MENU
本サイトのリンクには広告が含まれています。

初心者でも簡単!セキュリティ対策に「XO Security」の設定方法【WPプラグイン】

こんな悩みを解決します
  • セキュリティ対策を簡単にやりたい
  • XO Securityの設定方法は?
  • XO Securityでどんなことができるの?
  • XO Securityのトラブルの解決方法は?

WordPressのセキュリティ対策したいのだけどもよく分からないの。。。

XO Securityを使えば初心者でも簡単にセキュリティ対策ができますよ。

目次

WordPressブログのセキュリティ対策の必要性

そもそも、どうしてセキュリティ対策が必要なの?

初期設定のWordPressはセキュリティが完璧ではありません。そのため不正アクセスされる可能性があるからです。

\セキュリティについては知ってるよ /

\とにかく 設定方法が知りたい !/

WordPressのセキュリティに関する弱点

WordPressは初期の状態だと、次のようなセキュリティに関する弱点があります。

WordPressのセキュリティに関する弱点
  • 誰でも管理画面にアクセスできる。
  • ログインページのURLは誰にでもわかる
  • ログインIDが簡単に調べられる

誰でも管理画面にアクセスできる

WordPressはID(ユーザー名orメールアドレス)とパスワードでログインします。このID、パスワードが分かっていれば誰でも管理画面にアクセスできます

また、パスワードを間違えても何度でもやり直せます

そのため、パスワードなど考えられるパターンを手あたり次第に試すような攻撃でパスワードを解析されてしまうことがあります。

ログインページのURLは誰にでもわかる

WordPressのログインページはURLが決まっています。

初期状態のWordPressのログインページのURLは、ドメイン名の後に、「wp-login.php」とするルールがあり、知っている人であれば簡単にアクセスできてしまう弱点となります。

たとえば、このブログのログインページの初期URLは

https://arakiblog.com/wp-login.php

となります。

今はXO Securityで変えているので、上のURLでは今はアクセスできないですよ~。

ログインIDが簡単に調べられる

WordPressのログインIDのうち「ユーザ名」は下記のURLで、簡単に調べることができてしまいます。

https://ドメイン/wp-json/wp/v2/users

ユーザ名とパスワードとパスワードの両方がわからないのと、ユーザ名が分かってしまっていて、後はパスワードだけという状況を比較すると、どちらが不正アクセスされやすいかあきらかですよね?

セキュリティ対策をしていないとどうなる?

気づいていないだけで、あなたのWordPressブログには色々な手段で不正アクセスしようとしてきます。

もし、セキュリティ対策をしておらず、不正アクセスされてしまうと、次のような結果になります。

不正アクセスの結果起こること
  • あなたのWordPressブログが乗っ取られる
  • ID、パスワードを流用していると他でも不正アクセスされる
  • あなたのWordPressが第三者への攻撃の踏み台になる

といったことが起こります。

WordPressブログの乗っ取り

もし、あなたのWordPressブログに不正アクセスが成功して、ID、パスワードが変更されると、もうあなたはログインできません。

そうなると、あなたはブログに投稿したり、修正したりすることができなくなり、不正アクセスした人が自由に内容を変えることができるようになります。

ID、パスワードを流用していると他でも不正アクセスされる

もし、WordPressブログで利用していたID、パスワードを他でも利用していた場合、例えば、ショッピングサイトでも同じID、パスワードを利用していたとすると、ショッピングサイトでも不正アクセスされてしまう可能性があります。

こういったことを防ぐためにID、パスワードの使いまわしはしない方がいいです。

WordPressブログが第三者への攻撃の踏み台となる

例えば、あなたのブログが詐欺サイトに改ざんされてしまうと、あなたのブログの訪問者に詐欺行為をはたらいてしまうことになります

このようなことは避けたいですよね。

XO Securityとは

XO Securityは初心者でも簡単に設定・利用できるWordPressのセキュリティ対策プラグインです。

また、国産プラグインで日本人にも使いやすいです。

\ 設定方法が知りたい !/

XO Securityができるセキュリティ対策

XO Securityは様々な不正アクセス対策ができます。

XO Securityの主な機能
  • ログイン回数などの制限
  • ログインURLの変更
  • 画面認証(CAPTCHA)の追加
  • コメントのスパム対策
  • ブログのID情報などを隠す

