WordPress設定

XO Security セキュリティ対策プラグイン 設定方法と使い方

XO Security セキュリティ対策プラグイン 設定方法と使い方 アイキャッチ

この記事を読むのに必要な時間は1分です。

ワードプレス(WordPress)のセキュリティ対策プラグイン XO Securityの設定方法と使い方を解説します。

この記事を見ることで得られるメリット
  • XO Security の使い方と詳細な設定方法がわかります

XO Securityで実現できること

XO Securityは日本人が作成したWordPress用のプラグインです。
解説などが全て日本語で判りやすいため、初心者でも安心して使用できます。

他のセキュリティ対策プラグにはよくある.htaccess ファイルを書き換えることはありません。無料版のみで有料版は存在しません。

ログイン画面に2要素認証(2段階認証)を設けたり、ログインURLの変更やXML-RPCとピングバックを無効にすることができます。

WAF機能は付いていませんが、不正アクセスから守る機能が充実しています。

XO Securityの主な機能

XO Security 無料版の主な機能は次の通りです。

  • ログインURL変更:ログインURLの末尾をランダムな数値または任意の文字列に変更
  • 2段階認証:認証アプリを使ったワンタイムパスワードでログイン
  •  XML-RPCとピングバック無効:DDoS攻撃を防止
  • REST API無効:脆弱性を利用した攻撃を防止

これらの機能の詳細と設定方法は後述しています。

XO Security のFAQページ

XO Securityの公式サイトには一部機能の説明やFAQのページがあり、設定する時に参考になる情報が載っています。

XO Security の各機能の説明サイトのリンクです↓
https://xakuro.com/wordpress/xo-security/

XO Securityのインストール方法

XO Security プラグインをWordPressにインストールする方法を解説します。

WoredPressのダッシュボード(管理者画面)の新規プラグイン追加画面WoredPressのダッシュボード(管理者画面)の新規プラグイン追加画面
  1. WordPressのダッシュボード(管理者画面)の「プラグイン」をクリックします
  2. 「新規プラグインを追加」をクリックします
  3. 検索ボックスに”XO Security ”と入力すると下に検索結果が表示されます
  4. ”XO Security”の「今すぐインストール」ボタンをクリックします
“XO Security ”のインストール完了画面“XO Security ”のインストール完了画面

↑XO Security のインストールが完了すると有効化ボタンが表示されるのでクリックします。

"XO Security "を有効化すると表示されるメッセージ“XO Security “を有効化すると表示されるメッセージ
"XO Security "を有効化すると表示されるプラグイン画面“XO Security “を有効化すると表示されるプラグイン画面

↑これでXO Securityのインストールと有効化は完了です。

XO Securityの設定

XO Security プラグインを有効化するとダッシュボード(管理画面)の設定の中に「WP セキュリティ」が表示されます↓

XO Security プラグインのダッシュボード(管理画面)XO Security プラグインのダッシュボード(管理画面)

XO Security プラグインの設定画面はダッシュボード(管理画面)の設定の中の「XO Security」をクリックします。

XO Securityの設定項目

XO Security には下記の8項目あります。

  • ステータス
    ∟設定ステータス:設定状況を一覧表示
  • ログイン
    ∟ ログイン:ログイン試行回数制限や応答遅延速度の設定
    ∟ ログインフォーム:ログイン画面へのCAPTCHA追加、パスワードリセットリンクの非表示設定
  • コメント
    ∟ コメント:コメント欄へのCAPTCHA追加、スパムコメントからの保護設定
  • XML-RPC
    ∟ XML-RPC:XML-RPCとピンバックの無効化
    ∟ データベースのバックアップ:手動とスケジュールバックアップ設定※UpdraftPlusプラグインが必要
  • REST API
    ∟ REST API:REST APIの無効化
  • 秘匿:
    ∟ ユーザー名:投稿者名の編集や無効化
    ∟ RSS/Atom フィード:RSS/Atom フィードを無効
    ∟WordPressバージョン:WordPress バージョン情報を隠す
    ∟ WordPressコアファイル: readme.html ファイルを隠す
  • メンテナンス:
    ∟ メンテナンスメンテナンスモードを有効
  • 環境:
    ∟ 環境:スパムコメントの設定
    ∟ ダッシュボード:スパムコメントのIPアドレスの自動ブロック
    ∟ ログインログ:ログインログを記録

