MENU
  1. ホーム
  2. ブログ
  3. プラグイン
  4. XO Securityの使い方!SWELLのセキュリティを強化しよう

XO Securityの使い方!SWELLのセキュリティを強化しよう

プラグイン
記事内にプロモーションを含む場合があります
XO Securityの使い方!SWELLのセキュリティを強化しよう
初心者さん

XO Securityの使い方がわからない

このような疑問にお答えします。

WordPressのセキュリティ系プラグイン「XO Security」の設定は超かんたん。

手順どおりに進めれば10分で完了します。

はじめに「XO Security」の概要を紹介し、次に「設定方法」や「ログインできないときの対処法」を解説。

この記事を読めばSWELLのセキュリティをバッチリ強化できますよ!

SWELL推奨プラグインはこちら

SWELLのおすすめプラグイン!初心者にわかりやすく解説
プロフィールカード
目次

XO Securityとは

XO Securityバナー

XO Security」とは、WordPressのセキュリティ系プラグインです。

不正ログイン、スパムといった脅威からサイトを守ることができます。

主な機能

  • ログインセキュリティ
  • ログインURLの変更
  • CAPTCHAログイン設定(画像認証)
  • スパムコメント対策
  • 投稿者スラッグの秘匿

SWELL公式サイトでも推奨されています。

選択肢2: XO Security + BBQ Firewall

Wordfence Securityを使えないケースや、シンプルなもので十分な場合にこの組み合わせをよく使っています。

XO Security はログイン系のセキュリティを強化できるプラグインで日本語で設定でき、「SiteGuard WP Plugin」の代わりにもなるので最近よく使っています。

BBQ Firewall はファイアウォール機能を追加できるプラグインで、「軽量で他プラグインと競合しない」のが最大の特徴のようです。

推奨プラグインと非推奨・不要・注意すべきプラグインについて
エイタ

ちなみに、選択肢1は「Wordfence Security」

Wordfence Securityの詳細はこちら

SWELLのセキュリティ系プラグインは「Wordfence Security」ひとつでOK

XO Securityのインストール

XO Securityのインストール方法です。

STEP
新規プラグインを追加
WordPressダッシュボード「新規プラグイン追加」

「ダッシュボード」>「プラグイン」>「新規プラグインを追加」

STEP
XO Securityのインストール
XO Securityのインストール画面

検索窓に「XO Security」と入力。

見つけたら「今すぐインストール」をクリック。

STEP
XO Securityの有効化
XO Securityの有効化

「有効化」をクリックすれば完了。

XO Securityの設定方法

XO Securityの設定方法です。

「ダッシュボード」>「設定」>「XO Security」からどうぞ。

ステータス

「ステータス」では現在の設定状況を確認できます。

XO Securityの「ステータス」画面

デフォルトでは「ログインログ記録」のみ稼働中です。

ログイン

上段「ログイン」、下段「ログインフォーム」に分けて解説します。

XO Security「ログイン」設定画面
ログイン
試行回数制限

12時間の間に4回までリトライを許可する。

(ログインを4回失敗したら12時間ロックするという意味)