これらの機能でWordPressの弱点をカバーすることができます。

  • ID、パスワードで誰でも管理画面にアクセスできる。
  • ログインページのURLは誰にでもわかる
  • ログインIDが簡単に調べられる
これらの弱点をなくしましょう

XO Securityを導入するメリット

XO Securityには色々なメリットがあります。

XO Securityを導入するメリット
  • 無料で使える
  • 日本語対応(国産プラグイン)
  • 設定がシンプルだが高機能
  • .htaccessを使用しない

順番に見ていきましょう

無料で使える

XO Securityは高機能ですが、無料で利用できます。無料でありがたいです。

日本語対応(国産プラグイン)

海外の優れたプラグインでも、日本語に対応してなかったり、日本語対応していても、英語から無理やり訳した分かりにくい日本語だったりすると、ちょっと使うのをためらってしまいますよね。

その点、XO Securityは国産プラグインです。当然日本語に対応していて安心して使えます。

個人的には国産プラグイン自体を応援したいですね。

設定がシンプルだが高機能

たくさんの機能があるにも関わらず、設定はほとんどが、ON、OFF、チェックを入れるなどで完了できてしまいます。初心者にとってはとても優しいプラグインです。

また高機能なので複数のプラグイン機能を1つでカーバーしていて、プラグインの利用数を減らせます。

XO Securityを使えば利用しなくていいプラグイン例
  • Akismet Spam Protection(コメントスパムの対策)
  • Limit Login Attempts(ログイン制限)
  • Edit Author Slug (投稿者スラッグの秘匿)

プラグインが多いとWordPressブログの動作が遅くなることがあります。できるだけ減らしましょう

.htaccessを使用しない

同じようなセキュリティプラグインの「SiteGuard WP Plugin」では「.htaccess」を使用し内容が変更されます。このときトラブルになることもあります。

その場合、「.htaccess」を直接編集するなどの対応が必要になり、初心者の方にとっては面倒な作業になります。

その点、XO Securityでは「.htaccess」を利用しないので、そういったトラブルとは無縁です

インストール方法

インストール方法は一般的なプラグインのインストールと同じです。

STEP

「プラグインを追加」画面

WordPressの管理画面のメニューの[プラグイン]の[新規追加]をクリックして、「プラグインを追加」画面を表示します。

STEP

プラグインのインストール

「プラグインを追加」画面のキーワードの右の欄に「XO Security」と入力し、XO Securityを検索して、検索結果のXO Securityの右上にある「今すぐインストール」をクリックします。

STEP

プラグインの有効化

インストールが終わると、「今すぐインストール」の部分が「有効化」というボタンに変わるので、「有効化」をクリックします。

これで、XO Securityのインストールと有効化が完了です。

設定方法

XO Securityはインストール直後は、ログインを記録すること以外何も設定されていません。

順番に設定していきましょう。

管理画面の「設定」を選び、「XO Security」をクリックして、「XO Security 設定」をクリックします。

XO Security設定画面で表示されているタブには、「ステータス」、「ログイン」、「コメント」、「XML-RPC」、「REST API」、「秘匿」、「環境」があります。タブごとに解説していきます。

下のリンクからそれぞれのタブの詳細に飛べます

ステータス表示

ステータスでは現在設定されている項目に緑のチェックマークが入ります。プラグインを入れた直後は「ログインログ」だけにチェックが入っています。

ログインに関する設定

タブメニューの[ログイン]をクリックすると次のような画面になります。

1つ1つの項目は後で詳しく説明しますが、どんな設定項目があるのかと、おすすめの設定を一覧にしました。

設定項目おすすめ設定
試行回数制限24時間の間に4回までリトライを許可
ブロック時の応答遅延120秒
失敗時の応答遅延10秒
ログインページの変更ONにしてログインファイル名を変更
ログイン ID の種類ユーザー名のみ
ログイン言語制限設定しない
ログインエラーメッセージ簡略化
CAPTCHAひらがな
パスワードリセットリンク有効
サイトへ移動リンク有効
ログインアラートONにする
「ログイン」おすすめ設定一覧
表のマークの見方

