ワードプレス(WordPress)のセキュリティ対策プラグイン Defender Securityの設定方法と使い方を解説します。
- Defender Securityの使い方と詳細な設定方法がわかります
Defender Securityで実現できること
Defender Security – Malware Scanner, Login Security & FirewallはWordPressに有用なセキュリティ対策機能が1つのプラグインで賄えるプラグインです。
多機能なので、設定画面の項目数が多いですが、最低限必要な機能は初期ウィザードでボタンを1回クリックするだけで有効になります。
公式サイトにマニュアルが充実しているので各機能の意味や使い方が理解し易いです。
プラグインの設定画面も公式サイトもすべて英語ですがブラウザの翻訳機能を使えば問題ありません。
WPMU DEVというWordPressプラグインの開発とホスティングサービスを手掛けている会社によって開発されているので信頼性は高いです。
有料版はマルウェアの隔離機能やWebサイト(ブログ)変更時の監査ログを残す機能等が使えますが、無料版で使える機能のみでも問題なく利用できます。
なお、WAF(ウェブアプリケーションファイルウォール)機能はWPMU DEVのホスティングサービスを利用していないと使用できません。
Defender Securityの主な機能
Defender Security – Malware Scanner, Login Security & Firewallの無料で使える主な機能は次の通りです。
- 2段階認証(2要素認証):WordPressログイン画面にワンタイムパスワード入力機能を実装
- ファイアウォール機能:悪意のあるボットやユーザーエージェントがアクセスするのをブロック
- Google reCAPTCHA:ログイン画面や問い合わせ画面に人間検証システムを導入できる
- ログインURL変更:URL末尾に任意の文字列を追加
- ログイン試行回数制限:ログイン失敗が指定回数を超えると、そのIPアドレスからのログインを制限
これらの機能の詳細と設定方法は後述しています。
Defender Security Pro(有料版)で使える機能
Defender Securityの有料版の主な機能です。
- WAF (アプリケーションファイアウォール)※WPMU DEVのホスティングサービスで稼働しているサイトのみ利用可能
- 監査ログ (イベントのログを記録)
- googleなどからブロックの対象にされていないかチェック
有料版の各機能の詳細と料金は下記の公式サイトを参考にしてください↓
Defender Pro
Defender Securityのドキュメント
公式サイトのドキュメントに各機能の詳細が載っています↓
Defender Security公式サイトのドキュメント
Defender Securityのインストール方法
Defender SecurityをWordPressにインストールする方法を解説します。
- WordPressのダッシュボード(管理者画面)の「プラグイン」をクリックします
- 「新規プラグインを追加」をクリックします
- 検索ボックスに”Defender Security”と入力すると下に検索結果が表示されます
- ”Defender Security”の「今すぐインストール」ボタンをクリックします
↑Defender Securityのインストールが完了すると有効化ボタンが表示されるのでクリックします。
↑プラグインを有効化すると上記メッセージが表示されます。
↑これでDefender Securityのインストールと有効化は完了です。
Defender Securityの設定
プラグインを有効化するとダッシュボード(管理画面)の中に「Defender」が表示されます↓
Defender Securityプラグインの設定画面はダッシュボード(管理画面)の中の「Defender 」をクリックします。
初期設定ウィザード
プラグインを有効化後にするとDashboardの表示がDefenderになっており、そこをクリックすると初期設定ウィザードが表示されます。
↑データ収集の協力が表示されていますが、オンにしなくても先に進めます。
ACTIVATE&CONFIGURE(有効化と設定)ボタンを押すと、必須のセキュリティ機能が有効化されます。
Star from scratch(ゼロから始める)を選択すると手動で各機能を有効化する必要があります。
Defender Securityの設定項目
Defender Securityには下記の設定項目があります。
- Dashboard (ダッシュボード)
- Recommendations (推奨事項)
- Malware Scanning (マルウェアスキャン)
- Audit Logging (監査ログ)※有料版のみ
- Firewall (ファイアウォール)
- WAF (ウェブアプリケーションファイアウォール)※有料版のみ
- 2FA (2要素認証)
- Tools (ツール)
- Notifications (通知)
- Settings (設定)
- Tutorials (チュートリアル)
Dashboard (ダッシュボード)
↑一番上にはマルウェアスキャンでピックアップされたセキュリティの問題数が表示されます。その下はチュートリアルの外部リンクです。
このダッシュボード画面では各セキュリティ機能の状態が一覧で表示されます。