以降の画像の設定は全てデフォルトの状態です。

ステータス

XO Securityのステータス画面XO Securityのステータス画面

↑このステータス画面からは各設定状況が確認できます。✅が付いている箇所が有効になっている設定です。

ログイン

XO Securityのログイン画面XO Securityのログイン画面
XO Securityのログイン設定
設定項目名説明おすすめ設定
試行回数制限ログインの試行回数に制限を設ける
1、12,24、48時間の間に何回リトライを許可するか
1時間の間に3回
ブロック時の応答遅延ログイン制限が掛かったことを表示するまでの時間(秒)を設定120秒
失敗時の応答遅延ログイン失敗時の表示をするまでの時間(秒)を設定5秒
ログインページの変更ログインURLを変更特定困難な任意の文字列
ログイン ID の種類ログイン時に使うIDを3種類から選択

  • ユーザー名またはメールアドレス
  • ユーザー名のみ
  • メールアドレスのみ
ユーザー名のみ
ログイン言語制限ログインを居あkするブラウザの言語設定を指定可能
日本語のみを許可する場合はwp-config.phpに下記を記述
define(‘XO_SECURITY_LANGUAGE_WHITE_LIST’, ‘ja’);
設定不要
ログインエラーメッセージログイン失敗時のエラーメッセージのヒントを簡略できる簡略化
2要素認証2要素認証(2段階認証)を有効にするユーザーグループを設定設定不要
CAPTCHAログイン画面へのキャプチャ(画像)認証の設定を3種類から選択

  • 無効
  • 英数字
  • ひらがな
ひらがな
パスワードリセットリンクログインページに表示されるパスワード再設定リンクを有効 or 無効(削除)無効(削除)
サイトへ移動リンクログインページに表示されているトップページリンクを有効 or 無効(削除)無効(削除)
ログインアラートWordPressにログインがあったときにメール通知する機能
テキストボックスで件名と本文をカスタマイズ可能
有効(ON)

コメント

XO Securityのコメント画面XO Securityのコメント画面
XO Securityのコメント設定
設定項目名説明おすすめ設定
CAPTCHAコメント欄へのキャプチャ(画像)認証の設定を3種類から選択

  • 無効
  • 英数字
  • ひらがな
ひらがな
スパム保護フィルター日本語を含まないコメントを受け付けない設定と

スパム判定されたメールアドレスからのコメントを受け付けない設定

どちらも有効
スパムコメントスパムコメントの処理を3種類から選択

  • ブロックする
  • スパムとして保存する
  • ゴミ箱へ入れる
ブロックする
ボット保護チェックボックスコメント入力画面にボット判定用のチェックボックスを追加有効(ON)

XML-RPC

XO SecurityのXML-RPC画面XO SecurityのXML-RPC画面
XO SecurityのXML-RPC設定
設定項目名説明おすすめ設定
XML-RPC の無効化外部から操作する仕組みを無効化有効(ON)
XML-RPC ピンバックの無効化DDOS攻撃防止のためXML-RPCすべてを無効化有効(ON)

REST API

XO SecurityのREST API画面XO SecurityのREST API画面
XO SecurityのREST API設定
設定項目名説明おすすめ設定
REST API の無効化外部アプリケーションからの操作やアクセスを無効化する有効(ON)
下記を有効✅にする

  • /wp/v2/users
  • /wp/v2/users/(?P<id>[\d]+)

秘匿

XO Securityの秘匿画面XO Securityの秘匿画面
XO Securityの秘匿設定
設定項目名説明おすすめ設定
投稿者スラッグの編集https://ドメイン/?author=1でユーザー名が表示された時に、違う名前を表示できる。
当設定有効後はWordPressメニューのユーザー → プロフィールの画面で、投稿者スラッグ欄にログインID(ユーザー名)と違う名前を入力する。
有効(ON)
投稿者アーカイブの無効化投稿者アーカイブのページを無効化有効(ON)
コメント投稿者クラスの削除コメントフォーム投稿時にHTMLソースコードのClass名のユーザー名を削除有効(ON)
oEmbed ユーザー名の削除ユーザー名の流出を防ぐ有効(ON)
RSS/Atom フィードの無効化Webサイト(ブログ)更新時に利用者に通知する機能を無効にする有効(ON)
バージョン情報の削除WordPressバージョン情報を隠す有効(ON)
readme.html の削除WordPressのreadme.htmlを削除有効(ON)

