MENU
【初心者さん向け】ブログの「始め方/稼ぎ方」をまとめています!
  1. ホーム
  2. WordPress
  3. プラグイン
  4. 【XO Security】WordPressのセキュリティを強化するプラグイン

【XO Security】WordPressのセキュリティを強化するプラグイン

プラグイン
セキュリティ強化プラグイン【XO Security】

この記事では、「セキュリティ強化」を実現できるWordPessプラグイン「XO Security」の使い方について解説します。

「CTRL」+「D」を押すだけで、当サイト【還じいブログ】の記事がブックマークできます!

修正履歴

2025.02.28)コメントでCAPTCHAを有効にした時のコメント画面イメージを追加。

WordPressはブログ(CMS:コンテンツ・マネジメント・システム)として、世界で№1のシェアを占めています。

そのために、WordPressは悪意のある第三者からも狙われやすいCMSともいえます。

だからこそ、サイト(ブログ)のセキュリティを強化するプラグインを導入することは非常に大事なんですよね。

この記事では、セキュリティ強化プラグイン「XO Security」のインストール、設定についての手順を解説していきます。

以降のインストール/設定手順をぜひ参考にして、サイトをセキュリティ強化してください!

類似プラグイン(SiteGuard WP Plugin)の問題について(ここをタップ)

この記事で紹介する「XO Security」以外にも、セキュリティ強化プラグインとして有名なものに日本製の「SiteGuard WP Plugin」があります。

しかし、このプラグインはSWELLとの相性が悪いのか、ログインできないなどの不具合や、特定のPHPでの不具合が報告されています。(SWELLの開発者さんも「SiteGuard WP Plugin」はおすすめしていないです)

また、最近になって、Cocoon+「SiteGuard WP Plugin」の組み合わせでログインに関する不具合が発生していました。

Cocoonのフォーラムで報告された現象と対策

ひとまず、Cocoonの開発者の方がCocoonの2.5.6.1のバージョンで緊急対応されたようで、WordPressの管理画面(ダッシュボード)からアップデートできるので、問題が発生している人はアップデートをおすすめします。(現在は、2.5.6.1以降のバージョンに更新されます)

WordPess管理画面からアップデート
Cocoonを管理画面で更新する

これは、PHPのバージョンに絡む「SiteGuard WP Plugin」側の問題のようなので、このプラグインの導入を考えている場合は、慎重に検討した方がいいでしょう。

関連情報

「XO Security」を使っていて管理画面にログインできくなった時は次の記事を参考にしてください。

「XO Security」の導入でWordPressにログインできない

必須のプラグインはインストール済ですか? 次の記事でおすすめの必須プラグインを紹介しています。

【WordPress】入れておくべき必須のプラグイン7選

不要なプラグインを間違って有効化しないように削除しましょう!

【WordPress】削除すべきプラグインとおすすめしないプラグインをまとめてみた
目次

セキュリティ強化プラグイン【XO Security】のインストール/有効化

まずは、プラグイン「XO Security」をインストールして有効化します。

インストール/有効化

WorPressの管理画面にログインし、管理画面メニュー「プラグイン」の「新規追加」(①)をクリック。

管理画面メニュー「プラグイン」の「新規追加」

キーワードに「XO Security」を入力。(入力したら自動でプラグインを検索します)

セキュリティ強化プラグイン【XO Security】を設定する

以下のように「XO Security」が検索されるので、「今すぐインストール」(①)をクリックし、次に「有効化」(②)をクリック。

セキュリティ強化プラグイン【XO Security】を設定する

セキュリティ強化プラグイン【XO Security】のおすすめ設定

【XO Security】のおすすめの設定を次の項目に沿って行います。

インストール/有効化が終わったので、設定画面を開きます。

管理画面メニュー「設定」の「XO Security」(①)をクリック。

管理画面メニュー「設定」の「XO Security」

「XO Security」の設定画面が表示されます。
設定項目はいくつか分類されていて、この中の「ログイン」~「秘匿」までを設定します。

セキュリティ強化プラグイン【XO Security】を設定する

「ログイン」の設定

【XO Security】おすすめの設定

「ログイン」に関する設定を行います。

「ログイン」タブをクリックし、画面上半分の①~③の項目を以下の通りに変更します。

セキュリティ強化プラグイン【XO Security】を設定する

重要です!

