XO Security セキュリティ対策プラグイン設定方法と使い方

ワードプレス(WordPress)のセキュリティ対策プラグイン XO Securityの設定方法と使い方を解説します。

この記事を見ることで得られるメリット

XO Security の使い方と詳細な設定方法がわかります

XO Securityで実現できること
- XO Securityの主な機能
- XO Security のFAQページ
XO Securityのインストール方法
XO Securityの設定
おすすめの設定
実際にXO Securityを使った感想とメリットデメリット
- XO Security のメリット
- XO Security のデメリット
まとめ

XO Securityで実現できること

XO Securityは日本人が作成したWordPress用のプラグインです。
解説などが全て日本語で判りやすいため、初心者でも安心して使用できます。

他のセキュリティ対策プラグにはよくある.htaccess ファイルを書き換えることはありません。無料版のみで有料版は存在しません。

ログイン画面に2要素認証(2段階認証)を設けたり、ログインURLの変更やXML-RPCとピングバックを無効にすることができます。

WAF機能は付いていませんが、不正アクセスから守る機能が充実しています。

XO Securityの主な機能

XO Security 無料版の主な機能は次の通りです。

ログインURL変更：ログインURLの末尾をランダムな数値または任意の文字列に変更
2段階認証：認証アプリを使ったワンタイムパスワードでログイン
XML-RPCとピングバック無効：DDoS攻撃を防止
REST API無効：脆弱性を利用した攻撃を防止

これらの機能の詳細と設定方法は後述しています。

XO Security のFAQページ

XO Securityの公式サイトには一部機能の説明やFAQのページがあり、設定する時に参考になる情報が載っています。

XO Security の各機能の説明サイトのリンクです↓
https://xakuro.com/wordpress/xo-security/

XO Securityのインストール方法

XO Security プラグインをWordPressにインストールする方法を解説します。

WoredPressのダッシュボード(管理者画面)の新規プラグイン追加画面

WordPressのダッシュボード(管理者画面)の「プラグイン」をクリックします
「新規プラグインを追加」をクリックします
検索ボックスに”XO Security ”と入力すると下に検索結果が表示されます
”XO Security”の「今すぐインストール」ボタンをクリックします

“XO Security ”のインストール完了画面

↑XO Security のインストールが完了すると有効化ボタンが表示されるのでクリックします。

“XO Security “を有効化すると表示されるメッセージ

“XO Security “を有効化すると表示されるプラグイン画面

↑これでXO Securityのインストールと有効化は完了です。

XO Securityの設定

XO Security プラグインを有効化するとダッシュボード(管理画面)の設定の中に「WP セキュリティ」が表示されます↓

XO Security プラグインのダッシュボード(管理画面)

XO Security プラグインの設定画面はダッシュボード(管理画面)の設定の中の「XO Security」をクリックします。

XO Securityの設定項目

XO Security には下記の8項目あります。

ステータス：
∟設定ステータス：設定状況を一覧表示
ログイン：
∟ ログイン：ログイン試行回数制限や応答遅延速度の設定
∟ ログインフォーム：ログイン画面へのCAPTCHA追加、パスワードリセットリンクの非表示設定
コメント：
∟ コメント：コメント欄へのCAPTCHA追加、スパムコメントからの保護設定
XML-RPC：
∟ XML-RPC：XML-RPCとピンバックの無効化
∟ データベースのバックアップ：手動とスケジュールバックアップ設定※UpdraftPlusプラグインが必要
REST API：
∟ REST API：REST APIの無効化
秘匿：
∟ ユーザー名：投稿者名の編集や無効化
∟ RSS/Atom フィード：RSS/Atom フィードを無効
∟WordPressバージョン：WordPress バージョン情報を隠す
∟ WordPressコアファイル： readme.html ファイルを隠す
メンテナンス：
∟ メンテナンス：メンテナンスモードを有効
環境：
∟ 環境：スパムコメントの設定
∟ ダッシュボード：スパムコメントのIPアドレスの自動ブロック
∟ ログインログ：ログインログを記録

