専業ブロガー7年目のあかね猫です
WordPressの人気テーマ「SWELL」でも公式推奨されているプラグイン…
XO Security
の導入手順からおすすめな設定方法&使い方まで、「実際の画像(20枚超)付き」でとにかくわかりやすく徹底解説していきます
「XO Security」は、WordPressブログにおける…
ログインセキュリティ強化
のためのプラグインで、高機能でありながらメールアドレス登録などの面倒な作業もなく、誰でも簡単に導入できるのが特徴です
そんなWordPressプラグイン「XO Security」について、2つのステップで丁寧に解説していきます🐥
- 「XO Security」の導入手順(インストールと有効化)
- 「XO Security」のおすすめな設定方法&使い方
Contents
XO Securityのおすすめな設定方法&使い方を20枚超の画像付きで徹底解説【WordPressのログインセキュリティプラグイン】
注意
冒頭でもお伝えした通り、「XO Security」はWordPressの人気テーマ「SWELL」で公式推奨されているプラグインの1つですが…
当該テーマのWordPress環境であれば、100%正常に機能するとは限らない
という点をあらかじめ理解しておく必要があります
なぜならプラグインというのは単純に「テーマとの相性」だけの問題ではなく、併用されているそのほかのプラグインやそれらの設定状況、またWordPress本体やテーマ、各種プラグインのバージョンなどによって不具合のリスクというのは変動しうるためです
そのため当該プラグインのご使用に際しては、WordPressのデータやファイルなどを必ず事前にバックアップされたうえで、すべてご自身の責任で行ってください
-
BackWPupのおすすめな設定方法&使い方を約30枚の画像付きで徹底解説【WordPressの自動バックアッププラグイン】
続きを見る
関連
WordPressテーマ「SWELL」で、今回の「XO Security」とセットで公式推奨されているセキュリティ系プラグイン…
BBQ Firewall
については、別途こちらで徹底解説しています ↓
-
BBQ Firewallの導入手順&使い方を完全初心者向けに1から解説【WordPressのセキュリティ対策プラグイン/SWELL向け】
続きを見る
ステップ1:WordPressプラグイン「XO Security」の導入手順【インストールと有効化】
まず1つ目のステップは、プラグイン「XO Security」の…
導入手順(インストールと有効化)
について
WordPress管理画面の左側一覧から…
↑【プラグイン】という項目にカーソルを合わせ、その右側に表示される【新規追加】をクリックしましょう
つづいて、画面の右上にある…
↑ こちらの検索フォームに…
XO Security
という文字列をそのまま貼りつけて、その下の検索結果から…
↑ このアイコンが目印のプラグイン「XO Security」を探し、右上の…
今すぐインストール
というボタンをクリックします
【今すぐインストール】ボタンが【有効化】という表示に切り替わったら、つづいて…
有効化
というボタンもクリックしましょう
↑ このように「プラグインを有効化しました」というメッセージが表示されたら、プラグインの「インストール&有効化」はもう完了です
ステップ2:WordPressプラグイン「XO Security」のおすすめな設定方法&使い方
つづいて2つ目のステップは、プラグイン「XO Security」の…
おすすめな設定方法&使い方
について
WordPress管理画面の左側一覧から…
↑【設定】にカーソルを合わせて、その右側に表示される【XO Security】をクリックしましょう
ここから…
- ログイン
- コメント
- XML-RPC
- REST API
- 秘匿
- 環境
という「6つの設定タブ」にわけて、順に解説していきます🐣
【ログイン】タブ
「XO Security」の設定画面が開けたら、画面上部のタブメニューから…
↑【ログイン】というタブを開きましょう
この【ログイン】タブでは…
WordPress管理画面へのログイン
におけるセキュリティ項目を、自由にカスタマイズすることができます
まず、【ログイン】タブ内のおすすめな設定方法を先にお見せすると、こちらの通りです ↓
※このなかの【ログインページの変更】という項目は特に重要なので、このあとの詳細解説までしっかり目を通していただくことをおすすめします
ということで、上から順に見ていきますね🐣
試行回数制限
【試行回数制限】では、WordPress管理画面へのログインに失敗した際の…
- 指定した時間内(例:1時間)に…
- 何回のログイン再試行(例:3回)が可能か?
について指定することができます
例えば…
- 「12時間」に「3回」まで、ログインの再試行(=リトライ)が可能!
- 「1時間」に「3回」まで、ログインの再試行(=リトライ)が可能!