メンテナンス

XO Securityのメンテナンス画面XO Securityのメンテナンス画面

↑この機能を有効(ON)にすると、Webサイト(ブログ)への全てのアクセスに対して同じ画面を表示させることができます。

環境

XO Securityの環境画面XO Securityの環境画面

↑この設定項目は全て初期設定のままで大丈夫です。

おすすめの設定

XO Securityのおすすめ設定を纏めました。
※下記のおすすめ設定はデフォルトから変更する箇所のみをピックアップしています。

ログイン

  • 試行回数制限 → 1時間の間3
  • ブロック時の応答遅延 → 10秒
  • 失敗時の → 10秒
  • ログインページの変更 → 有効✅ ログインファイルには特定困難な任意の文字列を入力
  • ログインIDの種類 → ユーザー名のみ
  • ログインエラーメッセージ → 簡略化
  • CAPTCHA → ひらがな
  • サイトへの移動リンク → 無効
  • ログインアラート→ 有効✅ 本文の先頭に%IPADDRESS%を追加

コメント:

  • CAPTCHA → ひらがな
  • スパム保護フィルター → 有効✅日本語文字を含まない
    有効✅スパムとして保存されているコメントのメールアドレス
  • ボット保護チェックボックス → 有効✅

XML-RPC:

  • XML-RPC の無効化 → 有効✅
  • XML-RPC ピンバックの無効化 → 有効✅

REST API:

  • REST API の無効化 → 有効✅
    下記の2か所を有効✅にする
    /wp/v2/users
    /wp/v2/users/(?P<id>[\d]+)

秘匿:

  • 投稿者スラッグの編集 → 有効✅
  • 投稿者アーカイブの無効化 → 有効✅
  • コメント投稿者クラスの削除 → 有効✅
  • oEmbed ユーザー名の削除 → 有効✅
  • RSS/Atom フィードの無効化 → 有効✅
  • バージョン情報の削除 → 有効✅
  • readme.html の削除 → 有効✅

実際にXO Securityを使った感想とメリットデメリット

実際にXO Securityを使ってみた感じたメリットとデメリットです。

XO Security のメリット

完全無料で利用できて、2段階認証も使えるので、不正アクセス(ログイン)を防ぐ機能が充実しています。
とくに、不正アクセスやスパムコメント、ユーザー名流出防止などの機能が多く、他のセキュリティ対策プラグインよりも細かく設定できるので安心感は高いです。

それと、他のセキュリティ対策プラグのほとんどは外国製なので英語表記ですが、XO Securityは日本人が制作しているので設定画面もすべて日本語です。

XO Security のデメリット

無料版のみなので、WAF機能が無いため、SQLインジェクション攻撃を防ぐことはできません。
悪意のあるアクセス履歴などの、攻撃を防いでいることを可視化できないので、一抹の不安があります。なので別途WAF(アプリケーションファイアウォール)用のプラグインかハードウェアを導入するか、レンタルサーバー側のWAFを有効化する必要があります。

それと、初心者向けなのですが、設定項目にやや難解な専門用語が載っているので混乱する可能性があります。

まとめ

XO Security は不正アクセスを防ぐ機能が充実していて、Webサイトの乗っ取りや、改ざん、マルウェアの埋め込みなどを防止するのに有効なプラグインです。

ただし、当プラグインだけでセキュリティ対策のすべてを賄えるわけではありません。

他のセキュリティ対策プラグインは不正アクセスを検知して防いでいることをアクセスリストなどを使って可視化してくれますが、当プラグインは悪意のあるアクセスの可視化はできないので、やや安心感に欠ける点があります。

それと、WAF機能やIPブロック機能が無いのでレンタルサーバー側のWAFの使用は必須になります。

とはいえ、WAFが無料のレンタルサーバーを使っている個人ブログであれば、XO Securityプラグインの機能とサーバー側のWAFを併用すれば、セキュリティ対策は問題ないので安心して利用できます。

設定項目はすべて日本語なので、初心者は導入し易いかもしれませんが、他にもっと使いやすくて安心感のあるセキュリティ対策プラグは存在します。

数多くあるセキュリティ対策プラグインのなかでも、All In One WP Security & Firewallは、1つのプラグインで他のプラグインの機能も入っていて一石二鳥なのでおすすめです。