◎:超重要(設定することが必須)

〇:重要(設定した方が良い)

△:設定しなくてもよい

ー:設定しない

タブを切り替える前に「変更を保存」しないと、変更内容が有効にならないので注意してください。

試行回数制限

どのような機能か

不正アクセスのロボットに対するログインの試行回数に制限機能

選択肢
  • 試行回数の制限なし(デフォルト)
  • 1時間の間に
  • 12時間の間に
  • 24時間の間に
  • 48時間の間に
おすすめの設定

慣れるまで
「1時間の間に」「4回までリトライを許可する」

慣れた後
「24時間の間に」「4回までリトライを許可する」

「試行回数制限」ではログインの試行回数に制限を設けられます。指定時間の間に指定回数ログインが失敗するとロックがかかり、正しいID、パスワードを入力してもログインできなくなります。

例えば、「1時間の間に」「4回までリトライを許可する」とすれば、1時間の間に4回ログインに失敗するとロックがかかります。

このような設定をすることで、短時間のうちに大量の辞書攻撃を仕掛けるロボットには有効な対策となります。もし、間違ったとしても1時間待てばログインできるようになるので、我慢できるんじゃないでしょうか?

使っていて、あまり間違わないようだったら「24時間の間に」「4回までリトライを許可」に変更しても思います。

セキュリティを強化し過ぎると利便性が悪くなるため、気をつけましょう

WordPressのデフォルトのセッション保持期間は『2日』です。 ログインフォームにある「ログイン状態を保持する」というチェックボックスをチェックすると『14日間』になります。

ブロック時の応答遅延

どのような機能

ログインに制限がかかったときに、制限がかかったことを表示するまでの時間(秒)設定

選択肢

0秒~120秒

おすすめ設定

120秒(最大値)

ログイン失敗回数が「試行回数制限」の設定に達してログインに制限がかかったときに、次のような画面が表示されます。

この画面が表示するまでの時間(秒)を調整できます。

長ければ長いほど、その間操作ができなくなるので、時間当たりの不正アクセス試行回数を減らすことができ、セキュリティを強化できます。

失敗時の応答遅延

どのような機能か

ログインに失敗したときに、失敗したことを表示するまでの時間(秒)設定

選択肢

0秒~10秒

おすすめの設定

10秒(最大値)

入力したID、パスワードが間違っていてログインに失敗したときに、ログインに失敗したことを表示するまでの時間(秒)を調整できます。

長ければ長いほど、その間操作ができなくなるので、時間当たりの不正アクセス試行回数を減らすことができ、セキュリティを強化できます。

ログインページの変更

どのような機能か

ログインページのURLをログインに失敗したときに、失敗したことを表示するまでの時間(秒)設定

おすすめの設定

ONにしてログインページを変更

ログインページを表示するための「ファイル(wp-login.php)の名前」を変更できます。

ファイル名を変更することで、実質的にログインページのURLを変える仕組みです。

ONにしたあとログインページに任意の名前を付けてください。

変更後のURLは、以下のとおりです。

例:https://arakiblog.com/●●●.php

「●●●」が入力した文字列になります。

変更した内容(ファイル名)を忘れると、ログインページが表示させられなくなるので、ログインできなくなります。必ずログインページのURLをメモしておきましょう。

ログインIDの種類

どのような機能か

ログインIDの種類を制限できます。

選択肢
  • ユーザ名またはメールアドレス(デフォルト)
  • ユーザ名のみ
  • メールアドレスのみ
おすすめの設定

ユーザー名のみ

WordPressではログインIDにユーザ名とメールアドレスの2種類が使えます。両方使えるようにするのか、どちらか一方しか使えないようにするかの設定ができます。

メールアドレスでログインできないようにするのがおすすめです。公開されたメールアドレスが収集され、後々不正アクセスに利用される可能性があります。

ログイン言語制限

どのような機能か

ログインを許可するブラウザの言語設定を指定できます。

設定方法

「wp-config.php」 という設定ファイルを直接編集

おすすめの設定

日本語のみ

通常ブログにはブラウザでアクセスしますが、ブラウザには日本語、英語、中国語などの言語設定がされています。設定により、特定の言語のみログインを許可することができます。