の2つを比べた場合、「12時間に3回まで」という設定の方が「より厳しいルールになる」ということですね
参考までに、自分は…
1時間 / 4回
という設定をよく使っています
ブロック時の応答遅延
【ブロック時の応答遅延】では、WordPress管理画面へのログインを「ブロック」した際の、「応答を遅延させる時間」を指定することができます
参考までに、自分は…
60秒
という設定をよく使っています
失敗時の応答遅延
【失敗時の応答遅延】では、WordPress管理画面へのログインに「失敗」した際の、「応答を遅延させる時間」を指定することができます
参考までに、自分は…
5秒
という設定をよく使っています
重要:ログインページの変更
※最重要な項目です
【ログインページの変更】では、WordPress管理画面へのログインページURL、その「末尾部分」を任意の文字列に変更することができます
そもそも「WordPress管理画面へのログインページURL」というのは、初期状態だと…
https://●●●●●.com/wp-admin/
といった固定の文字列になっており、つまり「第三者が容易に推測できてしまう状態」なので、セキュリティの観点から「別の文字列」に変更しておくのが定石なんですね
具体的には、まず…
↑ こちらの【ログインページの変更】ボタンを、上画像のように「ON」に切り替えます
つづいて、その下にある…
↑【ログインファイル】というフォームで、新しいログインページURLとなる…
https://●●●●●.com/~~~~~~~~.php
↑ このなかの ~~~~~~~~ にあたる部分を任意の文字列に指定できるので、第三者には推測されない安全な文字列を入力しましょう
「どんな文字列にすればいいか分からない…」というときは…
参考までに、自分は「ランダム文字列作成ツール」を使用して決めました ↓(無料です)
【ログインファイル】に任意の文字列を入力できたら、さらに下の…
↑【URL】という項目に、このように「新しいログインページURL」が自動で表示されるので、この新URLは必ずメモなどして大切に保管しておきましょう
この新しいログインページURLを紛失してしまうと、最悪の場合WordPress管理画面にログインできなくなる可能性がありますので、十分に注意しましょう
このあとご紹介する【変更を保存】ボタンを押さないと、設定は反映されませんのでご注意ください
ログインIDの種類
【ログインIDの種類】では、WordPress管理画面へのログインに必要な「ログインID」となる…
- ユーザー名
- メールアドレス
のうち、「どちらをログインIDとして使用できるようにするか?」を指定できます
で、結論としては…
ユーザー名のみ
に変更しておくのがおすすめです
「メールアドレス」までログインIDとして使用できてしまうと、例えば「悪質な業者がネット上で収集した膨大なメールアドレスなどを片っ端から試してくる」という可能性も考えられるためですね
ログイン言語制限
【ログイン言語制限】については、プログラマーの方向けの項目なので、通常は「そのまま」でOKです
ログインエラーメッセージ
【ログインエラーメッセージ】では、WordPress管理画面へのログインに「失敗」した際に表示される…
ログイン失敗の理由
をメッセージ表示するかどうかについて、カスタマイズできます
初期状態だと「メッセージ表示あり」になっていますが、このままだと不正なログインを試みる業者に「わざわざヒントを与えてしまう」ようなものなので、結論…
簡略化
に変更しておくのがおすすめです
CAPTCHA
【CAPTCHA】では、WordPress管理画面へのログイン時に行う…
- ログインID(ユーザー名 or メールアドレス)
- パスワード
に加えて、「もう1つのログイン認証」として行う…
↑ こちらの文字認証(画面に表示されている文字を入力する認証)について…
- 無効(認証なし)
- 英数字(英数字を入力する認証)
- ひらがな(ひらがなを入力する認証)
から選択することができます
一般的に、不正なボットのなかで「日本語に対応しているものは少ない」と言われているので、ここは…
ひらがな
に変更しておくのがおすすめです
パスワードリセットリンク
【パスワードリセットリンク】では、WordPress管理画面へのログインページに初期状態で表示されている…
↑ こちらの【パスワードをお忘れですか?】というリンクを表示させるかどうかについて、指定することができます
参考までに、自分は…
有効
のままに設定しています
サイトへ移動リンク
【サイトへ移動リンク】では、WordPress管理画面へのログインページに初期状態で表示されている…
↑ こちらの【●●●●●(サイト名)へ移動】というリンクを表示させるかどうかについて、指定することができます
参考までに、自分は…
有効
のままに設定しています
ログインアラート
【ログインアラート】では、WordPress管理画面へのログインがあった際に、WordPressに登録してあるメールアドレスへ…
