この記事では、プラグイン「XO Security」の初期設定と使い方を、画像を用いてわかりやすくご紹介します。
WordPress(ワードプレス)で必ず最初にインストールするのが、ログインセキュリティ系のプラグインです。
「XO Security」なら、プラグイン1つで不正アクセス対策やコメントスパム対策を行うことができます。
suyaログインページのURL変更は定番ですね。
なるほどくんなるほど!大切なサイトを守りたいですね。
- 「XO Security」の初期設定が完了できる
- 設定項目の重要度がわかる
- 管理画面にログインできないときの対処法がわかる
この記事を最後まで読めば、WordPress(ワードプレス)で不正アクセス対策がすぐ完了します。
ぜひ最後まで進めてみてください。
すでに途中まで進めている人は、目次から該当箇所に飛ぶこともできます。
WordPressに不正アクセス対策プラグインが必要な理由
ログインセキュリティプラグインは、以下のような目的で必要になります。
- 自分の個人情報漏洩を防ぐため
- 顧客の個人情報漏洩を防ぐため(ビジネスサイト)
- サイトの改ざんを防ぐため
- 踏み台にされて、第三者を攻撃しないため(最悪訴訟)
WordPress(ワードプレス)を利用する場合は、必ずインストールするようにしてください。
suya踏み台にされると、海外から警告が届いたりします。
公開されたサイトは、気づいていないだけで、悪意のあるロボットから毎日攻撃を受けています。
以下のような対策も合わせて実施してください。
- デフォルトのユーザー名(admin、userなど)から変更する
- 簡単なパスワードから複雑なパスワードに変更する
- サイトをSSL(https)対応する
不正アクセス対策をしていないとどうなるか?
例えば、パスワードの辞書攻撃などによるログイン試行をブロックすることができません。
suya時間はかかりますが、いずれ突破されます。
なるほどくんなるほど!対策が必要ですね。
例えば、自分以外の誰かがログインしても、気づくことができません。
suya設定しておけば、ログイン通知メールが届きます。
なるほどくんなるほど!すぐ気づけますね。
例えば、コメントスパムが毎日のように届きます。
suyaロボット判定機能でスパムを防止できます。
なるほどくんなるほど!余計な通知が減りますね。
プラグイン「XO Security」がおすすめの理由
ログインセキュリティプラグインは、設定がシンプルでわかりやすい「XO Security」がおすすめです。
suya国産プラグインで、設定もすべて日本語でできます。
- CAPTCHA(画像認証)でログイン認証
- ログインURLの変更(管理画面と分けることができる)
- コメントスパム対策(プラグイン「Akismet」が不要になる)
- 投稿者スラッグの秘匿(プラグイン「Edit Autor Slug」が不要になる)
- XML-RPC の無効化
- REST API の無効化
suyaプラグインを2つ減らせるのも地味にいいです。
「XO Security」と「SiteGuard WP Plugin」の違い(比較)
同様のセキュリティプラグインとして「SiteGuard WP Plugin」がありますが、初心者には「XO Security」がおすすめです。
| 比較項目 | XO Security | SiteGuard WP Plugin |
|---|---|---|
| 全体機能 | シンプル | 複雑 |
| ログイン障害の少なさ(「.htaccess」不要) | ○ | × |
| ログインCAPTCHA(画像認証) | ○ | ○ |
| コメントCAPTCHA(画像認証) | ○ | ○ |
| コメント日本語のみ制限・チェックボックス | ○ | × |
| ログインURLの変更 | ○ | ○ |
| ログインエラーメッセージの簡略化 | ○ | ○ |
| ログインロック(試行回数制限など) | ○ | ○ |
| メールアドレスのログイン拒否 | ○ | × |
| ログインアラート(メール通知) | ○ | ○ |
| ログインログ(履歴) | ○ | ○ |
| ログインログの自動削除 | ○ | × |
| フェールワンス(必ず一回ログイン失敗) | × | ○ |
| 管理ページアクセス制限 | × | ○ |
| XML-RPC の無効化 | ○ | ○ |
| REST API の無効化 | ○ | ○ |
| 投稿者スラッグの秘匿 | ○ | ○ |