初心者にとって難しい設定となります。ほかの設定でも十分セキュリティ対策ができるので、ここは設定しなくてもよいと思います。

ログインエラーメッセージ

どのような機能か

ログインに失敗したときのエラーメッセージを変更することができます。

選択肢
  • デフォルト(デフォルト)
  • 簡略化
おすすめの設定

簡略化

WordPressではログインに失敗したときのエラーメッセージからそのとき失敗したログインIDが存在するかどうか知ることができます。

存在しないIDでログインしようとした場合

存在しないIDでログインを試みると次のようなエラーが表示されます。入力したユーザ名が間違っていることが簡単にわかってしまいます。

存在するIDでパスワードが間違っていた場合

存在するIDでパスワードが誤っていると、次のようなエラー画面が表示されます。このように表示されるとユーザ名は合っていて、後はパスワードさえ分かればログインできることが簡単に分かってしまいます。

この情報をヒントにID(ユーザ名やメールアドレス)が存在するかどうか調べ、不正アクセスの攻撃に使われる可能性があります。

XO Securityでは、ログインエラーメッセージの設定で「簡略化」を選ぶことでエラーメッセージを次のように変更しIDの特定を防ぐことができます。

簡略化を選んだ状態で、ログインに失敗するとIDに間違いがあったのか、パスワードに間違いがあったのか分からなくなります。そのため不正アクセスしにくくなります。

CAPTCHA

どのような機能か

ログインに画面認証を追加することができます。

選択肢
  • 無効(デフォルト)
  • 英数字
  • ひらがな
おすすめの設定

ひらがな

CAPTCHAとは画像認証の事です。ちょっとしたセキュリティ高めのホームページでよく利用されている画像認証が簡単に利用できるようになります。

画像でちょっと読みにくい感じで文字が表示され、それを読み取り入力欄に入力することで、アクセスしているのがロボットでないと確認する機能です。

ひらがなで設定すると次にようなログイン画面になります。

XO Securityでは「ひらがな」が選択できるようになっていますので、画像認証を利用する場合は、「英数字」でなく、必ず「ひらがな」を選択しましょう。

海外産のロボットが多いので「英数字」でなく「ひらがな」を選ぶだけで不正アクセスのリスクを減らせます。

ひらがなを選べるなんて、さすが国産プラグインですね。

画像認証は、キャッシュプラグインなどを利用している場合、前にアクセスした画像が表示されるなど、正しく表示されない場合がありますので、注意してください。

パスワードリセットリンク

どのような機能か

ログイン画面の「パスワードをお忘れですか?」リンクの表示・非表示設定

選択肢
  • 有効(デフォルト)
  • 無効
おすすめの設定

有効

WordPressにはパスワードを忘れた場合、そのパスワードをリセットすることができる機能があります。

XO Securityでは、パスワードリセットのリンクを非表示にすることで、パスワードリセット機能を無効にすることができます。

参考までにパスワードのリセット方法の説明をしておきます。

WordPressのパスワードリセット手順

STEP
パスワードをお忘れですか?のリンクをクリック

ログイン画面の「パスワードをお忘れですか?」のリンクをクリックします。