ブロック時の応答遅延

「120秒」

失敗時の応答遅延

「10秒」

連続入力を防げます。

ログインページの変更

「ON」

デフォルトでは「ブログのURL/wp-login.php」となっており、ログインページだとバレバレ。

変更することをおすすめします。

変更後、URLはかならずブックマーク・保存してください。

ログイン ID の種類

「ユーザー名のみ」

メールアドレスを許可すると、メアドが流出した際に不正ログインの可能性が高まります。

ログイン言語制限

プログラマー向けなので、このままでOK

ログインエラーメッセージ

「簡略化」

ログインに失敗した理由を隠せます。

XO Security「ログインフォーム」設定画面
ログインフォーム
CAPTCHA

「ひらがな」

ログインフォームに画像認証を設置。

海外Bot対策に「ひらがな」がおすすめ。

ログインアラート

「ON」

ログインする度にメール通知されます。

誰かがログインしたときにすぐ気付けるので「ON」推奨。

最後に「変更を保存」をクリックして完了。

コメント

「コメント」タブに切り替えます。

XO Security「コメント」設定画面
CAPTCHA

「ひらがな」

コメントフォームに画像認証を設置できます。

スパム保護フィルター

「OFF」

日本語文字を含まない:コメントを日本語に限定

スパムとして保存されているコメントのメールアドレス:すでにスパム判定されているコメントのメールアドレスを制限

スパムコメント

「ブロックする」

ボット保護チェックボックス

「OFF」

「私はロボットではありません」が表示されます。

セキュリティは強化されますが、「CAPTHA」と併用するとユーザービリティが損なわれるため、どちらか一つを設定しましょう。

最後に「変更を保存」をクリック。

XML-RPC

「XML-RPC」タブに切り替えます。

XO Security「XML-RPC 」設定画面
XML-RPC の無効化

「OFF」

ブルートフォースアタック(総当たり攻撃)を防げますが、無効化するとプラグインに不具合のでる可能性があります。

XML-RPC ピンバックの無効化

「ON」

DDoS攻撃(過負荷攻撃)を防げます。

最後に「変更を保存」をクリックして完了。

XML-RPCとは

遠隔でWordPressと通信するための仕様の一つです。

WordPressでの使用用途は4つ。

  • WordPressのモバイル用アプリ
  • Wordからの記事投稿
  • ピンバック
  • トラックバック

WordPressをリモートで使用する人は、「XML-RPC の無効化」をONにしないほうがいいでしょう。

ピンバックとは

被リンクが発生したときに通知がくる機能。

ピンバックは便利な機能ですが、不正サイトへの誘導や「DDoS攻撃」の標的にされやすいです。

そのため無効化しています。

REST API

「REST API」タブに切り替えます。

XO Security「REST API 」設定画面
REST API の無効化

「ON」

【/wp/v2/users】と【/wp/v2/users/(?P[\d]+)】にチェック。

無効化すると「REST API」を利用した攻撃からサイトを守れます。

しかし、すべて無効化してしまうとプラグインが動かなくなる可能性が。

ですから、ユーザー名の秘匿に関する上記2か所のみを無効化します。

最後に「変更を保存」をクリック。

REST APIとは

システムを外部から利用するためのプログラム呼び出し規約(API)の種類の一つ。

秘匿

「秘匿」タブに切り替えます。

XO Security「秘匿 」設定画面
投稿者スラッグの編集

「ON」

投稿者スラッグを変更すると【ログインID】の漏洩を防げます。

コメント投稿者クラスの削除

「ON」

コメント投稿者の欄に表示される【ユーザー名】を秘匿できます。

バージョン情報の削除

「ON」

バージョン情報を公開してもメリットがないので非表示にします。

最後に「変更を保存」をクリック。

エイタ

投稿者スラッグの編集は「ON」にしただけでは不完全。
プロフィールページから編集が必要

投稿者スラッグの編集

投稿者スラッグとは、投稿者アーカイブページのURLのユーザー名を表す部分です。

「サイトURL/?author=1」と入力すれば確認できます。

当サイトの投稿者スラッグ

https://coin-blog.net/author/eita/

WordPressのデフォルト状態では、ログインIDがユーザー名(eitaの部分)になっています。

つまり、誰でもログインIDがわかるため不正ログインされやすい状態ということ。

ですから、投稿者スラッグからログインIDが推測されないよう、投稿者スラッグを変更するわけです。

変更方法

「ダッシュボード」>「プロフィール」>「スラッグ」

XO Security「投稿者スラッグ 」設定画面
エイタ

空白で更新すると「ログインID」が設定されるので注意

環境

「環境」タブに切り替えます。

XO Security「環境 」設定画面

環境設定はこのままでOK

エイタ

XO Securityの設定は以上です。お疲れさまでした

XO Securityの使い方

XO Securityを導入したらとくにやることはありません。

たまに「ログインログ(履歴)」と「ログイン情報」の確認をすればOKです。

ログインログ(履歴)

「ダッシュボード」>「ユーザー」>「ログインログ」

WordPressのログインログ画面

ログイン履歴を見れます。

項目
  • 日時
  • 結果:成功/失敗
  • IPアドレス
  • タイプ:ログインページ/XML RPC
  • 言語
  • ユーザーエージェント
  • ユーザー名

ログイン情報

ログイン情報はWordPressのダッシュボードに表示されます。

WordPressのダッシュボード

「ログイン失敗件数」は不正ログイン攻撃された回数。

設置直後なので0ですが、収益の有無関係なく一日で数十回は攻撃されます。

しっかりセキュリティ対策しましょう。

XO Securityが原因でWordPressにログインできないときの対処法

WordPressの管理画面にログインできないのは「XO Security」が原因かもしれません。

以下の方法をお試しください。

  1. サーバーディレクトリ(ファイルマネージャー)にアクセス
  2. プラグインフォルダの名前を変更(XO Security → XO Security2)
  3. WordPressにログイン
  4. プラグインフォルダの名前をもとに戻す(XO Security2 → XO Security)

コノハウィングを例に解説しますが、他サーバーでも手順は同じです。

STEP
サーバーディレクトリ(ファイルマネージャー)にアクセス
コノハウィング管理画面

コノハウィングの管理画面にログイン。

「WING」>「サイト管理」>「ファイルマネージャー」

STEP
プラグインフォルダの名前を変更
コノハウィング管理画面「ファイルマネージャー」

「public_html」>「サイトURL」>「wp-content」>「plugins」>「XO Security」

XO Security2など、何でもいいので名前を変更します。

STEP
WordPressにログイン
WordPressの管理画面

これでログインできるはずです。

STEP
プラグインフォルダの名前をもとに戻す
コノハウィング管理画面「ファイルマネージャー」2

再度、コノハウィング管理画面を開きプラグインフォルダにアクセス。

変更していた名前を「XO Security」に戻します。

画面が変わらないときは、ブラウザのキャッシュをクリア、「F5」で更新をお試しください。

エイタ

ログインページのURLを変更した場合はブックマーク、保存も忘れずに

BBQ Firewallも一緒に使おう

BBQ Firewall

BBQ Firewall」はWordPressにファイアウォール機能を追加してくれるプラグインです。

ファイアウォールとは

直訳すると「防火壁」という意味。

IT分野においては、不正アクセスやサイバー攻撃を防ぐ機能のことです。

XO Securityとは異なる働きをしてくれるため、SWELL公式サイトでも導入を推奨されています。

設定の必要はなく、インストールしたら「有効化」するだけでOK

エイタ

買い切りの有料版(20ドル/英語)もあるけど、無料版で十分

まとめ|SWELL版「XO Security」の使い方

今回はSWELL版「XO Security」の使い方をまとめました。

日本語対応しているので迷うことなく設定できましたね。

「BBQ Firewall」と一緒に使えばセキュリティ対策も万全です。

あわせて読みたい

プラグイン
SWELL XO Security
XO Securityの使い方!SWELLのセキュリティを強化しよう

この記事が気に入ったら
フォローしてね!

Follow Me
よかったらシェア!
  • URLをコピーしました!
目次