| WordPressバージョン情報の秘匿 | ○ | × |
| バージョンアップの更新通知(メール通知) | × | ○ |
「XO Security」は「.htaccess」ファイルを改変しないため、設定ミスなどでログイン障害になりにくいです。
これだけでも「XO Security」がおすすめですが、他にもかゆいところに手が届くようになっています。
- 設定画面がシンプルでわかりやすい
- コメント荒らし(コメントスパム)をCAPTCHA(画像認証)なしで対策できる
- メールアドレスでのログインを拒否できる
- Nginxサーバーでも利用しやすい(「.htaccess」不要)
1) プラグイン「XO Security」をインストール
作業を開始する前に、必ずバックアップを取得してください。
WordPress(ワードプレス)にログインしたら、左メニューの[プラグイン]→[新規追加]をクリックして、[プラグインの検索]をします。
[プラグイン]→[新規追加]から「XO Security」を検索して、[今すぐインストール]した後に[有効化]します。
2) プラグイン「XO Security」の初期設定
「XO Security」は、デフォルト設定がすべてOFFのため、必ず設定変更するようにしてください。
時間のない方は、画像だけ見ながら設定作業をしてみてください。
事前) ステータス
左メニューの[設定]→[XO Security]をクリックして、「XO Security 設定」を開きます。
「ステータス」を見ると、まだ何も設定されておらず、ログインログ(履歴)だけ記録が開始されています。
1) ログイン設定
タブメニューの「ログイン」をクリックして、「ログイン設定」画面を開きます。
試行回数制限、応答遅延、ログインページの変更、ログインIDの種類、ログインエラーメッセージを変更します。
| 重要度 | 設定項目 | 説明 |
|---|---|---|
| 高 | 試行回数制限 | ロボット試行回数でログインロック → 12時間で4回までリトライ可能に設定 |
| 中 | ブロック時の応答遅延 | ログインロック時に応答遅延 → 最大(120秒)に設定 |
| 中 | 失敗時の応答遅延 | ログイン失敗時に応答遅延 → 最大(10秒)に設定 |
| 高 | ログインページの変更 | ログインURL(wp-login.php)の変更 → 変更したら必ずブックマーク |
| 高 | ログイン ID の種類 | ユーザー名とメールアドレスから選択 → 公開するメールアドレスはログイン拒否 |
| 低 | ログイン言語制限 | ログインする言語を制限 → PHP(プログラミングコード)の編集が必要 |
| 中 | ログインエラーメッセージ | ログイン失敗時のエラー表示 → 簡略化してログイン失敗理由を秘匿 |
ログインページの変更を設定した場合、必ず変更したログインページのURLをブックマークしておいてください。
ログインページからでないと、管理画面やダッシュボード(/wp-admin/)にアクセスできなくなります。
- ログインURLの変更は、アクセスできなくなるなどの不具合も起こるため、他の対策をしっかりやっている場合は不要です。(二段階認証など)
ログイン ID の種類は、メールアドレスのログインを拒否するため、「ユーザー名のみ」にするのがおすすめです。
悪意のある人物・ロボットが、公開されているメールアドレスを収集して、不正ログインに用いる恐れがあります。
ログインエラーメッセージは、存在するユーザー名を秘匿するため、「簡略化」するのがおすすめです。
WordPress(ワードプレス)では、以下のようにユーザー名が存在するかどうか、エラーメッセージで判別できてしまいます。
このエラーメッセージを簡略化することで、ユーザー名が特定されるのを防止します。
ユーザー名が存在しない場合
ユーザー名が存在する場合
CAPTCHA、ログインアラートを変更して[変更を保存]をクリックします。
| 重要度 | 設定項目 | 説明 |
|---|---|---|
| 高 | CAPTCHA | ログインフォームに画像認証を設置 → 海外ロボットが対応できない「ひらがな」を選択 |
| 低 | パスワードリセットリンク | 「パスワードをお忘れですか?」のリンク表示 → 本当に忘れたときのために「有効」のまま |
| 低 | サイトへ移動リンク | 「← デモサイト へ移動」のリンク表示 → ドメイン同じなら「有効」のまま |
