの設定方法
- SiteGuard WP Pluginの設定方法
- BBQ(Block Bad Queries:ブロックバッドクエリ)の設定方法
- Invisible reCaptcha for WordPressの設定方法【Google reCATCHA】
- ログイン(2段階認証)エラー対策【Invisible reCaptcha、Wordfenceの2FA、ConoHa WING】
- UpdraftPlus(アップドラフトプラス)の設定方法と使い方
2.BBQ(Block Bad Queries)とは
2-1.BBQ(Block Bad Queries)の特徴
BBQ(Block Bad Queries:ブロックバッドクエリ)とは、高速・高度なWordPressフィアウォールプラグインです。
特徴は以下です。
- プラグインをインストール、有効化するだけ
- バックグラウンドで実行し、サーバーのパフォーマンスとリソースを節約する
- Wordfenceと互換性がある
- Nginx(エンジンエックス)サーバーでも使える
- .htaccessファイルに変更を加えない
- WordPressのデータベースに変更を加えない
- 5Gブラックリスト2013、6Gファイアウォール2020の技術を搭載
- ホワイトリスト/ブラックリストプラグインを介してブロックされた文字列をカスタマイズする
- 様々な悪意のあるリクエストをブロック
- ディレクトリトラバーサル攻撃をブロック
- 実行可能ファイルのアップロードをブロック
- SQLインジェクション攻撃をブロック
- 全ての着信トラフィックをスキャンし、不正なリクエストをブロック
- GET、POST、PUT、DELETEなどの全てのタイプのリクエストをスキャン
SQLインジェクション(データベース不正操作)とXSS(ページ脆弱性攻撃)は、重大なサイト攻撃手法トップ10(OWASP(オワスプ)Top 10)にランクインしており、対策したい項目。
SQLインジェクションとXSS対策を無料で使えるのは、BBQだけです。
BBQはWordfenceとの併用を想定して作られているため、WordPressのセキュリティには欠かせない存在と言えます。
サイト攻撃のブロック数も、Wordfenceより多いとの報告があります。
総合セキュリティプラグイン「Wordfence」を主軸とした場合、補助としてBBQができることは、以下になります。
- SQLインジェクション、XSSなど、データベースに対する攻撃をブロックする
- その他、Wordfenceに足りない部分を保管する
2-2.無料版と有料版(BBQ PRO)の違い
有料版は、防御の可視化、高度なファイアウォール、カスタマイズができます。
攻撃のブロック状況を確認したいなら、有料版を購入しましょう。
また、ライセンスは買い切りです。
他のセキュリティにお金をかけているなら、BBQ PROに乗り換えると価格低減できます。
無料版と有料版(BBQ PRO)の違いは、以下になります。
特徴 | 無料 | PRO |
強力なファイアウォールセキュリティ | ◯ | ◯ |
インストール、有効化だけで機能 | ◯ | ◯ |
設定不要(設定しないと無料版と同じ) | ◯ | ◯ |
SSL / HTTPSで動作 | ◯ | ◯ |
WP対応サーバー(Apache(LiteSpeed互換)、 Nginx、Windowsなど)で動作 | ◯ | ◯ |
.htaccessを使わない | ◯ | ◯ |
BlackholeProが機能 | ◯ | ◯ |
カスタマイズできるファイアウォール | ☓ | ◯ |
高度なファイアウォールセキュリティ | ☓ | ◯ |
ブロックされたリクエストの電子メールアラートを送信 | ☓ | ◯ |
ルールをすばやく有効/無効にする | ☓ | ◯ |
ログインしたユーザーのBBQを無効 | ☓ | ◯ |
過度に長いリクエストをブロック(255文字以上) | ☓ | ◯ |
xml-rpcエクスプロイトから保護 | ☓ | ◯ |
IPアドレスまたはIPの範囲をブロック | ☓ | ◯ |
ユーザーIDフィッシングから保護 | ☓ | ◯ |
ブロックしたリクエストをリダイレクト(301または302コード) | ☓ | ◯ |
カスタムメッセージを表示 | ☓ | ◯ |
独自のステータスコード (301・302・403・404・444・503など)を設定 | ☓ | ◯ |
完全なインラインドキュメント | ☓ | ◯ |
ブロックされたリクエストの統計 | ☓ | ◯ |
オプションとパターンをリセットするためのツール | ☓ | ◯ |
5G / 6Gブラックリストを搭載 | ☓ | ◯ |
ルールを追加/編集/削除/無効化 | ☓ | ◯ |
ワンクリックパターンテスト | ☓ | ◯ |
IPホワイトリスト(自動で入る) | ☓ | ◯ |
広告なし | ☓ | ◯ |
有料版は、高度なファイアウォール設定が目的の1つです。
高度な設定は初期設定では無効なため、必要に応じて設定が必要です。
有料版(BBQ PRO)の費用は以下になります。(1ドル100円計算)
- 20ドル(2,200円)1サイト:個人
- 40ドル(4,400円)3サイト:ビジネス
- 80ドル(8,800円)10サイト:高度な
- 180ドル(19,800円)無制限:開発者
複数サイトを運営するなら開発者(DEVELOPER)を推奨。
一度払ってしまえば継続することはないので経済的です。
支払いはクレジットカード、ペイパルのどちらかです。
公式 有料版(BBQ PRO)購入ページ
2-3.WordPressのセキュリティにおすすめするプラグインの組み合わせ
WordPressのセキュリティにおすすめするプラグインの組み合わせは、以下になります。
Wordfenceをセキュリティの主軸とし、他のプラグインで補完します。
テーマはCocoonを使用した場合です。
- Wordfence Security – Firewall & Malware Scan:総合セキュリティ
- XO Security(またはSiteGuard WP Plugin):ログインセキュリティ、ワンタイムパスワード(2段階認証)遅延対策、等
- BBQ: Block Bad Queries:データベース不正操作対策
- Invisible reCaptcha for WordPress:スパム対策
- UpdraftPlus(アップドラフトプラス):バックアップ
WordPressのセキュリティに関するプラグインの比較、おすすめ、各種プラグイン設定のリンク集は、以下の記事を参考にしてください。
WordPressのおすすめセキュリティ系プラグインを比較した結果【Cocoon】
3.BBQ(Block Bad Queries)を設定する方法
3-1.BBQ(Block Bad Queries)をインストールして有効化する
BBQ(Block Bad Queries)をインストールします。
- 管理メニュー「プラグイン」>「新規追加」>「BBQ」を検索>「BBQ: Block Bad Queries(作者: Jeff Starr)」を「今すぐインストール」>「有効化」
以上で、BBQ(Block Bad Queries)のインストールと有効化は完了です。
3-2.BBQ(Block Bad Queries)の設定
プラグインをインストール、有効化するだけで、ファイアウォールは機能します。
特に設定する項目はありません(設定ページはありません)。
高度な設定をする、ブロックした内容を見る、などは有料版(BBQ PRO)のみの機能になります。
4.まとめ
総合セキュリティプラグイン「Wordfence」を主軸とした場合、補助としてBBQができることは、以下になります。
- SQLインジェクション、XSSなど、データベースに対する攻撃をブロックする
- その他、Wordfenceに足りない部分を保管する
サイト攻撃のブロック数はWordfenceを超えるとの報告もあります。
ぜひ、BBQ(Block Bad Queries)はインストールしておきましょう。