Recommendations (推奨事項)
↑推奨のセキュリティ設定がWebサイト(ブログ)に施されているかをチェックし、もし設定が施されていない場合は、Recommendations(推奨事項)に表示され、自動で推奨設定に変更できる場合はボタンをクリックするだけで済みます。
サーバー環境によっては、手動で設定を適用しないといけない場合もあります。
Malware Scanning (マルウェアスキャン)
↑WordPress公式のコアファイル以外の疑わしいと判断されたファイルが表示されます。
セキュリティの脆弱性が懸念されるファイルの表示と、隔離は有料版でしか利用できません。
Malware Scanning(マルウェアスキャン)には下記項目の画面があります。
- Issues (問題)
- Quarantined (隔離)※有料版のみ
- Ignored (無視)
- Settings (設定)
Settings(設定)の設定項目
設定項目 | 説明 | 初期設定/選択肢 |
---|---|---|
Scan Types (スキャンの種類) | デフォルトのスキャンに含めるスキャン タイプを選択 | ・ファイル変更検出 ∟ コアファイルをスキャン(デフォルト) ∟プラグインファイルをスキャン・既知の脆弱性 ・疑わしいコード |
Scheduled Scanning (スケジュールスキャン) | 定期的なスキャンを自動的に実行 | 有料版の機能 |
Max included file size (含まれるファイルの最大サイズ) | このサイズより大きいファイルをスキップします。この数値が小さいほど、システムをスキャンする速度が速くなります | 10MB |
Quarantine settings (検疫設定) | 隔離ファイルを保持する期間を選択します。この期間が過ぎるとファイルは自動的に削除されます | 有料版の機能 |
Audit Logging (監査ログ) ※有料版のみ
↑Audit Logging(監査ログ)は無料では使用できません。有料版のみの機能です。
Firewall (ファイアウォール)
ファイアウォールには下記の7項目の画面があります。
- Login Protection (ログイン保護)
- 404 Detection (404検出)
- IP Banning (禁止IP)
- Global IP Blocker (グローバルIPブロッカー)
- User Agent Banning (禁止ユーザーエージェント)
- Logs (ログ)
- Settings (設定)
Login Protection (ログイン保護)の設定項目
Login Protection (ログイン保護)はログイン試行が一定回数失敗するとユーザーをロックアウトします。
設定項目 | 説明 | 初期設定 |
---|---|---|
Threshold (しきい値) | 特定の期間内に何回ログインに失敗するとロックアウトがトリガーされるかを指定 | 300秒間に5回 |
Duration (間隔) | ロックアウトされたユーザーを禁止する期間を選択 | 300秒 ※永久も指定可能 |
Message (メッセージ) | ロックアウトされたユーザーに表示されるメッセージをカスタマイズ | You have been locked out due to too many invalid login attempts. |
Banned usernames (禁止されたユーザー名) | 指定したユーザー名でログインしようとすると、自動的にロックアウト | 無し |
404 Detection (404検出)の設定項目
404 Detection (404検出)を有効にすると、存在しないページを繰り返し要求するIPアドレスからのアクセスを一時的にブロックします。
設定項目 | 説明 | 初期設定 |
---|---|---|
Threshold (しきい値) | 同じファイルまたはページでロックアウトをトリガーする404ヒットの数を指定 | 300秒間に20ヒット |
Duration (間隔) | ロックアウトされたユーザーを禁止する期間を選択 | 300秒 ※永久も指定可能 |
Message (メッセージ) | ロックアウトされたユーザーに表示されるメッセージをカスタマイズ | You have been locked out due to too many attempts to access a file that doesn`t exist. |
Files, folders and file types (ファイル、フォルダ、ファイルの種類) | ユーザー/ボットによるアクセスを自動的に禁止、または許可する特定のファイル、フォルダー、ファイルタイプを選択 | 無し |
Exclusions (除外事項) | ログインしたユーザーの404を監視する場合は有効にします | ログインしたユーザーの404を監視しない |
IP Banning (禁止IP)の設定項目
アクセスを永久にロックアウトしたいIPアドレスまたは国/地域を選択します。
設定項目 | 説明 | 初期設定 |
---|---|---|
IP Addresses (IPアドレス) | IPアドレスをブロックリストまたは許可リストに追加して、永久にブロックするか、常にアクセスを許可 | 無し |