| 中 | ログインアラート | 誰かがログインしたときのメール通知 → 自分以外のログインに気づくためにON |
CAPTCHAは、日本語サイトであれば、「英数字」ではなく「ひらがな」に設定することをおすすめします。
日本語対応のロボットは少ないため、日本語にするだけで強力なロボット対策になります。
CAPTCHAを「ひらがな」に設定すると、以下のようなログインページに変更されます。
2) コメント設定
タブメニューの「コメント」をクリックして、「コメント設定」画面を開きます。
CAPTCHAを「ひらがな」に設定して[変更を保存]をクリックします。
| 重要度 | 設定項目 | 説明 |
|---|---|---|
| 高 | CAPTCHA | コメントフォームに画像認証を設置 → ユーザーはひらがなで画像認証を入力 |
| 低 | スパム保護フィルター | コメントフォームを日本語のみに制限 → ユーザーは気にならないが、bot増加 |
| 低 | スパムコメント | スパムコメントをどうするか → ブロック/ スパムとして保存 / ゴミ箱 から選択 |
| 高 | ボット保護チェックボックス | 「私はロボットではありません。」チェックボックスを追加 →ユーザーはチェックボックスをチェック |
「スパム保護フィルター」では、日本語タイトルをコピペするBotに突破されました。
ユーザー操作が必要になりますが、「CAPTCHA(画像認証)」か「ボット保護チェックボックス」のどちらかを設定するのをおすすめします。
両方設定してしまうと、ユーザビリティが損なわれるため、必ず片方だけ設定するようにしましょう。
「ボット保護チェックボックス」をONにすると、以下のようにコメント入力の際にチェックボックスに同意が必要になります。
これは、人とロボットプログラムの挙動を判別するためのものです。
「XO Security」を導入していれば、スパム対策プラグイン「Akismet」が不要になります。
プラグインを一つでも減らせば、それだけ不具合が減り、サイト表示速度も速くなるためSEO対策にもなります。
3) XML-RPC 設定
タブメニューの「XML-RPC」をクリックして、「XML-RPC設定」画面を開きます。
XML-RPC ピンバックの無効化のトグルをONに変更して[変更を保存]をクリックします。
XML-RPCとは、プログラム開発に利用する通信方式(プロトコル)の一種です。
ブルートフォースアタック(総当たり攻撃)などの攻撃に悪用されることがあります。
ただし、XML-RPCを無効にすると、プラグインが動かなくなってしまうことがあります。
そのため、DDoS攻撃(過負荷攻撃)に悪用されるXML-RPC ピンバックだけ無効化します。
4) REST API 設定
タブメニューの「REST API」をクリックして、「REST API設定」画面を開きます。
REST API の無効化を設定して[変更を保存]をクリックします。
REST APIとは、プログラム開発に利用する通信方式(プロトコル)の一種です。
これまでに、サイト改ざんなどの脆弱性を悪用する攻撃が行われています。
ただし、REST APIを無効にすると、プラグインが動かなくなってしまうことがあります。
そのため、ユーザー名の秘匿に関わる以下の項目のみ無効化するのをおすすめします。
/wp/v2/users
/wp/v2/users/(?P<id>[\d]+)
WordPress(ワードプレス)の脆弱性を悪用されないように、定期的にアップデート(更新)して最新のバージョンに保ちましょう。
5) 秘匿設定
タブメニューの「秘匿」をクリックして、「秘匿設定」画面を開きます。
投稿者スラッグの編集、コメント投稿者クラスの削除、バージョン情報の削除をONにして[変更を保存]をクリックします。
| 重要度 | 設定項目 | 説明 |
|---|---|---|
| 中 | 投稿者スラッグの編集 | 投稿者アーカイブ(著者ページ)URLに含まれるIDの変更 → ユーザー名を秘匿するためONに変更 |
| 低 | 投稿者アーカイブの無効化 | 投稿者アーカイブ(著者ページ)のアクセス制限 → 記事一覧を表示するためOFFのまま |
| 中 | コメント投稿者クラスの削除 | コメント投稿者に含まれるIDの削除 → ユーザー名を秘匿するためONに変更 |
| 低 | RSS/Atom フィードの無効化 | RSSフィードの無効化 → 「要約」配信ならOFFのまま |
| 中 | バージョン情報の削除 | WordPressバージョン情報の削除 → 古い脆弱性を狙われないようにONに変更 |
