この記事では、「セキュリティ強化」を実現できるWordPessプラグイン「XO Security」の使い方について解説します。
WordPressはブログ(CMS:コンテンツ・マネジメント・システム)として、世界で№1のシェアを占めています。
ただ、シェアが高いために、WordPressは悪意のある第三者からも狙われやすいCMSともいえます。
だからこそ、サイト(ブログ)のセキュリティを強化するプラグインを導入することは非常に大事なんですね。
この記事では、セキュリティ強化プラグイン「XO Security」のインストール、設定についての手順を解説していきます。
以降のインストール/設定手順をぜひ参考にして、サイトをセキュリティ強化してください!
類似プラグイン(SiteGuard WP Plugin)の問題について(ここをタップ)
この記事で紹介する「XO Security」以外にも、セキュリティ強化プラグインとして有名なものに日本製の「SiteGuard WP Plugin」があります。
しかし、このプラグインはSWELLとの相性が悪いのか、ログインできないなどの不具合や、特定のPHPでの不具合が報告されています。(SWELLの開発者さんも「SiteGuard WP Plugin」はおすすめしていないです)
また、最近になって、Cocoon+「SiteGuard WP Plugin」の組み合わせでログインに関する不具合が発生していました。
Cocoonのフォーラムで報告された現象と対策
ひとまず、Cocoonの開発者の方がCocoonの2.5.6.1のバージョンで緊急対応されたようで、WordPressの管理画面(ダッシュボード)からアップデートできるので、問題が発生している人はアップデートをおすすめします。(現在は、2.5.6.1以降のバージョンに更新されます)
これは、PHPのバージョンに絡む「SiteGuard WP Plugin」側の問題のようなので、このプラグインの導入を考えている場合は、慎重に検討した方がいいでしょう。
「XO Security」を使っていて管理画面にログインできくなった時は次の記事を参考にしてください。
必須のプラグインはインストール済ですか? 次の記事でおすすめの必須プラグインを紹介しています。
不要なプラグインを間違って有効化しないように削除しましょう!
セキュリティ強化プラグイン【XO Security】のインストール/有効化
まずは、プラグイン「XO Security」をインストールして有効化します。
インストール/有効化
WorPressの管理画面にログインし、管理画面メニュー「プラグイン」の「新規追加」(①)をクリック。
キーワードに「XO Security」を入力。(入力したら自動でプラグインを検索します)
以下のように「XO Security」が検索されるので、「今すぐインストール」(①)をクリックし、次に「有効化」(②)をクリック。
セキュリティ強化プラグイン【XO Security】のおすすめ設定
【XO Security】のおすすめの設定を次の項目に沿って行います。
インストール/有効化が終わったので、設定画面を開きます。
管理画面メニュー「設定」の「XO Security」(①)をクリック。
「XO Security」の設定画面が表示されます。
設定項目はいくつか分類されていて、この中の「ログイン」~「秘匿」までを設定します。
「ログイン」の設定
■【XO Security】おすすめの設定
「ログイン」に関する設定を行います。
「ログイン」タブをクリックし、画面上半分の①~③の項目を以下の通りに変更します。
重要です!
③「ログインファイル」は、標準のログインページURLを任意のURLに変更する重要な項目です。
標準のURL(https://ドメイン/wp-admin/)
↓
任意のURL(https://ドメイン/任意の文字列.php)
標準のままだと、家(ブログ)の玄関(ログインページのURL)は誰でも知っている状態なので、かなり危険です。
玄関がわかると、あとは鍵(ユーザ名、パスワード)さえわかれば、家に侵入することができます。
玄関をわからないようにするのが、この設定項目なんです。
やることは、
③の入力欄に好きな文字列を入力するだけです。
この時、変更したURLは「https://ドメイン/入力した文字列.php」となります。(上記画像の赤下線部分)
URLは必ず保存する!
URLを忘れるとログインができなくなるので、ブックマークは忘れないようにしてください。
念のためメモ帳などへの保存をおすすめします。
もしURLがわからなくなった場合は、以下の記事を参考にしてください。
続いて、画面下半分の4~⑥の項目を以下の画像の通り変更したら、画面下の「変更を保存」をクリックします。
CAPTCHA(⑥)を「ひらがら」にするとどうなる?