以降の画像の設定は全てデフォルトの状態です。

ステータス

XO Securityのステータス画面

↑このステータス画面からは各設定状況が確認できます。✅が付いている箇所が有効になっている設定です。

XO Securityのログイン設定
設定項目名	説明	おすすめ設定
試行回数制限	ログインの試行回数に制限を設ける 1、12，24、48時間の間に何回リトライを許可するか	1時間の間に3回
ブロック時の応答遅延	ログイン制限が掛かったことを表示するまでの時間(秒)を設定	120秒
失敗時の応答遅延	ログイン失敗時の表示をするまでの時間(秒)を設定	5秒
ログインページの変更	ログインURLを変更	特定困難な任意の文字列
ログイン ID の種類	ログイン時に使うIDを3種類から選択ユーザー名またはメールアドレスユーザー名のみメールアドレスのみ	ユーザー名のみ
ログイン言語制限	ログインを居あkするブラウザの言語設定を指定可能日本語のみを許可する場合はwp-config.phpに下記を記述 define(‘XO_SECURITY_LANGUAGE_WHITE_LIST’, ‘ja’);	設定不要
ログインエラーメッセージ	ログイン失敗時のエラーメッセージのヒントを簡略できる	簡略化
2要素認証	2要素認証(2段階認証)を有効にするユーザーグループを設定	設定不要
CAPTCHA	ログイン画面へのキャプチャ(画像)認証の設定を3種類から選択無効英数字ひらがな	ひらがな
パスワードリセットリンク	ログインページに表示されるパスワード再設定リンクを有効 or 無効(削除)	無効(削除)
サイトへ移動リンク	ログインページに表示されているトップページリンクを有効 or 無効(削除)	無効(削除)
ログインアラート	WordPressにログインがあったときにメール通知する機能テキストボックスで件名と本文をカスタマイズ可能	有効(ON)

XO Securityのコメント画面

XO Securityのコメント設定
設定項目名	説明	おすすめ設定
CAPTCHA	コメント欄へのキャプチャ(画像)認証の設定を3種類から選択無効英数字ひらがな	ひらがな
スパム保護フィルター	日本語を含まないコメントを受け付けない設定とスパム判定されたメールアドレスからのコメントを受け付けない設定	どちらも有効
スパムコメント	スパムコメントの処理を3種類から選択ブロックするスパムとして保存するゴミ箱へ入れる	ブロックする
ボット保護チェックボックス	コメント入力画面にボット判定用のチェックボックスを追加	有効(ON)

XML-RPC

XO SecurityのXML-RPC画面

XO SecurityのXML-RPC設定
設定項目名	説明	おすすめ設定
XML-RPC の無効化	外部から操作する仕組みを無効化	有効(ON)
XML-RPC ピンバックの無効化	DDOS攻撃防止のためXML-RPCすべてを無効化	有効(ON)

REST API

XO SecurityのREST API画面

XO SecurityのREST API設定
設定項目名	説明	おすすめ設定
REST API の無効化	外部アプリケーションからの操作やアクセスを無効化する	有効(ON) 下記を有効✅にする /wp/v2/users /wp/v2/users/(?P<id>[\d]+)

秘匿

XO Securityの秘匿画面

XO Securityの秘匿設定
設定項目名	説明	おすすめ設定
投稿者スラッグの編集	https://ドメイン/?author=1でユーザー名が表示された時に、違う名前を表示できる。当設定有効後はWordPressメニューのユーザー → プロフィールの画面で、投稿者スラッグ欄にログインID(ユーザー名)と違う名前を入力する。	有効(ON)
投稿者アーカイブの無効化	投稿者アーカイブのページを無効化	有効(ON)
コメント投稿者クラスの削除	コメントフォーム投稿時にHTMLソースコードのClass名のユーザー名を削除	有効(ON)
oEmbed ユーザー名の削除	ユーザー名の流出を防ぐ	有効(ON)
RSS/Atom フィードの無効化	Webサイト(ブログ)更新時に利用者に通知する機能を無効にする	有効(ON)
バージョン情報の削除	WordPressバージョン情報を隠す	有効(ON)
readme.html の削除	WordPressのreadme.htmlを削除	有効(ON)

