てっちゃんXO Securityの設定について見ていきましょう!
ホームページ運用に必須なプラグインでもご紹介しましたが、
ワードプレスを開設したら、最初に入れておきたいプラグインが「XO Security」です。
このプラグインはログイン関連のセキュリティを高めてくれます。
ワードプレスの初期状態は、非常に脆い状態しっかりと守ってあげましょう。私自身もセキュリティ対策として必ず入れているプラグインの一つになります。
それでは、「XO Security」の設定箇所について分かりやすく解説していきます。
- XO Securityの強み
- XO Securityの設定方法
- ワードプレスにログインできない場合の対処法
てっちゃんXO Securityとは?(エックスオーセキュリティ)
XO Securityとは、不正ログインやスパムからWordPressを守るプラグインです。
WordPressは利用者が多いことから狙われやすく、不正にログインされれば「ホームページの改ざん」「情報漏洩」などのリスクが伴います。
また、WordPressの初期状態では以下のような弱点が存在します。
- ログインページの「URL」が誰でも分かる
- ユーザー名とパスワードだけでログインできる
- 初期状態では「ユーザー名が公開」されている
WordPressはログインURLが分かっていますし、ログインに必要なユーザー名が分かります。
つまり「パスワード」さえ分かれば、ログインされるということになります。
このような状態で「総当たり攻撃(考えられるパスワードを手当たり次第に試す攻撃)」を受ければ、かなり危険な状態というのが分かりますよね。
ボクシングに例えるなら、ノーガードでラッシュを受け続ける状態です。
いつやられてしまうか分からない危険な状態…それがWordPressの初期状態です。
なので、しっかりとガードをするために使用するのが「XO Security」です。
てっちゃんちなみに知り合いの方のサイトが乗っ取られていましたが、復旧がかなり大変そうでした…。
XO Securityのセキュリティ機能
てっちゃんXO Securityはどんなことができるのか見ておきましょう!
【クリックで確認する】
- ログイン試行回数の制限
-
ログインに挑戦できる回数を制限します。人間やロボットの総当たり攻撃による不正ログインのリスクを軽減します。
【不要になるプラグイン】Limit Login Attempts Reloaded
- CAPTCHAのログイン認証
-
画像を認証しないとログインできないようにします。ひらがなを突破できるロボットは少ないので、この機能だけでも重宝します。
【不要になるプラグイン】Simple Login Captcha
- ログインURLの変更
-
独自のログインURLを作成することで、ログインページへ到達できないようにします。
【不要になるプラグイン】WPS Hide Login
- ユーザー名の非公開
-
ログインに必要なユーザー名(ログインID)を非公開にすることで、不正に取得されるのを防ぎます。
【不要になるプラグイン】Edit Author Slug
- コメントのスパム対策
-
画像認証などを組み合わせることでスパムコメントを防ぐことができます。
【不要になるプラグイン】Akismet
XO Securityの強み
- 日本語なので設定が分かりやすい
- 無料で使えるプラグイン
- ログイン障害が少ない(.htaccess不要)
XO Securityと同じようにセキュリティを強固にするプラグインは数多く存在します。
ですが、そのほとんどが英語での使用を求められます。
それに比べてXO Securityは国産のプラグインですし、設定もシンプルなので使いやすいのがメリットです。
また、同じく国産のセキュリティプラグイン「SiteGuard WP Plugin」と異なり、ログイン障害が少ないのも魅力の一つです。
XO Securityのインストール
てっちゃんまずは「XO Security」をインストールしていきましょう!
【クリックでインストール方法を確認】
- 「プラグイン」→「新規追加」と進む
- 検索窓に「XO Security」と入力する
- 「今すぐインストール」をクリックする
- 「有効化」をクリックする
てっちゃん以上でインストールは完了です!
XO Securityの設定方法
てっちゃん「XO Security」の設定を確認していきましょう!
まずはWordPressのメインナビゲーションから「設定」→「XO Security」へと進んでください。
すると、以下の設定画面が表示されます。
てっちゃん設定は赤枠内にあるタブを切り替えて行います!
ログイン設定
てっちゃんログイン設定では、WordPressのログインページに関するセキュリティを設定していきます!
- 試行回数制限:「1時間の間に」「3回」
- ブロック時の応答遅延:「120秒」
- 失敗時の応答遅延:「10秒」
- ログインページの変更:「ON」にして複雑な文字列
- ログインIDの種類:「ユーザー名のみ」
- ログインエラーメッセージ:「簡略化」
- CAPTCHA:「ひらがな」
- パスワードリセットリンク:「有効」
- サイトへ移動リンク:「有効」
- ログインアラート:「OFF」
【クリックで解説を見る】
- 1.試行回数制限
-
ログインに挑戦できる回数を制限する設定です。例えば、12時間に3回までリトライするに設定すると、3回以上ログインに失敗したら12時間ログインできなくなります。慣れるまでは1時間など、短い時間に設定するのがおススメです。
- 2.ブロック時の応答遅延
-
ログインをブロックした際に、その旨を表示する時間の設定です。長ければ長いほどセキュリティ強化に繋がるので、「120秒」にしておくと安心です。
- 3.失敗時の応答遅延
-
ログインに失敗した際、その旨を表示する時間の設定です。上述の理由で、最大時間の「10秒」に設定しておきましょう。
- 4.ログインページの変更
-
デフォルトと異なるログインページURLを生成することができます。入り口を分からなくするセキュリティ対策ですので、非常に強力なバリアとなります。注意点として、ログインページのURLは必ずブックマーク等で控えておきましょう。自分自身がログインできなくなる恐れがありますので(笑)
てっちゃん万が一の場合は、ログインできなくなった場合の対処法をご確認ください!
