XO Securityの設定方法　ワードプレス必須のセキュリティプラグイン

ワードプレスのセキュリティプラグイン

ワードプレスのセキュリティプラグインでよく使われているのは以下の3つが有名です。

• SiteGuard WP Plugin
• Edit Author Slug
• Akismet

Akismet はワードプレスに最初からインストールされていますし、SiteGuard WP Plugin　や　Edit Author Slugにしても、多くの人がインストールされているものです

上記３つをインストールしていても問題は無いのですが、一つのブログに多くのプラグインを入れたくはないですよね。
なぜかというと、その分動作が重くなるし、また、プラグイン同士の相性が悪かったりして動作不良を起こしたりとかが起こりかねません。
なるべくなら必要最低限のプラグインで済ましたいところです

今回、紹介するプラグイン『XO Security』は、それらの必要な機能をすべて備えており、1台3役といった神プラグインです。

なぜセキュリティが必要なのか？

ワードプレスをインストールすると、デフォルトのログイン画面がこれです。

ユーザー名とパスワードを入力するだけで簡単にワードプレスの管理画面に入れます。

が、簡単にログインできるということは、貴方以外の他の人でも簡単にログインされてしまう可能性も高いということです。

悪意のある他人が、貴方のワードプレスにログインされてしまうと、サイトをメチャメチャにしたり、乗っ取ったり、あるいはアフィリエイトコードを書き換えたりといったことも出来てしまいます。

頻繁にバージョンアップを重ねているワードプレスですが、ログインに関しては結構脆弱なんですね。

このようなことから、自分の身は自分で守るといった、セキュリティプラグインを導入することが必要となっているのです。

XO Securityのインストール

まずはXO Securityをイストールしてみましょう。

プラグインの新規追加から検索窓に「XO Security」と入力して今すぐインストールして有効化します。

インストールして有効化すると、ダッシュボードの『設定』項目にXO Securityが追加されます。

XO Securityの設定

ダッシュボードの『設定』項目の「XO Security」を選択するとXO Securityの設定画面になります。

「ステータス」タブは現在の設定を一覧で見られるタブなので、実際に設定するのは「ログイン」「コメント」「XML-RPC」「REST API」「秘匿」「環境」の6つのタブ内になります。

一番左の「ステータス」タブは現在の設定状況の一覧で、実際に設定を行うのは「ログイン」「コメント」「XML-RPC」「REST API」「秘匿」「環境」の6つのタブから行います。

では、設定項目のタブを一つづつ確認してみます。

『ログイン』タブ

『ログイン』タブでは、ログインに関する各種セキュリティの設定ができます。ここがSiteGuard WP Plugin　や　Edit Author Slugで行っていた部分です。

試行回数制限は同一IPからのログイン試行回数を制限します。

• 試行回数制限なし
• 1時間の間に
• 12時間の間に
• 24時間の間に
• 48時間の間に

とプルダウンメニューがあるので時間を選択します。その後許可するリトライ数を設定します。
例えば「24時間の間に」4回までリトライを許可するとした場合、4回以上ログインを失敗すると。24時間同一IPからログインできなくなります。

ブロック時応答遅延

ログインをブロックした時、応答までの遅延時間です。僕は最大の「120秒」を設定しました。

失敗時の応答遅延

ログインに失敗した時、応答までの遅延時間を設定します。これも遅い方がハッキング等の恐れは軽減されるので僕は最大の「10秒」を設定しました。

ログインページの変更

ログインページの変更はWordPressログイン時のURLを変更できます。これがかなり大事なことで、通常、なにもセキュリティの無いWordPressの場合、はサイトのアドレスに「/wp-login.php」や「wp-admin」を付ければログインページが開かれてしまいます。これではセキュリティ上、非常にまずいので、ログイン画面のURLを他人にはわからない、自分だけがわかるURLに変更してしまおうということです。
だだし、この変更したURLがわからなくなるとログイン画面にたどり着けなくなってしまうので、ブックマーク等に保存しておくと良いでしょう。

ログインIDの種類

ログインする時のIDの種類を選択できます。

ユーザー名またはメールアドレス
ユーザー名のみ
メールアドレスのみ

の３つから選択できます。メールアドレスは公開しているので、僕はの「ユーザー名のみ」に設定しました

ログイン言語設定

ログインを許可する言語を設定できますが、こちらはwp-config.phpファイルにコードを記述する必要がありますし、サーバー側で海外からの管理画面へのアクセスを制限をしている場合もありますのでこのままで良いと思います。

ログインエラーメッセージ

ログイン失敗した時のエラーメッセージです。通常ログイン失敗した時は、「パスワードが違います」など、失敗理由が表示されてしまうので、ここは「簡略化」に設定しています。

CAPTCHA

ログイン時に表示された文字を入力して本人確認するものですね。僕は海外からのハッキングを防ぐ意味で『ひらがな』に設定しています

パスワードリセットリンク

パスワードを忘れた時のリセットリンクを表示するかしないかの設定ができます。これはそのままで。

サイトへ移動リンク

ログイン画面にある、サイトTOPページへのリンクを表示するかしないかの設定です。ここもそのまま「有効」で

ログインアラート

ログインした時にメールでログインがあったことを知らせてくれます。ログインの度にメールが来ますので、面倒に思う人も多いですが、安全を考えるとチェックを入れておく方が良いと思います。

最後に『変更を保存』をクリックして終了です。

『コメント』タブ

コメント機能を有効にしている場合は、セキュリティを強化することによってスパムコメントを防ぐことができます。

CAPTCHA

観覧者がコメントを入力する際に、ログイン画面と同じようなCAPTCHA（画像の文字を入力）を表示できます。
閲覧者としてはコメントをする時に一作業増えるので、僕はオフにしています。スパムコメントなどのあやしいコメントが多く来る場合は日本語・英語などの入力を促しても良いと思います

スパム保護フィルター

オンにすると、海外からのコメント（日本語を含まない）の場合は、そのコメントを拒否します。

スパムコメント

ブロック、またはスパムとして一応保存したりゴミ箱に入れるといった設定ができます。通常はブロックで良いと思います。

ボット保護チェックボックス

「私はロボットではありません」と記載されたチェックボックスが表示されます。

最後に『変更を保存』をクリックして確定します。

『XML-RPC』タブ

ブルートフォースアタックやDDoS攻撃対策です。ここは両方ともオンにしています。

『REST API』タブ

これは他のプラグインとの兼ね合いもありますので、以下の２つだけ無効化しています。

/wp/v2/users
/wp/v2/users/(?P[\d]+)

『秘匿』タブ

何もセキュリティを行っていないワードプレスの場合、ユーザー名とパスワードだけで簡単にログイン出来てしまいます。そのユーザー名も外部から簡単にわかってしまうので、パスワードだけが最後の砦となってしまっています。
ここではユーザー名を外部からわからないようにする設定です。

ここでは『投稿者スラッグの編集』『コメント投稿者クラスの削除』『バージョン情報の削除』の３つをオンにしておけば良いと思います

『環境』タブ

環境タブではIPアドレスの習得方法やログの保存期間が設定できます。

ここはデフォルトのままで良いかと思います。

最後に

以上でXO Securityの設定は完了です。設定が終わったら一度ログアウトしてログイン画面やコメント画面などをを確認してみてください。

XO Securityの場合、日本語の設定でコメントやログインなどのセキュリティ管理ができるので、僕としては必ず入れておきたいプラグインの一つとなりました。