ログイン通知
をメール送信させるかどうか、また送信させる場合の【件名】【本文】の形式について指定することができます
参考までに、自分は…
OFF
のままに設定しています
ということで、ここまで一通り設定できたら左下の…
変更を保存
というボタンを忘れずにクリックしましょう🐥
【変更を保存】ボタンを押さないまま別のタブに移動してしまうと、それまでの設定は保存されませんのでご注意ください
【コメント】タブ
「XO Security」設定画面の上部にあるタブメニューから、お次は…
↑【コメント】タブを開きましょう
この【コメント】タブでは…
WordPressのコメントフォーム
におけるセキュリティ項目を、自由にカスタマイズすることができます
なお初めにお断りしておくと、自分の場合は「サイト秩序の保護」を優先して、コメントフォーム自体設置していません
ですので、ここでは「もし仮にコメントフォームを設置するなら?」という前提で、そのおすすめな設定方法をご紹介していきますね🐣
まず、【コメント】タブ内のおすすめな設定方法を先にお見せすると、こちらの通りです ↓
また上から順に見ていきますね🐣
CAPTCHA
【CAPTCHA】では、読者がコメントを送信する際に行う文字認証(画面に表示されている文字を入力する認証)について…
- 無効(認証なし)
- 英数字(英数字を入力する認証)
- ひらがな(ひらがなを入力する認証)
から選択することができます
さきほどご紹介した【ログイン】タブの【CAPTCHA】と同じで、一般的に「不正ボットの多くは日本語に対応していない」と言われていることから…
ひらがな
を選択しておくのが、セキュリティ上おすすめです
スパム保護フィルター
【スパム保護フィルター】では…
- 【日本語文字を含まない】 → コメントフォームへの入力を日本語のみに制限する
- 【スパムとして保存されているコメントのメールアドレス】 → スパム判定したことがあるコメントのメールアドレスを制限する
という「2つの制限条件」について、それぞれの「ON・OFF」を指定することができます
参考までに、自分は…
- 【日本語文字を含まない】 → OFF
- 【スパムとして保存されているコメントのメールアドレス】 → ON
という設定にしています
スパムコメント
【スパムコメント】では、スパム判定したコメントへの対処内容を…
- ブロックする
- スパムとして保存する
- ゴミ箱へ入れる
という「3つのパターン」から選択できます
危険なスパムコメントは「そもそも受け取らない」のが一番なので、ここは…
ブロックする
のままがおすすめです
ボット保護チェックボックス
【ボット保護チェックボックス】では、ブログの読者さんがコメントされる際にチェックを入れることになる…
私はロボットではありません
というチェックボックスを設置するかどうかについて、指定できます
前述した【CAPTCHA】の文字認証を「ON」に設定している場合、こちらのチェックボックスは…
OFF
のままにしておくのがおすすめです(認証ステップが複数あると、ユーザーの利便性に支障をきたすため)
ということで、ここまで一通り設定できたら左下の…
変更を保存
というボタンをまた忘れずにクリックしましょう🐥
【変更を保存】ボタンを押さないまま別のタブに移動してしまうと、それまでの設定は保存されませんのでご注意ください
【XML-RPC】タブ
「XO Security」設定画面の上部にあるタブメニューから、お次は…
↑【XML-RPC】というタブを開きましょう
この【XML-RPC】タブでは、「XML-RPC」という…
通信方式の一種
におけるセキュリティ項目を、自由にカスタマイズすることができます
まず【XML-RPC】タブ内のおすすめな設定方法を先にお見せすると、こちらの通りです ↓
結論としては…
【XML-RPCピンバックの無効化】
のみ、「ON」に切り替えておくのがおすすめです
補足
ピンバック(Pingback)とは、自分のブログ内に外部リンク(よそのブログの記事URL)を貼った際に…
あなたのブログのリンクを貼らせていただきました
という旨の通知が相手に届くシステムの一種です
このピンバックを採用しているサイトは、DDoS攻撃(サーバーが処理できないほどの大量のアクセス要求を送り付け、サーバーダウンなどを狙う悪質な行為)の標的にされやすいとして注意喚起されています
設定できたら、また左下の…
変更を保存
というボタンを忘れずにクリックします🐥
【REST API】タブ
「XO Security」設定画面の上部にあるタブメニューから、お次は…
↑【REST API】というタブを開きましょう
この【REST API】タブも、1つ前の【XML-RPC】タブと同様に…
通信方式の一種
におけるセキュリティ項目を、自由にカスタマイズすることができます
まず【REST API】タブ内のおすすめな設定方法を先にお見せすると、こちらの通りです ↓
結論としては、まず一番上の…
REST APIの無効化