Active Lockouts (現在ブロックされているIPアドレス) | ロックアウトルールに従って、アクセスが一時的にブロックされているIPアドレスを表示。ここで、ブロックを解除可能 | – |
Locations (場所) | 特定の国/地域からのハッカーやボットからのアクセスを禁止 | アカウント登録とライセンスキーが必要 |
Message (メッセージ) | ロックアウトされたユーザーに表示されるメッセージをカスタマイズ | The administrator has blocked your IP from accessing this website. |
Import (インポート) | 違うWebサイトからブロックリストと許可リストをインポート | – |
Export (エクスポート) | 違うWebサイトで使用できるように、ブロックリストと許可リストをエクスポート | – |
Global IP Blocker (グローバルIPブロッカー)
グローバルIPブロッカーを利用する場合はアカウント登録が必要です。
当機能を有効にすると、ハブからグローバル IP 許可リスト/ブロックリストを直接効率的に管理できます。
User Agent Banning (禁止ユーザーエージェント)の設定項目
悪意のあるボットやユーザーエージェントがアクセスするのをブロックします
設定項目 | 説明 | 初期設定 |
---|---|---|
User Agents (ユーザーエージェント) | ユーザー エージェントをブロックリストまたは許可リストに追加して、永続的にブロックするか、アクセスを常に許可する | ブロックリスト: MJ12Bot AhrefsBot SEMrushBot DotBot許可リスト: a6-indexer adsbot-google aolbuild apis-google 他多数 |
Message (メッセージ) | ロックアウトされたユーザーに表示されるメッセージをカスタマイズ | You have been blocked from accessing this website. |
Empty Headers (空のヘッダー) | 空のReferer ヘッダーとUser-Agentヘッダーを含むPOSTリクエストを送信するIP アドレスをブロック | 無効 |
Import (インポート) | 違うWebサイトからブロックリストと許可リストをインポート | – |
Export (エクスポート) | 違うWebサイトで使用できるように、ブロックリストと許可リストをエクスポート | – |
Logs (ログ)
ロックアウトしたログの一蘭を時系列でリスト表示します。
ここからIPアドレスとユーザーエージェントを許可リストやブロックリストに追加できます。
Settings (設定)の設定項目
設定項目 | 説明 | 初期設定と選択肢 |
---|---|---|
Detect IP Addresses (IPアドレスを検出する) | プラグインがサイト訪問者のIPアドレスを検出するために使用する方法を選択 | 自動(デフォルト) or 手動IP検出 |
Clear Temporary IP Block List (一時IPブロックリストをクリア) | 一時IPブロックリストを自動的にクリアする頻度を選択 | しない(デフォルト) or 毎日 or 毎週 or 毎月 |
Logs Storage (ログ保存) | イベントログは、読み込み時間を短縮するためにローカルサーバーにキャッシュされます。ローカルに保存するイベントログの日数を選択 | 30日 |
Delete logs (ログを削除する) | 現在のログを完全に消去 | – |
Delete lockouts (ロックアウトを削除する) | ロックアウトテーブル内のすべてのレコードを削除 | – |
WAF (ウェブアプリケーションファイアウォール)※有料版のみ
↑Audit Logging(監査ログ)は無料では使用できません。有料版のみの機能です。
2FA (2要素認証)
設定項目 | 説明 | 初期設定 |
---|---|---|
User Roles (ユーザーロール) | 2 要素認証を有効にするユーザーロールを選択 | 全ロール |
Force Authentication (強制認証) | デフォルトは、2要素認証はオプションです。オンにすると2要素を強制的に有効にすることができます | オフ ※オンにすると強制したいロールを選択できる |
App Title (アプリタイトル) | このWebサイトのAuthenticatorアプリに表示されるタイトルをカスタマイズ | Webサイトのタイトル |
Custom Graphic (カスタムグラフィック) | デフォルトでは、Defenderのアイコンが2要素認証のログインフィールドの上に表示。オンにすると独自のブランドをアップロード可能 | オフ(デフォルト)※オンは有料版の機能 |
Emails (メール) | 2要素認証機能がユーザーに送信する電子メールの記載内容をカスタマイズ | – |
App Download (アプリのダウンロード) | 公式のiOSおよびAndroid認証アプリケーションへのリンク | – |
WooCommerce (ウーコマース) | 有効にすると、ユーザーはWooCommerceのマイアカウントページから2要素認証を構成できるようになります | – |
Active Users (アクティブユーザー) | 2要素認証を有効にしているユーザーを表示 | – |
