AWS WAFにWordPress用のManaged Rulesを比較

AWS WAFにWordPress用のルールを設定してみるの記事でAWS WAFのManagaed Rulesを紹介していました。

Trend Micro Managed Rules for AWS WAFを使用していましたが、2020年5月25日にサポートが終了してしまいました。

今回は代わりになるWAFのManagaed Rulesを探したいと思います。

Managaed Rules

AWS Marketplace で探しました。

WordPressを保護してくれるManagaed Rulesは4つ見つかりました。
(他にもあるかもしれませんが、今回は見つかった4つを紹介します)

COG – WordPressTrustwave Managed Rules for AWS WAF – CMS Virtual PatchesCyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set-Cyber Security Cloud Managed Rules for AWS WAF Classic -OWASP Set-
AWS MarketplaceのリンクAWS MarketplaceのリンクAWS MarketplaceのリンクAWS Marketplaceのリンク
$0.058/hr(t3.micro)$15/unit$25/unit$25/unit

1つ目のCOG以外は月額料金です。
COGはインスタンスのタイプによって料金が違うので、今回はt3.microの料金を載せました。

COG -Wordpress

COGは月額料金を計算すると結構高くなるので、今回は候補から外しました。

Trustwave Managed Rules for AWS WAF – CMS Virtual Patches

CMSを保護してくれるWAFです。

Cyber Security Cloud Managed Rules for AWS WAF

Cyber Security Cloud Managed Rules for AWS WAF –HighSecurity OWASP Set- と
Cyber Security Cloud Managed Rules for AWS WAF –Classic OWASP Set- の2つがあり、どちらが良いのか悩みました。
料金が変わらないのであれば、HighSecurityのほうが良さそうだなぁと漠然と考えていました。
Cyber Securityのホームページをみると、HighSecurityのほうのリンクに飛ぶので、HigeSecurityの方を候補に入れます。

こちらはwebアプリケーションの脆弱性をOWASP Top 10に準拠したセキュリティ対策をしてくれるものです。

OWASPとは

OWASP(Open Web Application Security Project:オワスプ)とは、Webセキュリティのプロフェッショナルたちがボランティアとして所属・活動しているセキュリティ団体です。世界中のセキュリティに関する調査を行ったり、調査結果を公開し、啓発活動を実施している団体です。2001年に設立され、現在では世界中で活動しています。 OWASP TOP 10 とは? 初心者にもわかりやすく解説

リンク先にTOP10がなにを表すかが書かれています。
セキュリティ団体の発見した脆弱性などに基づいて、対処してくれるもののようです。

なににしたか

4つの中からWordPressを保護するには Trustwave Managed Rules for AWS WAF – CMS Virtual Patches が良いと判断しました。
Trustwave Managed Rules for AWS WAF – CMS Virtual Patches の設定方法などは別記事にします => 作成中