という項目を「ON」にしたうえで、その下にたくさん並んでいるチェックボックスの場所を、少し下側へとスクロールしていき…
- /wp/v2/users
- /wp/v2/users/(?P<id>[\d]+)
という2項目のみ「チェックあり」に変更しておくのが、わりと定番です
設定できたら、また左下の…
変更を保存
というボタンを忘れずにクリックします🐥
【秘匿】タブ
「XO Security」設定画面の上部にあるタブメニューから、お次は…
↑【秘匿】というタブを開きましょう
この【秘匿】タブでは、重要な「ユーザー名」を始めとした様々な…
WordPress情報
におけるセキュリティ項目を、自由にカスタマイズすることができます
まず【秘匿】タブ内のおすすめな設定方法を先にお見せすると、こちらの通りです ↓
まずは、一番上の…
投稿者スラッグの編集
という項目を「ON」にします
そもそもWordPressには「投稿者スラッグ」というもの(投稿者ごとで割り振られている「特定の文字列」のこと)があり、これは…
- 第三者が簡単に閲覧できてしまう
- 初期状態だと、「ユーザー名(ログインID)」と同じ文字列に設定されてしまっている
ということから、この「投稿者スラッグ」経由で、WordPress管理画面へのログインに使う大切な「ログインID」が漏洩してしまう恐れがあるんですね
そのため、この「投稿者スラッグ」はWordPressを開設したら…
- まずは、その文字列を「編集可能」な状態にする
→ 上記の【投稿者スラッグの編集】という項目を「ON」にすればOK! - 「第三者に見られても問題ない文字列」に変更する
→ 下記にそのやり方を記載しています
という「2ステップ」が必須となります
【投稿者スラッグの編集】を「ON」にできたら、つづいて「第三者に見られても問題ない文字列」に変更していきます
まずは、左下の…
変更を保存
というボタンを一旦クリックしたうえで、WordPress管理画面の左側一覧から…
↑【設定】にカーソルを合わせて、その右側の【プロフィール】をクリックしましょう
「プロフィール」設定画面が開けたら、下の方へとスクロールしていき…
↑ こちらの【投稿者スラッグ】という項目を見ていきます
初期状態では、WordPressのログインIDに使用する【ユーザー名】と同じ文字列が設定されてしまっているので、こちらを…
- ユーザー名(ログインID)とは無関係の文字列
- かつ、第三者から見られても問題のない文字列
に変更しましょう
なおここで設定する「投稿者スラッグ」というのは、「投稿者アーカイブ」というページのURL末尾にもそのまま反映されるため、基本的には…
投稿者(ブログ運営者)自身に由来する文字列
をシンプルに設定しておくのが無難です
入力できたら、左下の【プロフィールを更新】します
ここまでできたら、【XO Security】側の設定画面にまた戻るため、WordPress管理画面の左側一覧から…
↑【設定】にカーソルを合わせて、その右側の【XO Security】をクリックし…
↑ 画面上部のタブメニューから、【秘匿】タブをあらためて開きましょう
つづいて…
コメント投稿者クラスの削除
という項目を「ON」にします
これにより、コメント投稿者の欄に表示されてしまう可能性のある「ユーザー名=ログインID」を非表示にすることが可能です
最後に…
バージョン情報の削除
という項目を「ON」にします
理由としては…
- WordPressのバージョン情報というのは、ブログを訪れた一般の読者さんからすると表示しても意味がない
- ハッキングなどを試みる悪質な業者に、わざわざヒント(ブログのバージョン情報)を与えてもしょうがない
という2点です
補足
ほかに【RSS/Atom フィードの無効化】という項目がありますが、この「RSS/Atomフィード」については、今回のプラグイン「XO Security」側では設定せずに、WordPressの標準機能である…
WordPress管理画面の左側一覧から【設定】→【表示設定】
内の【フィードの各投稿に含める内容】という項目を、初期状態の【全文を表示】から…
抜粋
に切り替えるという方法が定石です(画像つきの解説は、こちらをどうぞ ↓ )
-
WordPressのRSSフィード表示設定「全文→抜粋」変更方法を初心者向けにわかりやすく解説【不正コピー対策】
続きを見る
つまり上記の設定を行われるのであれば、「XO Security」側の【RSS/Atom フィードの無効化】設定については…
OFF
のままで問題ありません
ということで、ここまで一通り設定できたら、また左下の…
変更を保存
というボタンを忘れずにクリックしましょう🐥
【環境】タブ
「XO Security」設定画面の上部にあるタブメニューから、最後に…
↑【環境】というタブですが、こちらは上画像の通り、すべて「デフォルト」のままで通常はOKです
ということで、プラグイン「XO Security」における基本的な設定は、これで一通り完了となります🐥