- 5.ログインIDの種類
-
ログイン時に使用できる「ID」の種類を選択できます。デフォルトでは「メールアドレス」と「ユーザー名」のいずかを使用することができます。セキュリティを高めるには「ユーザー名のみ」にしておきましょう。
- 6.ログインエラーメッセージ
-
ログインに失敗した時のメッセージ表示を変更する設定です。デフォルトの状態でログインに失敗すると、「ID」と「パスワード」のどちらが間違っているのか表示されます。この設定を「簡素化」することで、ログインに失敗した理由を隠すことができます。
- 7.CAPTCHA
-
ログインの画像認証についての設定です。有効化するとログイン画面が以下のように変化します。
CAPTCHAは「ひらがな」にするのがおススメです。ログインを突破しようとするロボットのほとんどが、外国製で日本語に対応していないからです。
- 8.パスワードリセットリンク
-
パスワードを忘れた際の再設定をどうするか決めることができます。「無効」にすると、パスワードの再設定ができなくなりますが、セキュリティは高まります。ですが、パスワードを紛失した際には、ログインできなくなるので「有効」にしておく方が安心です。
- 9.サイトへ移動リンク
-
ログイン画面から、サイトのトップページへのアクセスを許可するかどうかの設定です。ほぼセキュリティ強化に繋がらないので、「有効」「無効」のどちらでも大丈夫です。
- 10.ログインアラート
-
WordPressにログインがあった際に通知を受け取るかの設定です。有効にするとログインする度に通知が来ます。とはいえ、仮に第三者がログインしてしまえばその時点でアウトなので…。この設定は「OFF」で問題ないです。
てっちゃんログインの設定が終わったら「変更を保存」を忘れずに!せっかくの設定が消えてしまいますので。
コメント設定
てっちゃんコメントの設定についてです!
この設定ではコメントにスパムが来るのを防ぎます。
ただ、ワードプレスの初期設定でもお話したように、ホームページの場合は基本的にコメントはオフにしていると思います。その場合は、次の設定まで飛ばしてOKです!
- CAPTCHA:「ひらがな」
- スパム保護フィルター:「有効」
- スパムとして保存されているコメントのメールアドレス:「有効」
- スパムコメント:「ブロックする」
- ボット保護チェックボックス:「無効」
【クリックで解説を見る】
- 1.CAPTCHA
-
コメントフォームに画像認証を追加します。
スパムを防ぐには「ひらがな」が一番効果的です。
- 2.スパム保護フィルター
-
日本語が入ってないコメントを拒否する設定です。有効にすると海外製ロボットのスパムコメントを防ぐことができます。海外からのコメントを求めるサイト以外は、有効にしておきましょう。
- 3.スパムとして保存されているコメントのメールアドレス
-
スパムに登録したユーザーからのコメントをどうするかの設定です。
スパムに登録 スパムとして登録する場合は、「コメント」→「スパム」からできます。
- 4.スパムコメント
-
スパムに登録したコメントの対応です。受け取る必要はないので、デフォルトの「ブロックする」にしておきましょう。
- 5.ボット保護チェックボックス
-
ログインフォームに「私はロボットではありません」というチェックボックスを追加できます。
有効にしたい場合に表示される コメントするにはチェックを必要とするので、セキュリティを高める効果はあります。ですが、上述したCAPTCHAでも同様に人間とロボットの判別ができるので「OFF」でも問題ありません。
てっちゃんユーザービリティも下がりますので!
XML-RPC設定
てっちゃんXML-RPCの設定を見ていきましょう!
XML-RPCとは、ワードプレスにログインせずに遠隔操作するための仕組みのことです。
一例を挙げると、スマホ用のWordPressアプリでは、この仕組みを利用して記事を投稿することができます。
便利な反面「DoS攻撃」「ブルートフォース攻撃」など、様々な攻撃を受けるリスクがあります。遠隔操作や外部システムの連携をしていないなら、こちらの設定をしておきましょう。
- XML-RPC の無効化:「有効」
- XML-RPC ピンバックの無効化:「有効」
【クリックで解説を見る】
- 1.XML-RPC の無効化
-
上述した通りXML-RPCが悪用されると「ブルートフォースアタック(総当たり攻撃)」などのリスクがあるので、無効化しておくのがおススメです。
ただし、一部のプラグインが動かなくなってしまう可能性もあります。動作がおかしい場合はOFFにしておきましょう。
- 2.XML-RPC ピンバックの無効化
-
ピンバックとは、自分のサイトURLが貼り付けられた場合に通知してくれる機能です。これが悪用されると、大量にピンバックを送りつけられる「DDoS攻撃(負荷攻撃)」のリスクがあります。
負荷がかかり過ぎるとサイトがダウンしますので、こちらも無効化しておきましょう。
REST API設定
てっちゃんREST APIの設定についてです!