STEP
メールアドレスまたはユーザ名を入力し「新しいパスワードを取得」をクリック

ID入力画面が表示されるので、ユーザ名またはメールアドレスを入力し「新しいパスワードを取得」をクリックします。

しばらくするとパスワードリセットするためのリンクが記載されたメールが届くのでそこで、そのリンクからパスワードをリセットします。

無効にした方がセキュリティが高くなりますが、パスワードを忘れてしまった場合、リセットができなくなりログインできなくなります。

絶対にパスワードを忘れないという自信のある方は無効でもOKです。

サイトへ移動リンク

どのような機能か

ログインページに設置されている、自分のWordPressブログのトップ画面に飛ぶリンクの表示・非表示設定

選択肢
  • 有効(デフォルト)
  • 無効
おすすめの設定

有効、無効のどちらでもOK

下の赤枠のように、自分のWordPressブログのトップ画面に飛ぶためのリンクを表示したり、費用時に設定できます。

有効にしても、無効にしても、セキュリティ的には変わりがないのでどちらでもOKです。

ログインアラート

どのような機能か

WordPressにログインしたときに登録しているメールアドレスにログインしたことがメールで通知される機能です。

選択肢
  • OFF(デフォルト)
  • ON
おすすめの設定

ON

初期状態のWordPressではログインしても通知が来るわけではありません。

この機能を有効にすることで、WordPressにログインしたときに登録しているメールアドレスにログインしたことがメールで通知されるようになります。

もし、ログインしていないのに、通知メールが届いた場合は、不正アクセスされてしまっている可能性があります。

ログインするたびにメールが届くのがうっとうしいという方は「OFF」でもいいです。

ちなみにWordPressのデフォルトのセッション保持期間は『2日』です。 ログインフォームにある「ログイン状態を保持する」というチェックボックスをチェックすると『14日間』になります。

管理者にチェックを入れると、管理者がログインした場合のみ通知メールが送信されます。

タブを切り替える前に「変更を保存」しないと、変更内容が有効にならないので注意してください。

コメントに関する設定

コメントのタブをクリックするとコメントに関する設定項目がひらきます。

ブログ記事に対するコメント投稿を有効にしていると、ロボットによるスパムコメントの投稿に悩まされます。

ここではスパムコメント投稿に関するセキュリティ設定ができます。

XO Securityのコメント設定を利用すれば、スパム対策プラグイン「Akismet」が不要になります。

少しでもプラグインを減らしWordPressに負荷をかけないようにしたいですね。

1つ1つの項目は後で詳しく説明しますが、どんな設定項目があるのかと、おすすめの設定を一覧にしました。

設定項目おすすめ設定
CAPTCHAひらがな
スパム保護フィルター
コメントフォームを日本語のみに制限
ON
スパム保護フィルター
スパムとして保存されているコメントのメールアドレス
ON
スパムコメントブロック
ボット保護チェックボックスOFF
「コメント」おすすめ設定一覧
表のマークの見方

◎:超重要(設定することが必須)

〇:重要(設定した方が良い)

