WordPressのセキュリティを設定・強化したい方におすすめのプラグインが「XO Security(エックスオー セキュリティ)」です。
XO Securityは簡単な設定でセキュリティ強化することができますが、設定項目が多いので、何を設定したら良いのか、どれを有効にしたら良いのか初心者では分からないと思います。
この記事が参考になる人
- WordPressのセキュリティ対策をしたい
- XO Securityの設定方法をしりたい
- XO Securityでトラブルがあったときに対応を知りたい
ホームページにしても、ブログにしても、WordPressを利用しているのであれば、ハッキングや情報流出・不正アクセスなど様々なリクスがあります。そのため、できる限りのセキュリティ対策をしておくといいです。
XO Securityとは
XO Securityは、ログインやコメント関連のセキュリティを強化できるプラグインです。
「XO Security」の主な機能
- ログイン試行回数制限
- ログインページのURL変更
- ログイン ID の種類をメールアドレスまたはユーザー名に指定
- ログイン時にアラートメール送信
- CAPTCHA画像認証の追加
- WordPressを遠隔リモート操作を無効化
- スパムコメントからの保護
- 外部から確認できる情報を秘匿
設定画面は、英語表記のものも多く、英語が苦手な人でも分かりやすい日本語表示です。
設定は簡単ですが、何にチェックを入れたほうがよいのか初心者には分かりにくいため、どんな役割があるのか解説しますので必要に応じてチェックしましょう。
XO Securityをインストールする
- 【プラグイン】→【新規プラグインを追加】をクリックする
- 「プラグインの検索」に【XO Security】を入力して検索する
- 「XO Security」の【今すぐインストール】→【有効化】の順にクリックする
XO Securityの設定方法
有効化が終わったら【設定】→【XO Security】をクリックして、XO Security設定画面を開きます。
設定画面を開くと、ステータス・ログイン・コメント・XML-RPC・REST API・秘匿・環境というタブがありますので、解説していきます。
ステータス
デフォルトでは、「ログインログ記録」にしかチェックが入っていません。ログインタブなど、それぞれのタブで設定するとチェックが表示され、現在設定されているセキュリティーを確認することができます。
ログイン
この「ログイン」タグでは、WordPressの管理画面にログインするときのセキュリティー強化をするための設定が可能です。
| 設定項目 | 説明 |
|---|---|
| 【必須】試行回数制限 | WordPressへのログイン試行回数を制限することができます。 サイトへの総当たり攻撃へのセキュリティー対策ができます。 「1時間」または「12時間」にして、「3」~「5」回までリトライ可能にしておくと良いです。 →「1時間」で「3」までリトライ可能に設定 |
| ブロック時の応答遅延 | 特定のユーザーが一定回数以上誤ってパスワードを入力するとアクセスが一時的に制限される仕組みです。 不正な試行や攻撃が連続して行われても応答遅延でブロックすることができます。 0秒から120秒の間で設定できます。 →「120秒」に設定 |
| 失敗時の応答遅延 | ログインに失敗したときに次の応答までの時間を送らせれることができます。 0秒から10秒の間で設定できます。 →「10秒」に設定 |
| 【必須】ログインページの変更 | ログインページのURLを変更します。 デフォルトは「https://ドメイン名/wp-admin/」です。変更しなければログインページに誰もがアクセスできてしまいます。 →設定を【ON】にして、「ログインファイル」に任意のファイル名を入力することで、ログインページのURLを変更できます。 |
| 【必須】ログインIDの種類 | ログイン時に使用するIDの種類を「ユーザー名またはメールアドレス」「ユーザー名のみ」「メールアドレスのみ」の3つから選べます。 →メールアドレスは特定される可能性があるので、「ユーザー名のみ」に設定 |
| ログイン言語制限 | ログインするときの言語を制限します。 →PHPの編集が必要で初心者には難しいため、設定は不要 |
| ログインエラーメッセージ | エラー時に存在するユーザー名が表示されるのを防ぐための設定です。 →「簡略化」に設定 |