Tools (ツール)
Tools(ツール)には下記の5つの設定画面があります。
- Mask Login Area (マスクログインエリア)
- Security Headers (セキュリティ ヘッダー)
- Pwned Passwords (盗まれたパスワード)
- Password Reset (パスワードのリセット)
- Google reCAPTCHA
Mask Login Area (マスクログインエリア)の設定項目
WordPressログインURLを変更して、ハッカーやボットから隠します。
設定項目 | 説明 | 初期設定 |
---|---|---|
Masking URL slug (URLスラッグのマスキング) | デフォルトのwp-adminまたはwp-loginのログイン画面URLを変更 | オフ |
Redirect traffic (トラフィックをリダイレクトする) | 404 を回避するために、デフォルトの WordPress ログイン URL にアクセスしようとする訪問者とボットを別の URL に送信します | オフ |
Security Headers (セキュリティ ヘッダー)の設定項目
セキュリティヘッダーを有効にすることで、Webサイトのセキュリティを強化します
設定項目 | 説明 | 初期設定 |
---|---|---|
X-Frame-Options (X-フレームオプション) | X-Frame-Options HTTP 応答ヘッダーは、ブラウザが <frame>、<iframe>、または <object> タグ内の Web ページをレンダリングできるかどうかを制御します。Web サイトは、コンテンツが他の Webサイトに埋め込まれないようにすることで、クリックジャッキング攻撃を回避できます | オフ |
X-XSS-Protection(X-XSS 保護) | Chrome、IE、Safariで反射型クロスサイトスクリプティング(XSS)攻撃を検出したときにページの読み込みを停止するHTTP X-XSS-Protection応答ヘッダー | オフ |
X-Content-Type-Options (X-コンテンツタイプオプション) | X-Content-Type-Optionsヘッダーは、MIME スニッフィング攻撃から保護するために使用されます。最も一般的な例は、Web サイトでユーザーがWeb サイトにコンテンツをアップロードできるようにしているが、ユーザーが特定のファイルタイプを別のファイルタイプとして偽装している場合 | オフ |
Strict Transport (厳格な輸送) | HTTP Strict-Transport-Security応答ヘッダー(HSTS)を使用すると、Webサイトはブラウザに対して、HTTPではなく HTTPS のみを使用してアクセスするように指示できます。これは、電子商取引ストアなどの機密情報を保存および処理するWebサイトにとって非常に重要であり、プロトコル ダウングレード攻撃やクリックジャッキング攻撃を防ぐのに役立ちます | オフ |
Referrer Policy (リファラーポリシー) | Referrer-Policy HTTPヘッダーは、ユーザーが別のページまたはリンクにつながるリンクをクリックしたときに、リファラー情報をどのように処理するかをブラウザに指示します。リファラーヘッダーはWebサイトの所有者にインバウンド訪問者の出所を指示します (Google Analytics の獲得レポートと同様)。ただし、場合によっては、ヘッダー内のリファラー情報を制御または制限する必要があります | オフ |
Permissions-Policy (権限ポリシー) | Permissions-Policy応答ヘッダーは、Web ページがiframeに埋め込まれているときに使用できるブラウザ機能を制御 | オフ |
Pwned Passwords (盗まれたパスワード)の設定項目
パスワードの漏洩による侵入のリスクからサイトを保護します。
デフォルトのログインまたは登録フォームに入力されたすべてのパスワードは、公開されているパスワードデータベースと照合され、既知のデータ侵害に使用されていないことが確認できます。
設定項目 | 説明 | 初期設定 |
---|---|---|
User Roles (ユーザーロール) | 漏洩したパスワードチェックを有効にするユーザーロールを選択。管理者ロールはデフォルトで有効になっており、無効にできません | 全ユーザーロールで有効 |
Force password change (パスワードの変更を強制する) | パスワード強制リセット時に表示されるメッセージす | You are required to change your password because the password you are using exists on database breach records. |
Password Reset (パスワードのリセット)の設定項目
セキュリティ侵害が発生した場合、次回ログイン時にユーザーにパスワードの変更を強制します。
設定項目 | 説明 | 初期設定 |
---|---|---|
User Roles (ユーザーロール) | セキュリティ侵害があった場合にパスワードリセットを有効にするユーザー ロールを選択 | 全ユーザーロールで有効 |