△:設定しなくてもよい

ー:設定しない

タブを切り替える前に「変更を保存」しないと、変更内容が有効にならないので注意してください。

CAPTCHA

どのような機能か

コメント投稿に画像認証を設置

選択肢
  • 無効(デフォルト)
  • 英数字
  • ひらがな
おすすめの設定

ひらがな

WordPressではコメントを受け付ける設定をしていると、あなたのブログにアクセスしてきた人が記事に対してコメントを入力できるようになります。

コメントを投稿するときに、画像認証を表示させ、ロボットからの投稿を防ぐことができます。

XO Securityでは「ひらがな」が選択できるようになっていますので、画像認証を利用する場合は、「英数字」でなく、必ず「ひらがな」を選択しましょう。

スパム保護フィルター

どのような機能か

コメントの内容から自動でスパムコメントであるかどうか判定する機能です。

おすすめの設定
  • 「日本語文字を含まない」をON
  • 「スパムとして保存されているコメントのメールアドレス」をON

次に説明する条件で、コメントの内容から自動でスパムコメントであるかどうか判定してくれます。ロボットによるスパムコメント投稿を防ぎます。

日本語文字を含まない

日本語の文字を含まないコメントをスパムコメントであると判定します。

海外からのロボットによる英語や中国語などのスパムコメントは日本語が含まれないことがほとんどなのでスパムコメントであると判別できます。

日本語を使わない海外ユーザからのコメントも受け付けないというデメリットがあります。

海外ユーザなどの日本語を含まないコメント投稿を想定していないのであればONにしても問題ないですね。

スパムとして保存されているコメントのメールアドレス

WordPress管理メニューの「コメント」では、投稿されたコメントが一覧で表示されています。

ここで、スパムとして保存しているコメントのメールアドレスに合致するコメントはスパムコメントであるとはんていします。

スパムコメント

どのような機能か

スパム保護フィルターでスパムコメントであると判定したコメントをどのように扱うか設定する機能です。

選択肢
  • ブロックする(デフォルト)
  • スパムとして保存する
  • ゴミ箱に入れる
おすすめの設定

ブロック

スパム保護フィルターでスパムと判定したコメントの取り扱いどうするかを設定します。

あえて保存する必要もありませんし、データとして保持しておくのもリスクなので、「ブロックする」を選択することをおすすめします。

ボット保護チェックボックス

どのような機能か

コメント投稿欄に「私はロボットではありません」というチェックボックスを追加

おすすめの設定

OFF

コメントフォームに、「私はロボットではありません。」というメッセージを添えたチェックボックスを追加できます。

チェックを入れないと投稿できず、WordPress標準の投稿手順を変えることができます。標準の手順を変えることでロボットからの投稿をある程度防ぐことができます。

画像認証を有効で、この設定もONにすると、本当のコメント入力者にとって利便性を下げることになりますので、OFFがおすすめです。

コメント入力者の利便性を下げてもセキュリティを上げたいという場合はONにしましょう。

セキュリティを高めるか、利便性をとるか難しいですね。。。

タブを切り替える前に「変更を保存」しないと、変更内容が有効にならないので注意してください。

XML-RPCに関する設定

タブメニューの[XML-RPC]をクリックすると次のような画面になります。

XML-RPCとは、WordPressにログインせずにWordPressを遠隔操作するための仕組みです。

WordPressと連携するシステムやWordPressに記事を投稿などWordPressを管理できるスマホアプリなどで使われています。

この仕組みを悪用して、WordPressブログに対して大量のリクエストを送信することにより不具合を起こさせる攻撃(DOS攻撃)があります。

ここではXML-RPCに対するセキュリティを設定していきます。

1つ1つの項目は後で詳しく説明しますが、どんな設定項目があるのかと、おすすめの設定を一覧にしました。

設定項目おすすめの設定
XML-RPCの無効化ON
XML-RPCピンバックの無効化ON
表のマークの見方

◎:超重要(設定することが必須)

〇:重要(設定した方が良い)

△:設定しなくてもよい

ー:設定しない

タブを切り替える前に「変更を保存」しないと、変更内容が有効にならないので注意してください。

XML-RPCの無効化

どのような機能か

XML-RPCの無効化します

おすすめの設定

ON

XML-RPCが悪用されると、DOS攻撃(ホームページに対して大量のリクエストを送信することにより、機能を停止させる)などを受けるリスクが高まります。

XML-RPCを無効化することで、そういったリスクをなくすことができます。

WordPressのスマホアプリの利用や、外部システムとの連携などしていなければ、ONにして無効化しておきましょう。

この仕組みを利用してるプラグインを使っていると、うまく動かなくなってしまうので注意が必要です。

XML-RPCピンバックの無効化

どのような機能か

XML-RPCピンバックを無効化します

おすすめの設定

ON

ピンバックとは他のサイトを紹介したとき(されたとき)に、通知を送信(受信)するための機能です。

この機能が悪用されると、同じようにDOS攻撃を受けることがありますのでONにして無効化しておきましょう。

タブを切り替える前に「変更を保存」しないと、変更内容が有効にならないので注意してください。

REST APIに関する設定

タブメニューの[REST API]をクリックすると次のような画面になります。

REST APIとはWebシステムを外部から利用するための仕組みで、この仕組みを悪用される可能性があります。

ここではREST APIに対するセキュリティを設定していきます。

1つ1つの項目は後で詳しく説明しますが、どんな設定項目があるのかと、おすすめの設定を一覧にしました。

設定項目おすすめの設定
REST APIの無効化ONにした後、
/wp/v2/users
/wp/v2/users/(?P[\d]+)
にチェックを入れる
REST API URLの変更OFF
表のマークの見方

◎:超重要(設定することが必須)

〇:重要(設定した方が良い)