| 【必須】CAPTCHA | CAPTCHA(画面認証)を表示することができる設定で、「無効」「英数字」「ひらがな」から選択できます。 画面認証を表示することで、ロボットによる不正ログインを防ぎます。 →海外からの不正アクセスに有効な「ひらがな」に設定 |
| パスワードリセットリンク | 「パスワードをお忘れですか?」のリンクを表示するか、非表示にするかを設定します。 →任意ですが「有効」に設定 |
| サイトへ移動リンク | 自サイトへ移動のリンクを表示するかを設定します。 →任意ですが「有効」に設定 |
| ログインアラート | ログインしたときに、WordPressの管理者メールアドレス宛にログイン情報の通知設定ができます。 →任意ですが「ON」に設定 |
当サイトの設定は、黄色いマーカーが引かれている部分の設定にしています。
【ログインエラーメッセージ】
左側がデフォルトの状態、右側が簡略化に設定した状態です。
デフォルトの状態だと、入力したユーザー名が登録されているものかどうかが表示されてしまうため、万が一、ユーザー名が一致してしまうとユーザー名が漏れてしまう可能性があります。そのため、設定で簡略化することで入力したユーザー名が登録されているかどうか分からないエラー表示にします。
【CAPTCHA】
CAPTCHA(画面認証)で「ひらがな」を設定すると、ログイン画面のパスワードのしたに「CAPTCHAコード」が表示されます。表示されている「ひらがな」を入力して【ログイン】ボタンをクリックしないとログインできません。
コメント
| 設定項目 | 説明 |
|---|---|
| CAPTCHA | CAPTCHA(画面認証)を表示することができる設定で、「無効」「英数字」「ひらがな」から選択できます。 画面認証を表示することで、ロボットによる不正ログインを防ぎます。 →海外からの不正アクセスに有効な「ひらがな」に設定 |
| スパム保護フィルター | 外国語のみのコメントを制限します。 →設定を【ON】 |
| スパムコメント | スパムコメントの処理を「ブロックする」「スパムとして保存する」「ゴミ箱に入れる」から選択します。 →任意ですが「ブロックする」に設定 |
| ボット保護チェックボックス | コメント欄に「私はロボットではありません」というチェックボックスを設定します。 →設定を【ON】 |
コメント欄のセキュリティー対策を何重にも設定できます。ただ、「CAPTCHA」と「ボット保護チェックボックス」の両方を設定するとユーザーは面倒に感じるかも知れません。まずは、どちらか一方だけ設定して様子を見るといいです。
XML-RPC
XML-RPCとは、管理画面にログインしないでリモートで遠隔操作するための仕組みです。総当たり攻撃やDoS攻撃などのサイバー攻撃に悪用されることがある機能です。
| 設定項目 | 説明 |
|---|---|
| XML-RPCの無効化 | XML-RPCの機能を無効化します。 無効にするとプラグインが作動しなくなることがありますので注意が必要です。 →デフォルトのまま「OFF」に設定 |
| XML-RPCピンバックの無効化 | 他のサイトにURLが掲載されると通知が届くのを無効化する設定です。 →「ON」に設定 |
XML-RPC
REST APIとは、WEB上で情報をやり取りするための方法のひとつです。プログラムやサービス同士が効果的にコミュニケーションを取ることができるようになる仕組みです。簡単に言うと、WEB上で情報を読み取ったり書き込んだりするための取り決めのようなものです。
XML-RPCと同じように、悪用されるとサイトの改ざんや情報漏えいに繋がる恐れがあります。
ただ、プラグインでも利用している仕組みなので、必要最低限の制限で問題ありません。
| 設定項目 | 説明 |
|---|---|
| REST APIの無効化 | REST APIの機能を無効化します。 無効にするとプラグインが作動しなくなることがありますので注意が必要です。 デフォルトのまま「OFF」に設定でも大丈夫ですが、ユーザー名の秘匿性を強化しておくといいです。 →「ON」に設定して、以下の2つの項目にチェックを入れます。 /wp/v2/users /wp/v2/users/(?P[\d]+) |
| REST API URLの変更 | WordPressのREST APIにアクセスするためのURLを変更します。 →デフォルトのまま「OFF」に設定 |
秘匿
WordPressで利用されている情報を隠すための設定ができます。
| 設定項目 | 説明 |
|---|---|