REST APIとは、外部からアプリケーションの機能を利用できることができる仕組みのことです。
この機能が悪用されると「サイト改ざん」などのリスクがあります。
なので、しっかりと対策したい部分なのですが、全て無効化にはしないようにしましょう。
ワードプレスのプラグインにも利用されている仕組みなので、正常に動作しなくなる可能性があるからです。
- REST API の無効化:「有効化」して「/wp/v2/users」「 /wp/v2/users/(?P<id>[\d]+)」にチェック
- REST API URL の変更:「OFF」
【クリックで解説を見る】
- 1.REST API の無効化
-
REST APIの正しい箇所を無効化することで、ログインに必要な「ユーザー名」を非公開にすることができます。
てっちゃん上間違った箇所を無効化すると、プラグインが動作しなくなる可能性があるのでご注意ください!
- 2.REST API URL の変更
-
REST API URLを変更できます。使用しない部分ですのでOFFで問題ありません。
秘匿設定
てっちゃん秘匿(ひとく)の設定についてです!
- 投稿者スラッグの編集:「有効化」
- 投稿者アーカイブの無効化:「OFF」
- コメント投稿者クラスの削除:「有効化」
- oEmbed ユーザー名の削除:「有効化」
- RSS/Atom フィードの無効化:「OFF」
- バージョン情報の削除:「有効化」
【クリックで解説を見る】
- 1.投稿者スラッグの編集
-
投稿者スラッグ(URL)を変更することができます。デフォルトだと、ログインに使用する「ユーザー名」が表示されているので、侵入されるリスクがあります。
ユーザー名と別のスラッグにできるのが、投稿者スラッグの編集です。
てっちゃん具体的な編集方法は以下のとおり!
STEP- 「投稿者スラッグの編集」を有効にする
- 「ユーザー」→「プロフィール」に進む
- 赤枠に好きな「文字列」を入れる(ユーザー名以外)
- 2.投稿者アーカイブの無効化
-
著者一覧ページへのアクセスを制限する設定です。好みの設定となりますが、投稿者ごとの一覧ページを表示させたい場合は、画像のように「OFF」に。少しでもセキュリティを高めたいなら「有効」にしておきましょう。
てっちゃん前項の設定をしていればどちらでもOK!
このサイトではOFFにしています! - 3.コメント投稿者クラスの削除
-
コメント投稿者に含まれるユーザー名を削除する設定です。
- 4.oEmbed ユーザー名の削除
-
こちらもユーザー名を削除する設定です。URLを入力した際に表示されるユーザー名を削除することができます。
- 5.RSS/Atom フィードの無効化
-
RSSフィードフィードとは、記事を更新した際に読者に通知が行く仕組みのことです。これを悪用すれば記事の内容を全てパクったサイトを作られてしまう恐れがあります。
この設定を「有効」にするのが対策になりますが、それでは読者に通知が行かなくなります。
なので、「OFF」に設定するのがおススメです。
てっちゃんOFFの場合は以下のように設定してください!
抜粋にする STEP- 「設定」→「表示設定」へ進む
- 「フィードの各投稿に含める内容」を「抜粋」に変更する
- 6.バージョン情報の削除
-
WordPressのバージョン情報を見られないようにする設定です。古いバージョンを使っている場合、脆弱性を狙われるリスクがあるので、必ずこの設定は「有効」にしておきましょう。
環境設定
てっちゃん環境の設定についてです!
基本的にデフォルトで大丈夫です!
- IP アドレス取得方法:「自動」
- ログイン情報ウィジェット:「有効」
- 自動削除:「365日以前」
- デフォルトで表示する結果:「すべての結果」
ログインログを確認する方法
てっちゃんログイン履歴を確認する方法です!
- 「ユーザー」→「ログインログ」に進む
管理画面にログインできなくなったのときの対処法
てっちゃん最後にWordPressにログインできなく場合の対処法です!
XO Securityのセキュリティを高めることで、ログインできなくなる場合があります。
- パスワード等を間違えてロックがかかり404と表示される
- 変更したログインURLが分からなくなった
このような場合は、サーバーディレクトリから操作することでログインできるようになります。
- 「FTPソフト」か「ファイルマネージャ」から「サーバーディレクトリ」にアクセス
- プラグインの「フォルダ名」を変更
- サイト名+「/wp-login.php」でログイン
てっちゃん詳しくは別記事で解説します!
まとめ
- ログイン関連のセキュリティ強化するプラグイン
- シンプル設定&日本語対応なので使いやすい
- 無料で使える
- ログインできない場合でも対処法がある
LINEで質問受付中
この記事が気に入ったら
フォローしてね!