③「ログインファイル」は、標準のログインURLを任意のURLに変更する重要な項目です。

標準のログインURL(https://ドメイン/wp-admin/)

任意のログインURL(https://ドメイン/任意の文字列.php

標準のままだと、家(ブログ)の玄関(ログインURL)は誰でもわかってしまうので、狙われやすくなってかなり危険なんです。

③の入力欄に好きな文字列を入力して、必ず標準のログインURLから変更してください。

変更した時に気をつけないといけないのは、URLを忘れないようにすることです。
URLを忘れてしまうと対応が面倒になります。(以下の記事参照)
「XO Security」の導入でWordPressにログインできない

変更したURLは、メモかなにかに保存して忘れないようにしましょう!

続いて、画面下半分の4~⑥の項目を以下の画像の通り変更したら、画面下の「変更を保存」をクリックします。

セキュリティ強化プラグイン【XO Security】を設定する
CAPTCHA(⑥)を「ひらがら」にするとどうなる?

CAPTCHAの指定を「ひらがな」にした場合、ログイン画面にランダムなひらがな4文字が表示され、この文字と一致したものを入力しないとログインできないようになります。
つまり、これも不正ログインを防ぐための対策です。

セキュリティ強化プラグイン【XO Security】を設定する

「コメント」の設定

【XO Security】おすすめの設定

「コメント」に関する設定を行います。

投稿記事に対してコメントを許可しない場合は、以下の設定は不要なので次の設定に進んでください。

「コメント」タブをクリックし、①の項目を以下の通りに変更して「変更を保存」をクリックします。

セキュリティ強化プラグイン【XO Security】を設定する

上記設定をすると、コメントのところにひらがなのCAPTCHAが表示されます。

「XO Security」のスパムコメント設定したコメントの画面

「XML-RPC」の設定

【XO Security】おすすめの設定

「XML-RPC」に関する設定を行います。

「XML-RPC」タブをクリックし、①の項目を以下の通りに変更して「変更を保存」をクリックします。

セキュリティ強化プラグイン【XO Security】を設定する

「REST API」の設定

【XO Security】おすすめの設定

「RES API」に関する設定を行います。

「REST API」タブをクリックし、①、②のように操作します。

  • 「REST API の無効化」をクリック(ONに変更)
  • 以下の2項目のみチェック。(無効化)
    /wp/v2/users
    /wp/v2/users/(?P[\d]+)

※項目はかなり下の方にあるので、スクロールしてください。

セキュリティ強化プラグイン【XO Security】を設定する

2項目を「無効化」する目的は以下の通り。

/wp/v2/usersWordPressログインユーザ情報(登録ユーザー全て)が取得できるパスです。
情報が漏れないように無効化します。
/wp/v2/users/(?P[\d]+)WordPressログインユーザ情報(指定IDユーザー)が取得できるパスです。
情報が漏れないように無効化します。
例)/wp/v2/users/1 → IDが「1」のユーザー情報
REST-APIで無効化するパスの

例えば、https://ドメイン名/wp-json/wp/v2/users/1(IDが1のユーザー)にアクセスした時に、

“id”:1,”name”:”XXXXXX”と表示された。

ユーザー名(”XXXXXX”)が漏れているので、不正アクセスのリスクあり!

“code”:”rest_no_route”と表示された。

「無効化」されてるので、ログインユーザー名は漏れてません!