| 投稿者スラッグの編集 | 投稿者アーカイブ(著者ページ)のURLはユーザー名が表示されます。 そのユーザー名がログインIDに使用されている場合、簡単にユーザー名が分かってしまいます。 そのユーザー名を変更するための設定です。 →「ON」に設定 ※「ON」にすると、【ユーザー】→【プロフィール】に「投稿者スラッグ (Nicename)」が追加され、任意の文字列を入力することで秘匿化できます。 |
| 投稿者アーカイブの無効化 | 投稿者アーカイブ(著者ページ)の投稿をまとめたページを無効化します。 →投稿者が一人で、投稿者アーカイブを使用しないときは「ON」に設定 |
| コメント投稿者クラスの削除 | コメント欄に含まれるユーザー名を削除します。 →ユーザー名を隠したい場合は、「ON」に設定 |
| oEmbed ユーザー名の削除 | oEmbed JSONデータの中に含まれるユーザー情報を削除します。 →「ON」に設定 |
| RSS/Atom フィードの無効化 | フィードを無効化します。 【設定】→【表示設定】の「フィードを各投稿に含める内容」で「抜粋」を選んでいる場合は、デフォルトのまま「OFF」設定で問題ありません。 |
| バージョン情報の削除 | 利用しているWordPressのバージョンを削除します。 バージョンが確認できると弱点(脆弱性)をつかれてしまうことがあります。 →「ON」に設定 |
環境
| 設定項目 | 説明 |
|---|---|
| IP アドレス取得方法 | IPアドレスの取得方法を選択できます。 →デフォルトのまま「自動」に設定 |
| ログイン情報ウィジェット | サイトへのダッシュボードにユーザー名を表示します。 →デフォルトのまま「有効」に設定 |
| 自動削除 | ログインログ(履歴)の保存期間を指定します。 →→デフォルトのまま「365日以前」に設定 |
| デフォルトで表示する結果 | ログインログの成功・失敗に関する情報を表示するか設定します。 →→デフォルトのまま「すべての結果」に設定 |
XO Securityのトラブル対策
ログインできない
「XO Security」を利用すると、WordPressの管理画面にログインできないときがあります。そのときは、XO Securityを一旦無効化します。
無効化するには、FTPソフトやレンタルサーバーのファイルマネージャーでサーバーディレクトリにアクセスして作業します。
- FTPソフトやレンタルサーバーのファイルマネージャーでサーバーディレクトリにアクセスする。
- XO Securityファイルがある場所まで行く→【/サイト/public_html/wp-content/plugins/xo-security】
- ファイル名「xo-security」を「xo-security1」などに変更する。
これで、「XO Security」プラグインが無効化される。 - ログイン画面を開き、管理画面に入る。
- ログインできたら、STEP3のファイル名を「xo-security」に修正する。
- 「XO Security」の設定を確認・変更する。
404エラーページが表示される
ログインページにアクセスすると「404エラーページ」が表示されたとき、「XO Security」の「ログイン」タブの「ログインページの変更」で入力した変更後のURLになっているか確認しましょう。
404エラーページは、アクセスしているURLが間違っている場合に表示されます。
もし、ログインURLが正しい場合は、上記の「ログインできない」の手順でプラグインを無効化してログインして、「ログインページの変更」の入力値を確認・変更してみて、再度ログインを試してください。
レンタルサーバーのセキュリティー
当サイトが使用しているエックスサーバーには、「WordPressセキュリティ設定」機能があります。
【国外IPアクセス制限設定】
- ダッシュボード アクセス制限
- XML-RPC API アクセス制限
- REST API アクセス制限
- wlwmanifest.xml アクセス制限
【ログイン試行回数制限設定】
【コメント・トラックバック制限設定】
- 大量コメント・トラックバック制限
- 国外IPアドレスからのコメント・トラックバック制限
以上のような、設定ができます。
サーバー側での設定も一緒にしておくといいです。
まとめ
WordPressのセキュリティー強化設定に使える「XO Security」を解説しました。
簡単に初心者の方でも、WordPressのセキュリティーを強化できます。大手企業や有名なサイトだけでなく、様々なサイトでハッキングやスパムの被害が発生しています。セキュリティー強化もして、バージョン更新もおこない、少しでもリスクを減らしていきましょう。