メンテナンス

XO Securityのメンテナンス画面

↑この機能を有効(ON)にすると、Webサイト(ブログ)への全てのアクセスに対して同じ画面を表示させることができます。

環境

XO Securityの環境画面

↑この設定項目は全て初期設定のままで大丈夫です。

実際にXO Securityを使った感想とメリットデメリット

実際にXO Securityを使ってみた感じたメリットとデメリットです。

XO Security のメリット

完全無料で利用できて、2段階認証も使えるので、不正アクセス(ログイン)を防ぐ機能が充実しています。
とくに、不正アクセスやスパムコメント、ユーザー名流出防止などの機能が多く、他のセキュリティ対策プラグインよりも細かく設定できるので安心感は高いです。

それと、他のセキュリティ対策プラグのほとんどは外国製なので英語表記ですが、XO Securityは日本人が制作しているので設定画面もすべて日本語です。

XO Security のデメリット

無料版のみなので、WAF機能が無いため、SQLインジェクション攻撃を防ぐことはできません。
悪意のあるアクセス履歴などの、攻撃を防いでいることを可視化できないので、一抹の不安があります。なので別途WAF(アプリケーションファイアウォール)用のプラグインかハードウェアを導入するか、レンタルサーバー側のWAFを有効化する必要があります。

それと、初心者向けなのですが、設定項目にやや難解な専門用語が載っているので混乱する可能性があります。

まとめ

XO Security は不正アクセスを防ぐ機能が充実していて、Webサイトの乗っ取りや、改ざん、マルウェアの埋め込みなどを防止するのに有効なプラグインです。

ただし、当プラグインだけでセキュリティ対策のすべてを賄えるわけではありません。

他のセキュリティ対策プラグインは不正アクセスを検知して防いでいることをアクセスリストなどを使って可視化してくれますが、当プラグインは悪意のあるアクセスの可視化はできないので、やや安心感に欠ける点があります。

それと、WAF機能やIPブロック機能が無いのでレンタルサーバー側のWAFの使用は必須になります。

とはいえ、WAFが無料のレンタルサーバーを使っている個人ブログであれば、XO Securityプラグインの機能とサーバー側のWAFを併用すれば、セキュリティ対策は問題ないので安心して利用できます。

設定項目はすべて日本語なので、初心者は導入し易いかもしれませんが、他にもっと使いやすくて安心感のあるセキュリティ対策プラグは存在します。

数多くあるセキュリティ対策プラグインのなかでも、All In One WP Security & Firewallは、1つのプラグインで他のプラグインの機能も入っていて一石二鳥なのでおすすめです。

あわせて読みたいセキュリティ対策プラグインの記事

All In One WP Security & Firewall セキュリティ対策プラグイン設定方法と使い方
Wpdoctor セキュリティ対策・改ざん検出プラグイン設定方法と使い方
Wordfence Security プラグインを削除する方法
Wordfence Security 2段階認証の設定方法と使い方
Wordfence Security セキュリティ対策プラグイン設定方法と使い方
Solid Security セキュリティ対策プラグイン設定方法と使い方
WP Cerber Security セキュリティ対策プラグイン使い方と設定方法
reCAPTCHA 導入方法とContact Form 7への設定方法
SiteGuard WP Plugin セキュリティ対策プラグイン設定方法と使い方
Akismet スパム保護プラグイン設定方法と使い方

セキュリティ対策

XO Security セキュリティ対策プラグイン設定方法と使い方読み終わるまで 2 分