△:設定しなくてもよい

ー:設定しない

タブを切り替える前に「変更を保存」しないと、変更内容が有効にならないので注意してください。

REST APIの無効化

どのような機能か

特定のREST APIを無効化します

おすすめの設定

ONにしたあと、次の2項目だけチェックを入れる

  • /wp/v2/users
  • /wp/v2/users/(?P[\d]+)

REST API自体を無効化すると、動かなくなるプラグインもありますので、項目を絞って無効化することができます。

動かなくなるプラグインが出てくる可能性があるので、WordPressのID(ユーザ名)に関わるREST APIのみを無効化するのがおすすめです。

この設定を有効にせず、自分のWordPressブログで「https://ドメイン/wp-json/wp/v2/users」にアクセスしてみてください。ほら、ユーザ名が分かっちゃうでしょう?

REST API URLの変更

おすすめの設定

OFF

こちらはOFFのままで大丈夫です。

タブを切り替える前に「変更を保存」しないと、変更内容が有効にならないので注意してください。

秘匿したい情報に関する設定

タブメニューの[秘匿]をクリックすると次のような画面になります。

初期状態のWordPressではバージョン情報やIDなど、不正アクセスの足掛かりになる情報が分かってしまう状態です。

ここではこういった情報を秘匿(知られないようにする)設定ができます。

XO Securityでこの設定を利用すれば、プラグイン「Edit Author Slug」が不要になります。

少しでもプラグインを減らしWordPressに負荷をかけないようにしたいですね。

1つ1つの項目は後で詳しく説明しますが、どんな設定項目があるのかと、おすすめの設定を一覧にしました。

設定項目おすすめの設定
投稿者スラッグの編集ON
投稿者アーカイブの無効化ON
コメント投稿者クラスの削除ON
oEmbed ユーザー名の削除ON
RSS/Atom フィードの無効化OFF
バージョン情報の削除ON
表のマークの見方

◎:超重要(設定することが必須)

〇:重要(設定した方が良い)

△:設定しなくてもよい

ー:設定しない

タブを切り替える前に「変更を保存」しないと、変更内容が有効にならないので注意してください。

投稿者スラッグの編集

どのような機能か

投稿者スラッグを別の名前に書き替えます

おすすめの設定

ON

投稿者スラッグとはスラッグとは、投稿者を識別するURLの一部分のことで、この部分にWordpressのログインID(ユーザ名)が利用されています。

ユーザ名がわかると不正アクセスに利用されるリスクがあるので、違う名前に変更するための設定です。

ONにした後は、WordPress管理画面の「ユーザ」「プロフィール」の画面で、下の画面の様に投稿者スラッグの登録ができるようになるのでユーザ名と違う名前を登録しましょう。

投稿者スラッグが空欄だと、元のログインID(ユーザー名)が表示されたままになるので、注意しましょう

投稿者アーカイブの無効化

どのような機能か

投稿者アーカイブを無効化します

おすすめの設定

ON

投稿者アーカイブとは投稿者ごとの記事一覧ページのことです。WordPressでは複数のIDを用意し複数人で記事を投稿していくことができます。

このとき投稿者別の記事一覧をみたいと思った時にアクセスされるページで、次のような表記ルールになっています。

https://ドメイン/author/ユーザ名/

このユーザ名がWordPressのログインIDと同じものとなります。

またユーザ名が分からなくても

https://ドメイン/?author=1

でアクセスすると、自動で

https://ドメイン/author/ユーザ名/

と変換されてしまうので、ユーザ名を知らなくても、ユーザ名を特定できるので、この機能で投稿者アーカイブ自体を無効化するのがおすすめです。

「投稿者アーカイブの無効化」をONにするのであれば、投稿者スラッグを変更しなくても問題ありません。

コメント投稿者クラスの削除

どのような機能か

ページのソースコードからコメント投稿者クラスを削除します。

おすすめの設定

ON

投稿されたコメントからWordPressのID(ユーザー名)が分かるため、そのユーザー名を削除する機能です。

表示されるページのソースコードを確認しないと分からないので、投稿者アーカイブよりは分かりにくいのですが、不正アクセスのリスクにつながりますので、ONにしましょう。