「秘匿」の設定

【XO Security】おすすめの設定

「秘匿」に関する設定を行います。

ここでは、「不正アクセスに利用されないように、余計な情報を画面に表示させない(隠す)」設定を主に行います。

「秘匿」タブをクリックし、画面上半分の①~③の項目を以下の通りに変更します。

セキュリティ強化プラグイン【XO Security】を設定する

画面下半分は、④の項目を以下の通りに変更して、「変更を保存」をクリックします。

セキュリティ強化プラグイン【XO Security】を設定する

以上で、「XO Security」による設定は完了です!

どの項目が変更されたか確認するには?(ここをタップして確認)

「ステータス」のタブをクリックすると、設定項目の一覧が表示されます。

この中で、緑のチェックマークがついているものが、規定値(標準値)から変更された項目となります。

セキュリティ強化プラグイン【XO Security】を設定する

投稿者にニックネームを付ける

「XO Security」の設定は終わりましたが、「秘匿」の設定において「投稿者スラッグの編集」(①)を「有効」(ON)に設定した場合、「投稿者」にニックネーム(別名)を付けることが推奨されています。

ニックネームを付けることで、投稿記事などの画面に表示される「ユーザー名」の代わりにニックネームが表示されるようになります。

玄関の鍵となる「ユーザー名」を隠すことによって、セキュリティを強化できるので、必ずニックネームを付けるようにしましょう。

以降の手順にしたがって、ニックネームを付けてください。

管理画面メニュー「ユーザー」の「プロフィール」(①)をクリック。

管理画面メニュー「ユーザー」の「プロフィール」

画面中ほどの(①)に、正式なユーザー名とは異なるニックネームを入力します。
※ニックネームは画面に表示されても問題ない名前にしてください。

①に入力すると、自動で②のリストにニックネームが追加されるので、そのニックネームを選択します。
最後に③にも同じニックネームを入力して「変更を保存」をクリックします。

セキュリティ強化プラグイン【XO Security】を設定する

念のため、以下の手順で記事下の「投稿者」の名前にニックネームが表示されることを確認します。

既に作成済の任意の記事を画面に表示させ、記事の下にある投稿者の名前に、入力したニックネームが表示されることを確認してください。

セキュリティ強化プラグイン【XO Security】を設定する

これで、プラグイン「XO Security」のおすすめ設定と「投稿者にニックネームを付ける」設定が完了しました。

WordPressにちょっとでも詳しい人だと、セキュリティ対策をしていない玄関(管理画面のURL)とログインユーザー名を簡単に特定することができます。

そのため、セキュリティ対策をしないサイト(ブログ)では、管理画面に不正ログインされる可能性が高くなるため、非常に危険です。

「XO Security」は、プラグインの中でも最も重要となるものなので、必ず導入しましょう!

サイト開設間もないのに不正アクセスの形跡あり

このサイトは開設してまだ3週間ですが、それでも不正アクセスのログ(記録)を確認できます。

ログの確認は、管理メニューの「ユーザー」→「ログインログ」

URLを変更しているので、さすがにログインページに対する攻撃はないですが、やっぱり怖いですよね。

ログ見ると、毎日?といえるぐらいに不正アクセスの痕跡が、、、、

セキュリティ強化プラグインの導入は必須です!

不正アクセスのログを確認
関連情報

「XO Security」を使っていて管理画面にログインできくなった時は次の記事を参考にしてください。

「XO Security」の導入でWordPressにログインできない

必須のプラグインはインストール済ですか? 次の記事でおすすめの必須プラグインを紹介しています。

【WordPress】入れておくべき必須のプラグイン7選

不要なプラグインを間違って有効化しないように削除しましょう!

【WordPress】削除すべきプラグインとおすすめしないプラグインをまとめてみた

「CTRL」+「D」を押すだけで、当サイト【還じいブログ】の記事がブックマークできます!

プラグイン
セキュリティ プラグイン
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

CAPTCHA

目次