CAPTCHAの指定を「ひらがな」にした場合、ログイン画面にランダムなひらがな4文字が表示され、この文字と一致したものを入力しないとログインできないようになります。
つまり、これも不正ログインを防ぐための対策です。
「コメント」の設定
■【XO Security】おすすめの設定
「コメント」関する設定を行います。
投稿記事に対してコメントを許可しない場合は、以下の設定は不要なので次の設定に進んでください。
「コメント」タブをクリックし、①の項目を以下の通りに変更して「変更を保存」をクリックします。
「XML-RPC」の設定
■【XO Security】おすすめの設定
「XML-RPC」に関する設定を行います。
「XML-RPC」タブをクリックし、①の項目を以下の通りに変更して「変更を保存」をクリックします。
「REST API」の設定
■【XO Security】おすすめの設定
「RES API」に関する設定を行います。
「REST API」タブをクリックし、①、②のように操作します。
- 「REST API の無効化」をクリック(ONに変更)
- 以下の2項目のみチェック。(無効化)
/wp/v2/users
/wp/v2/users/(?P[\d]+)
※項目はかなり下の方にあるので、スクロールしてください。
2項目を「無効化」する目的は以下の通り。
| /wp/v2/users | WordPressログインユーザ情報(登録ユーザー全て)が取得できるパスです。 情報が漏れないように無効化します。 |
|---|---|
| /wp/v2/users/(?P[\d]+) | WordPressログインユーザ情報(指定IDユーザー)が取得できるパスです。 情報が漏れないように無効化します。 例)/wp/v2/users/1 → IDが「1」のユーザー情報 |
例えば、https://ドメイン名/wp-json/wp/v2/users/1(IDが1のユーザー)にアクセスした時に、
“id”:1,”name”:”XXXXXX”と表示された。
還じいユーザー名(”XXXXXX”)が漏れているので、不正アクセスのリスクあり!
“code”:”rest_no_route”と表示された。
還じい「無効化」されてるので、ログインユーザー名は漏れてません!
「秘匿」の設定
■【XO Security】おすすめの設定
「秘匿」に関する設定を行います。
ここでは、「不正アクセスに利用されないように、余計な情報を画面に表示させない(隠す)」設定を主に行います。
「秘匿」タブをクリックし、画面上半分の①~③の項目を以下の通りに変更します。
画面下半分は、④の項目を以下の通りに変更して、「変更を保存」をクリックします。
どの項目が変更されたか確認するには?(ここをタップして確認)
「ステータス」のタブをクリックすると、設定項目の一覧が表示されます。
この中で、緑のチェックマークがついているものが、規定値(標準値)から変更された項目となります。
投稿者にニックネームを付ける
「XO Security」の設定は終わりましたが、「秘匿」の設定において「投稿者スラッグの編集」(①)を「有効」(ON)に設定した場合、「投稿者」にニックネーム(別名)を付けることが推奨されています。
ニックネームを付けることで、投稿記事などの画面に表示される「ユーザー名」の代わりにニックネームが表示されるようになります。
玄関の鍵となる「ユーザー名」を隠すことによって、セキュリティを強化できるので、必ずニックネームを付けるようにしましょう。
以降の手順にしたがって、ニックネームを付けてください。
管理画面メニュー「ユーザー」の「プロフィール」(①)をクリック。
画面中ほどの(①)に、正式なユーザー名とは異なるニックネームを入力します。
※ニックネームは画面に表示されても問題ない名前にしてください。
①に入力すると、自動で②のリストにニックネームが追加されるので、そのニックネームを選択します。
最後に③にも同じニックネームを入力して「変更を保存」をクリックします。
念のため、以下の手順で記事下の「投稿者」の名前にニックネームが表示されることを確認します。
既に作成済の任意の記事を画面に表示させ、記事の下にある投稿者の名前に、入力したニックネームが表示されることを確認してください。
WordPressにちょっとでも詳しい人だと、セキュリティ対策をしていない玄関(管理画面のURL)とログインユーザー名を簡単に特定することができます。
そのため、セキュリティ対策をしないサイト(ブログ)では、管理画面に不正ログインされる可能性が高くなるため、非常に危険です。
「XO Security」は、プラグインの中でも最も重要となるものなので、必ず導入しましょう!
サイト開設間もないのに不正アクセスの形跡あり
このサイトは開設してまだ3週間ですが、それでも不正アクセスのログ(記録)を確認できます。
URLを変更しているので、さすがにログインページに対する攻撃はないですが、やっぱり怖いですよね。
還じいログ見ると、毎日?といえるぐらいに不正アクセスの痕跡が、、、、
セキュリティ強化プラグインの導入は必須です!
「XO Security」を使っていて管理画面にログインできくなった時は次の記事を参考にしてください。
必須のプラグインはインストール済ですか? 次の記事でおすすめの必須プラグインを紹介しています。
不要なプラグインを間違って有効化しないように削除しましょう!