ワードプレス(WordPress)のセキュリティ対策プラグイン XO Securityの設定方法と使い方を解説します。
- XO Security の使い方と詳細な設定方法がわかります
XO Securityで実現できること
XO Securityは日本人が作成したWordPress用のプラグインです。
解説などが全て日本語で判りやすいため、初心者でも安心して使用できます。
他のセキュリティ対策プラグにはよくある.htaccess ファイルを書き換えることはありません。無料版のみで有料版は存在しません。
ログイン画面に2要素認証(2段階認証)を設けたり、ログインURLの変更やXML-RPCとピングバックを無効にすることができます。
WAF機能は付いていませんが、不正アクセスから守る機能が充実しています。
XO Securityの主な機能
XO Security 無料版の主な機能は次の通りです。
- ログインURL変更:ログインURLの末尾をランダムな数値または任意の文字列に変更
- 2段階認証:認証アプリを使ったワンタイムパスワードでログイン
- XML-RPCとピングバック無効:DDoS攻撃を防止
- REST API無効:脆弱性を利用した攻撃を防止
これらの機能の詳細と設定方法は後述しています。
XO Security のFAQページ
XO Securityの公式サイトには一部機能の説明やFAQのページがあり、設定する時に参考になる情報が載っています。
XO Security の各機能の説明サイトのリンクです↓
https://xakuro.com/wordpress/xo-security/
XO Securityのインストール方法
XO Security プラグインをWordPressにインストールする方法を解説します。
WoredPressのダッシュボード(管理者画面)の新規プラグイン追加画面- WordPressのダッシュボード(管理者画面)の「プラグイン」をクリックします
- 「新規プラグインを追加」をクリックします
- 検索ボックスに”XO Security ”と入力すると下に検索結果が表示されます
- ”XO Security”の「今すぐインストール」ボタンをクリックします
“XO Security ”のインストール完了画面↑XO Security のインストールが完了すると有効化ボタンが表示されるのでクリックします。
“XO Security “を有効化すると表示されるメッセージ
“XO Security “を有効化すると表示されるプラグイン画面↑これでXO Securityのインストールと有効化は完了です。
XO Securityの設定
XO Security プラグインを有効化するとダッシュボード(管理画面)の設定の中に「WP セキュリティ」が表示されます↓
XO Security プラグインのダッシュボード(管理画面)XO Security プラグインの設定画面はダッシュボード(管理画面)の設定の中の「XO Security」をクリックします。
XO Securityの設定項目
XO Security には下記の8項目あります。
- ステータス:
∟設定ステータス:設定状況を一覧表示 - ログイン:
∟ ログイン:ログイン試行回数制限や応答遅延速度の設定
∟ ログインフォーム:ログイン画面へのCAPTCHA追加、パスワードリセットリンクの非表示設定 - コメント:
∟ コメント:コメント欄へのCAPTCHA追加、スパムコメントからの保護設定 - XML-RPC:
∟ XML-RPC:XML-RPCとピンバックの無効化
∟ データベースのバックアップ:手動とスケジュールバックアップ設定※UpdraftPlusプラグインが必要 - REST API:
∟ REST API:REST APIの無効化 - 秘匿:
∟ ユーザー名:投稿者名の編集や無効化
∟ RSS/Atom フィード:RSS/Atom フィードを無効
∟WordPressバージョン:WordPress バージョン情報を隠す
∟ WordPressコアファイル: readme.html ファイルを隠す - メンテナンス:
∟ メンテナンス:メンテナンスモードを有効 - 環境:
∟ 環境:スパムコメントの設定
∟ ダッシュボード:スパムコメントのIPアドレスの自動ブロック
∟ ログインログ:ログインログを記録
以降の画像の設定は全てデフォルトの状態です。
ステータス
XO Securityのステータス画面↑このステータス画面からは各設定状況が確認できます。✅が付いている箇所が有効になっている設定です。
ログイン
XO Securityのログイン画面| 設定項目名 | 説明 | おすすめ設定 |
|---|---|---|