oEmbed ユーザー名の削除

どのような機能か

oEmbed ユーザー名を削除します

おすすめの設定

ON

oEmbedとは、URLを入力するだけで、記事のタイトル、アイキャッチ画像、抜粋などをプレビュー表示するための機能です。

WordPressでは「oEmbed埋め込み機能」があり、そのページ概要がカード式に表示できます。

ページ概要にWordPressのID(ユーザ名)が含まれてしまうため、そのユーザ名を削除する機能です。

RSS/Atomフィードの無効化

どのような機能か

RSS/Atomフィードを無効化します

おすすめの設定

OFF

RSS/Atomフィードとは、読者がブログが更新されたときに、更新の通知と更新内容を受け取れる仕組みのことです。

更新内容まで受け取ってしまえるので、悪用すれば、更新の度に記事の内容をそのままコピーするサイトを、簡単に構築できてしまいます

登録してでもブログを読みたいという、ありがたい読者にも通知ができなくなりますよね?。。。

そこで、RSS/Atomフィードを無効化せず、別の対策でリスクを下げましょう

RSS/Atomフィードは無効化せず、WordPress管理画面の「設定」 →「表示設定」の「フィードの各投稿に含める内容」を「全文を表示」から「抜粋」で対策しましょう

この対策をすることで、更新内容を全文ではなく抜粋でお知らせすることで簡単に全文を丸々悪用されることをやりにくくできます。

なるほど!!抜粋だけなら、全部コピーは無理ですね~。

バージョン情報の削除

どのような機能か

WordPressのバージョン情報を表示させないようにします

おすすめの設定

ON

WordPressのバージョン情報を知られないようにする設定です。

WordPressは不具合、セキュリティの脆弱性などを修正し、より安全に使えるように頻繁にアップデートされています。

じゃぁ、WordPressを常に最新にしておけばいいんじゃないのですか?

テーマはプラグインが最新のWordPressに対応するまで時間がかかることがあるんです。

常に最新にしておくのが一番おすすめですが、テーマやプラグインが新しいWordPressのバージョンに対応できるまで、わざと古いバージョンを使い続けることもあります。

そういった時に、WordPressの現在のバージョンを知られてしまうと不正アクセスされる可能性があります。そのためバージョン情報を削除しておくのがおすすめです。

タブを切り替える前に「変更を保存」しないと、変更内容が有効にならないので注意してください。

環境設定

タブメニューの[環境]をクリックすると次のような画面になります。

この環境設定は初期設定のままで特に変更する必要はありません。

まとめ

WordPressブログを運営していく上でセキュリティ対策は優先順位が高い対策の1つです。

しっかり設定を行い、安全なWordPressブログ生活を送りましょう。

Q&A

404エラーページ(Not Found)が表示される

ログインURLが間違っています。

404エラーは、存在しないページにアクセスしたときに表示されます。

ログインURLを忘れてしまった場合は、次の「ログインURLを忘れてしまった」を確認してください。

ログインURLを忘れてしまった

強制的にXO Securityを無効にしてWordPressの管理画面にログインして、確認します。

【手順】
・WordPressのフォルダーにアクセス
・プラグインフォルダ名を変更
・WordPressにログイン
・プラグインフォルダ名を元に戻す
・XO Securityの設定を確認

WordPressのフォルダーにアクセス

レンタルサーバのファイル管理ツールやFTPソフトでWordPressのブラグインフォルダ(wp-content/plugin/)にアクセスします。

プラグインフォルダ名を変更

「xo-security」というフォルダの名前を一時的に変更します。例えば「xo-security2」に変更しましょう

WordPressにログインする

一時的にXO Securityが無効になるので、初期状態のWordPressのログイン方法(https://サイト名/wp-admin)でログインします。

プラグインフォルダ名を元に戻す

「xo-securiy2」に変更していたフォルダ名を「xo-security」に戻します。

XO Securityの設定を確認

WordPressの管理画面を更新(ブラウザを表示している状態でF5キーを押す)したあと、XO Securityの設定画面から、ログインURLを確認する

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

コメントは日本語で入力してください。(スパム対策)

CAPTCHA

目次