WordPressの「表示設定」で、「フィードの各投稿に含める内容」を[要約]に設定している場合は、RSS/Atom フィードの無効化をする必要はありません。
その他のWordPress(ワードプレス)の初期設定については、以下を参考にしてください。
投稿者スラッグの編集をONにした場合、投稿者スラッグをデフォルト設定(ユーザー名)から変更する必要があります。
左メニューの[ユーザー]→[プロフィール]もしくは右上のアイコンから、「プロフィール設定」画面を開きます。
ページ下部の「投稿者スラッグ」をユーザー名以外に変更して[プロフィールを更新]をクリックします。
投稿者スラッグを「空白」にしてしまうと、ユーザー名(ログインID)が設定されるため注意してください。
投稿者アーカイブとは、投稿者ごとに記事一覧を表示するアーカイブページです。著者ページとも呼びます。
投稿者スラッグとは、投稿者アーカイブページのURLのユーザー名を表す部分です。
suya投稿者スラッグから、ユーザー名(ログインID)がわかることがあります。
以下の投稿者アーカイブのURLにアクセスしてみてください。(数字は投稿者によって異なる)
https://ドメイン名/?author=1
設定によっては、以下のように投稿者スラッグのわかるページにリダイレクトされます。
https://ドメイン名/author/投稿者スラッグ
このサイトでは、以下のような著者ページが作成されています。
https://manuon.com/author/suya/
投稿者スラッグは、デフォルトではユーザー名(ログインID)に設定されています。
そのため、投稿者スラッグの編集で、ユーザー名(ログインID)から変更します。
「XO Security」を導入していれば、プラグイン「Edit Autor Slug」が不要になります。
プラグインを一つでも減らせば、それだけ不具合が減り、サイト表示速度も速くなるためSEO対策にもなります。
6) 環境設定
「環境設定」画面は、デフォルト設定(自動)のままで大丈夫です。
| 重要度 | 設定項目 | 説明 |
|---|---|---|
| 低 | IP アドレス取得方法 | 接続IPアドレスの取得方法 → デフォルト設定(自動)のまま |
| 低 | 自動削除 | ログインログ(履歴)の保存期間 → デフォルト設定(365日以前)のまま |
| 低 | デフォルトで表示する結果 | ログインログのデフォルト表示 → ご自由に |
以上で、セキュリティプラグイン「XO Security」の設定は完了です。
ログインページの変更を設定した場合、必ず変更したログインページのURLをブックマークしておいてください。
ログインページからでないと、管理画面やダッシュボード(/wp-admin/)にアクセスできなくなります。
参考)フッターやサイドバーのログインリンクを非表示にする方法
WordPress(ワードプレス)では、最初サイドバーやフッターにログインページへのリンクが表示されています。
このままでは、せっかく変更したログインURLが公開されてしまいます。
suya忘れないうちに、ログインURLを非表示しておきましょう。
左メニューの[外観]→[ウィジェット]から、サイドバーやフッターの[メタ情報]ブロックを[削除]してください。
参考) ログインログの確認
左メニューの[ユーザー]→[ログインログ]をクリックすると、ログインログ(履歴)を確認することができます。
3) URLを忘れたとき / 管理画面にログインできないときの対処法
FTPソフトやレンタルサーバーのファイルマネージャーでサーバーディレクトリにアクセスします。
/public_html/サイト/wp-content/plugins/xo-security/を「xo-security2」などに変更します。
プラグイン「XO Security」が無効化された状態でログインできるはずです。
/public_html/サイト/wp-content/plugins/xo-security2/を「xo-security」に戻します。
必ず変更したログインページのURLをブックマークしておいてください。
この記事のまとめ
プラグイン「XO Security」の初期設定と管理画面にログインできなくなったときの復旧方法を見てきました。
重要度の高いところは、必ず設定するようにしてください。
なるほどくん設定忘れてました。
WordPress(ワードプレス)で最初に入れるその他の基本プラグインは、以下を参考にしてください。
コメント