Message (メッセージ) | パスワードリセットが強制されたときにユーザーに表示されるメッセージをカスタマイズ | You are required to change your password to a new one to use this site. |
Google reCAPTCHAの設定項目
セキュリティヘッダーを有効にすることで、Webサイトのセキュリティを強化します
設定項目 | 説明 | 初期設定 |
---|---|---|
Configure reCAPTCHA (reCAPTCHAを設定する) | フォームで使用するreCAPTCHA タイプを選択し、プラグイン全体で使用するサイト キーとシークレット キーを入力。検証が失敗するスコアを選択 | V2チェックボックス or V2インビシブル or V3 スコア:0.5 |
Language(言語) | デフォルトでは、reCAPTCHAはWebサイトの言語で表示 | 自動 |
Error Message (エラーメッセージ) | reCAPTCHA検証が失敗したときに表示するエラーメッセージをカスタマイズ | reCAPTCHA verification failed. Please try again. |
reCAPTCHA Locations (reCAPTCHAの場所) | reCAPTCHA人間検証システムを導入するフォームを選択 | 全てオフ |
WooCommerce | WooCommerceストアページの訪問者を検証するには、reCAPTCHAを有効にします | オフ |
BuddyPress | BuddyPressページの訪問者を検証するには、reCAPTCHA を有効にします | オフ |
Disable for logged in users (ログインしたユーザーに対して無効にする) | ログインしたユーザーはreCAPTCHA を無効にする | オン |
Notifications (通知)
↑通知とレポートを1か所で有効化およびスケジュール設定できます。
カスタマイズされたセキュリティレポートが受信トレイに配信されます。
設定項目 | 説明 | 初期設定 |
---|---|---|
Security Recommendations – Notification (セキュリティ推奨事項 – 通知) | セキュリティ推奨事項を修正する必要がある場合は、メール通知を受け取る | 無効 |
Malware Scanning – Notification (マルウェアスキャン – 通知) | 手動のマルウェア スキャンを完了したときに電子メール通知を受け取る | 無効 |
Firewall – Notification (ファイアウォール – 通知) | ログイン領域にアクセスしようとしたユーザーまたはIPがロックアウトされたときにメールを受け取る | 無効 |
Malware Scanning -Reporting (マルウェアスキャンレポート) | Webサイトの定期的なスキャンを自動で実行し、レポートをメールで送信 | 有料版の機能 |
Firewall-Reporting (ファイアウォールレポート) | ロックアウトレポートを自動的にメールで送信 | 有料版の機能 |
Audit Logging-Reporting (監査ログレポート) | Webサイトの全てのイベント概要を自動的にメールで送信 | 有料版の機能 |
Settings (設定)
Settings(設定)には下記の5つの設定画面があります。
- General (一般)
- Configs (構成)
- Data & Settings (データと設定)
- Accessibility (アクセシビリティ)
General (一般)の設定項目
一般の設定項目は翻訳言語だけです。
設定項目 | 説明 | 初期設定 |
---|---|---|
Masking URL slug (翻訳) | デフォルトはサイトの管理設定で設定された言語を使用 | – |
Configs (構成)の設定項目
設定をダウンロードして他のサイトで利用できます。
設定項目 | 説明 | 初期設定 |
---|---|---|
Masking URL slug (基本設定) | プリセットされた基本設定を読み込んで適応することができる。または現在の設定をダウンロードしてファイル保存できる | – |
Data & Settings (データと設定)の設定項目
当プラグインがリセットされたりサイトから削除されたりした場合、設定とデータの状態を指定できます。設定は各モジュールの構成オプションです。データにはログ、統計、時間の経過とともに保存される情報が含まれます。
設定項目 | 説明 | 初期設定 |
---|---|---|
Masking URL slug (アンインストール) | 当プラグインをアンインストールする場合、設定と保存されたデータをどうするか指定 | 設定:保存する データ:保存する |
Accessibility (アクセシビリティ)の設定項目
プラグインインターフェイスで利用可能なアクセシビリティ拡張機能のサポートを有効にします
設定項目 | 説明 | 初期設定 |
---|---|---|
Masking URL slug (ハイコントラストモード) | WCAG AAA要件を満たすために、当プラグインのインターフェースの要素とコンポーネントの可視性とアクセシビリティを向上させる | オフ |
Tutorials (チュートリアル)
↑公式サイトのサポートページへの外部リンクが表示されます。