| 試行回数制限 | ログインの試行回数に制限を設ける 1、12,24、48時間の間に何回リトライを許可するか | 1時間の間に3回 |
| ブロック時の応答遅延 | ログイン制限が掛かったことを表示するまでの時間(秒)を設定 | 120秒 |
| 失敗時の応答遅延 | ログイン失敗時の表示をするまでの時間(秒)を設定 | 5秒 |
| ログインページの変更 | ログインURLを変更 | 特定困難な任意の文字列 |
| ログイン ID の種類 | ログイン時に使うIDを3種類から選択
| ユーザー名のみ |
| ログイン言語制限 | ログインを居あkするブラウザの言語設定を指定可能 日本語のみを許可する場合はwp-config.phpに下記を記述 define(‘XO_SECURITY_LANGUAGE_WHITE_LIST’, ‘ja’); | 設定不要 |
| ログインエラーメッセージ | ログイン失敗時のエラーメッセージのヒントを簡略できる | 簡略化 |
| 2要素認証 | 2要素認証(2段階認証)を有効にするユーザーグループを設定 | 設定不要 |
| CAPTCHA | ログイン画面へのキャプチャ(画像)認証の設定を3種類から選択
| ひらがな |
| パスワードリセットリンク | ログインページに表示されるパスワード再設定リンクを有効 or 無効(削除) | 無効(削除) |
| サイトへ移動リンク | ログインページに表示されているトップページリンクを有効 or 無効(削除) | 無効(削除) |
| ログインアラート | WordPressにログインがあったときにメール通知する機能 テキストボックスで件名と本文をカスタマイズ可能 | 有効(ON) |
コメント
XO Securityのコメント画面| 設定項目名 | 説明 | おすすめ設定 |
|---|---|---|
| CAPTCHA | コメント欄へのキャプチャ(画像)認証の設定を3種類から選択
| ひらがな |
| スパム保護フィルター | 日本語を含まないコメントを受け付けない設定と スパム判定されたメールアドレスからのコメントを受け付けない設定 | どちらも有効 |
| スパムコメント | スパムコメントの処理を3種類から選択
| ブロックする |
| ボット保護チェックボックス | コメント入力画面にボット判定用のチェックボックスを追加 | 有効(ON) |
XML-RPC
XO SecurityのXML-RPC画面| 設定項目名 | 説明 | おすすめ設定 |
|---|---|---|
| XML-RPC の無効化 | 外部から操作する仕組みを無効化 | 有効(ON) |
| XML-RPC ピンバックの無効化 | DDOS攻撃防止のためXML-RPCすべてを無効化 | 有効(ON) |
REST API
XO SecurityのREST API画面| 設定項目名 | 説明 | おすすめ設定 |
|---|---|---|
| REST API の無効化 | 外部アプリケーションからの操作やアクセスを無効化する | 有効(ON) 下記を有効✅にする
|
秘匿
XO Securityの秘匿画面| 設定項目名 | 説明 | おすすめ設定 |
|---|---|---|
| 投稿者スラッグの編集 | https://ドメイン/?author=1でユーザー名が表示された時に、違う名前を表示できる。 当設定有効後はWordPressメニューのユーザー → プロフィールの画面で、投稿者スラッグ欄にログインID(ユーザー名)と違う名前を入力する。 | 有効(ON) |
| 投稿者アーカイブの無効化 | 投稿者アーカイブのページを無効化 | 有効(ON) |
| コメント投稿者クラスの削除 | コメントフォーム投稿時にHTMLソースコードのClass名のユーザー名を削除 | 有効(ON) |
| oEmbed ユーザー名の削除 | ユーザー名の流出を防ぐ | 有効(ON) |
| RSS/Atom フィードの無効化 | Webサイト(ブログ)更新時に利用者に通知する機能を無効にする | 有効(ON) |
| バージョン情報の削除 | WordPressバージョン情報を隠す | 有効(ON) |
| readme.html の削除 | WordPressのreadme.htmlを削除 | 有効(ON) |
メンテナンス
XO Securityのメンテナンス画面↑この機能を有効(ON)にすると、Webサイト(ブログ)への全てのアクセスに対して同じ画面を表示させることができます。
環境
XO Securityの環境画面↑この設定項目は全て初期設定のままで大丈夫です。
おすすめの設定
XO Securityのおすすめ設定を纏めました。
※下記のおすすめ設定はデフォルトから変更する箇所のみをピックアップしています。
ログイン:
- 試行回数制限 → 1時間の間に3回
- ブロック時の応答遅延 → 10秒
- 失敗時の → 10秒
- ログインページの変更 → 有効✅ ログインファイルには特定困難な任意の文字列を入力
- ログインIDの種類 → ユーザー名のみ
- ログインエラーメッセージ → 簡略化
- CAPTCHA → ひらがな
- サイトへの移動リンク → 無効
- ログインアラート→ 有効✅ 本文の先頭に%IPADDRESS%を追加
コメント:
- CAPTCHA → ひらがな
- スパム保護フィルター → 有効✅日本語文字を含まない
有効✅スパムとして保存されているコメントのメールアドレス - ボット保護チェックボックス → 有効✅
XML-RPC:
- XML-RPC の無効化 → 有効✅
- XML-RPC ピンバックの無効化 → 有効✅
REST API:
- REST API の無効化 → 有効✅
下記の2か所を有効✅にする
/wp/v2/users
/wp/v2/users/(?P<id>[\d]+)
秘匿:
- 投稿者スラッグの編集 → 有効✅
- 投稿者アーカイブの無効化 → 有効✅
- コメント投稿者クラスの削除 → 有効✅
- oEmbed ユーザー名の削除 → 有効✅
- RSS/Atom フィードの無効化 → 有効✅
- バージョン情報の削除 → 有効✅
- readme.html の削除 → 有効✅
実際にXO Securityを使った感想とメリットデメリット
実際にXO Securityを使ってみた感じたメリットとデメリットです。
XO Security のメリット
完全無料で利用できて、2段階認証も使えるので、不正アクセス(ログイン)を防ぐ機能が充実しています。
とくに、不正アクセスやスパムコメント、ユーザー名流出防止などの機能が多く、他のセキュリティ対策プラグインよりも細かく設定できるので安心感は高いです。
それと、他のセキュリティ対策プラグのほとんどは外国製なので英語表記ですが、XO Securityは日本人が制作しているので設定画面もすべて日本語です。
XO Security のデメリット
無料版のみなので、WAF機能が無いため、SQLインジェクション攻撃を防ぐことはできません。
悪意のあるアクセス履歴などの、攻撃を防いでいることを可視化できないので、一抹の不安があります。なので別途WAF(アプリケーションファイアウォール)用のプラグインかハードウェアを導入するか、レンタルサーバー側のWAFを有効化する必要があります。
それと、初心者向けなのですが、設定項目にやや難解な専門用語が載っているので混乱する可能性があります。
まとめ
XO Security は不正アクセスを防ぐ機能が充実していて、Webサイトの乗っ取りや、改ざん、マルウェアの埋め込みなどを防止するのに有効なプラグインです。
ただし、当プラグインだけでセキュリティ対策のすべてを賄えるわけではありません。
他のセキュリティ対策プラグインは不正アクセスを検知して防いでいることをアクセスリストなどを使って可視化してくれますが、当プラグインは悪意のあるアクセスの可視化はできないので、やや安心感に欠ける点があります。
それと、WAF機能やIPブロック機能が無いのでレンタルサーバー側のWAFの使用は必須になります。
とはいえ、WAFが無料のレンタルサーバーを使っている個人ブログであれば、XO Securityプラグインの機能とサーバー側のWAFを併用すれば、セキュリティ対策は問題ないので安心して利用できます。
設定項目はすべて日本語なので、初心者は導入し易いかもしれませんが、他にもっと使いやすくて安心感のあるセキュリティ対策プラグは存在します。
数多くあるセキュリティ対策プラグインのなかでも、All In One WP Security & Firewallは、1つのプラグインで他のプラグインの機能も入っていて一石二鳥なのでおすすめです。
All In One WP Security & Firewall セキュリティ対策プラグイン 設定方法と使い方
Wpdoctor セキュリティ対策・改ざん検出プラグイン 設定方法と使い方
Wordfence Security プラグインを削除する方法
Wordfence Security 2段階認証の設定方法と使い方
Wordfence Security セキュリティ対策プラグイン 設定方法と使い方
Solid Security セキュリティ対策プラグイン 設定方法と使い方
WP Cerber Security セキュリティ対策プラグイン 使い方と設定方法
reCAPTCHA 導入方法とContact Form 7への設定方法
SiteGuard WP Plugin セキュリティ対策プラグイン 設定方法と使い方
Akismet スパム保護プラグイン 設定方法と使い方