2要素認証(2段階認証)
ワンタイムパスワード生成にPC版のGoogle Authenticatorを使った場合の2要素認証(2段階認証)設定方法を解説します。
設定方法は下記の手順になります。
- Google Authenticatorをchromeの拡張機能に追加してブラウザのタスクバーにピン止め表示する
- 2FAのProfile pageのリンクをクリックして、ユーザーのプロフィール画面下のTwo-Factor Authenticationの2FA Methodを選択してGoogle Authenticatorに紐づける
①のGoogle Authenticatorをchromeの拡張機能に追加する手順は下記の記事を参考にしてください↓
①が完了したら、②のDefender SecurityプラグインをGoogle Authenticatorに登録して紐づけます。
Defender SecurityプラグインをGoogle Authenticatorに登録(紐づけ)
↑WordPressのユーザープロフィール画面最下段にある2FA MethodのTOTP Authenticator Appを有効にします。
次に、Google Authenticatorで画面に表示されたQRコードをマウス操作で囲んでスキャンします。
サイトを読み込みしますか?のポップアップが表示されるので”再読み込み”をクリックします。
WordPressログイン画面のワンタイムパスワード入力画面
↑通常のユーザ名とパスワードを入力するWordPressログイン画面で認証後に、このワンタイムパスワード入力画面が表示されます。
Google Authenticatorで生成表示された6桁のパスワードをコピペして”Authenticate”ボタンをクリックすればログインできます。
当方の環境では2FA Methodは”TOTP Authenticator App“1つだけだとワンタイムパスワード入力フォームが表示されない不具合が発生しログインできなくなりました。
解決策として、”Backup Codes“と”Fallback Email“の2つを追加して合計3つの認証方式を有効にすることでワンタイムパスワード入力フォームが表示されるようになりました。
もし、何かしらの不具合が発生してログインできなくなった場合は、サーバーのファイルマネージャー(エックスサーバの場合)でドメイン/public_html/wp-contnet/plugins/defender-securityのディレクトリ(フォルダ)名をdefender-security-等に変更するとDefender Securityプラグインが無効になるので、通常の認証方式のみでログインできるようになります。
実際にDefender Securityを使った感想とメリットデメリット
実際にDefender Securityを使ってみた感じたメリットとデメリットです。
Defender Securityのメリット
- 無料版でも必要十分なセキュリティ機能が利用できる
- 404エラー検出ロックアウト機能が使える
- 複数の2要素認証の方式を有効化できる
- 公式サイトにドキュメントが充実しているので各種設定の意味と機能が理解し易い
無料版でも必須のセキュリティ機能が過不足なく使えることが大きなメリットです。
404エラー(存在しないページへアクセスしたときに表示されるHTTPステータスコード)を繰り返すアクセスをブロックできる機能が使えるので、サーバーリソースの節約になります。
Authenticatorアプリケーション以外の、2要素認証用セキュリティUSBデバイスの指キー(Yubiky)を使えたり、電子メールも認証に使えます。
Defender Securityのデメリット
- 設定が細かいので時間が掛かり、やや敷居が高い
- 2要素認証方式が”TOTP 認証アプリ”1つだけだとワンタイムパスワード入力フォームが表示されない不具合が発生した
- 80%OFFといった有料版バーナーのアピールが目につく
2要素認証のワンタイムパスワード入力フォームが表示されず、ログインできなくなる不具合に遭いました。他のプラグインとの競合やサーバー環境が原因かもしれませんが、他のセキュリティ対策プラグインの2要素認証機能では発生しなかったので、それらと比較すると、安定性と信頼性に欠ける印象が強いです。
それに加えて、ある程度のWeb知識がないと、機能の多さも仇となって、使い難い印象を受けるかもしれません。
まとめ
Defender Securityは2要素認証やreCAPTCHAなどの有用なセキュリティ対策機能が1つのプラグインで賄えることが特長です。
細かいカスタマイズが可能なので、ある程度慣れた人にとっては使い易く、痒い所に手が届く機能が備わっている印象が強いです。
柔軟に設定をカスタマイズできる利点は魅力的ですが、いっぽうで、やや設定の項目数が多く、敷居が高くやや面倒に感じる箇所があります。
例えば、ワンタイムパスワード入力フォームが表示されない不具合でログインできなくなり、複数の2要素認証の方式を選択することで改善したということが起きました。
他の有名セキュリティ対策プラグインと比べると、安定感に欠けているため、トラブル時の解決方法を自力で調査できる人以外は利用するのは避けたほうが無難かもしれません。
とはいえ、不正アクセスを防ぐ実用的な機能が不足なく、複数備わっている唯一無二のセキュリティ対策プラグインなので、ある程度慣れている人には非常におススメです。