XO Security
XO Securityとは、WordPressのWebサイトにセキュリティ対策を強化を行うことができ、
「ログインログ」、「コメントスパム防止」、「REST API の無効化」などを
無料で利用できるプラグインで以下のような特徴があります。
本記事では、mixhostで簡単にWebサイトのセキュリティ対策を
導入できる「XO Security」の設定方法について紹介します。
- 複雑な設定が少なく、設定方法も簡略化されている
- htaccess ファイルの作成や書き換えを行わない為、動作確認時の確認と
.htaccess を使用するプラグインなどとも併用可能。
- 外部サービスとの連携がなく登録や購入など不要
導入方法
プラグイン導入
WordPress管理画面より「①プラグイン欄:新規追加」→「②キーワードに【XO Security】と入力」→「③【今すぐインストール】」→「④【有効化】」の順に選択しプラグインの有効化しましょう。
設定方法
設定画面へは、WordPress管理画面の【設定欄:XO Security】をクリックし設定画面へ移動しましょう。
ステータス
この設定画面では、プラグインで有効とするセキュリティ対策項目を【設定ステータス】の
「緑チェックマーク※」で確認でき、【サイト情報】では「WordPressのバージョン」や「MySQL バージョン」など
情報を確認することができます。
※デフォルト設定では、「ログインログ記録」のみ有効となっています。
| 項目 | 内容 | 設定例 |
| ログインログ記録 | ログインログを記録します。 |  |
| ログイン試行回数制限 | ログイン失敗を繰り返す接続元をブロックします。 | |
| ログインページの変更 | ログインページの名前を変更します。 |  |
| ログイン ID の種類 | ログイン ID をユーザー名またはメールアドレスのどちらかに制限します。 | |
| ログイン言語制限 | ログインできる言語を制限します。 | |
| ログインエラーメッセージ | ログインエラーメッセージを簡略化します。 | |
| ログイン CAPTCHA | ログインページに CAPTCHA を追加します。 | |
| ログインアラート | ログイン時にメールを送信します。 | |
| コメント CAPTCHA | コメントフォームに CAPTCHA を追加します。 | |
| コメントスパム保護 | コメントをスパムから保護します。 | |
| コメントボット保護 | コメントをボットから保護します。 | |
| XML-RPC の無効化 | XML-RPC を無効にします。 | |
| XML-RPC ピンバックの無効化 | XML-RPC ピンバック機能を無効にします。 | |
| REST API の無効化 | REST API を無効にします。 | |
| REST API URL の変更 | REST API URL のプレフィックスを変更します。 | |
| 投稿者スラッグの編集 | 投稿者スラッグを編集できます。 | |
| 投稿者アーカイブの無効化 | 投稿者アーカイブページを無効にします。 | |
| コメント投稿者クラスの削除 | コメントリストのタグに追加されるユーザー名を含むクラスを削除します。 | |
| RSS/Atom フィードの無効化 | RSS/Atom フィードを無効にします。 | |
| バージョン情報の削除 | generator メタタグおよびリンクやスクリプトタグなどの WordPress バージョンを削除します | |
| 項目 | 内容 |
| サーバー情報 | LiteSpeed |
| WordPress バージョン | 5.8.3 |
| PHP バージョン | 7.4.27 |
| MySQL バージョン | 5.5.5 |
| PHP 拡張モジュール | mbstring, gd, session ... |
| デフォルトタイムゾーン | UTC |
| WordPress デバッグモード | 無効 |
ログイン
WordPressの管理画面へのログインに関するセキュリティ対策設定が行える
設定画面で、「試行回数制限」、「CAPTCHA」、「ログインアラート」については
他のセキュリティ対策プラグインを導入していない場合は、これらを有効化しておくのをオススメします。
「ログインページの変更」の項目でWordPressのログインページURLの変更を行う場合は、
変更後のURLを忘れてしまうと保存済みブックマークからアクセスできない為、URLのメモを取るか
mixhostのCPanelへログインしSoftaculousからWebサイトの管理者としてログインする方法を
事前に確認しておきましょう。
| 項目 | 内容 | 設定例 |
| 試行回数制限 | 試行回数
・試行回数の制限なし ・1時間の間に ・12時間の間に ・24時間の間に ・48時間の間に n回までリトライを許可する ※0~9223372036854775807回まで |
・12時間の間に
・4回までリトライを許可する |
| ブロック時の応答遅延 | 0~120秒まで | ・60秒 |
| 失敗時の応答遅延 | 0~10秒まで | ・10秒 |
| ログインページの変更 | ・ログインファイル「」.php
URL: https://〇〇〇〇.jp/wp-login.php |
・変更不要 |
| ログイン ID の種類 | ・ユーザー名またはメールアドレス(デフォルト)
・ユーザー名のみ ・メールアドレスのみ |
・ユーザー名またはメールアドレス(デフォルト) |
| ログイン言語制限 | ・無効 | ・無効 |
| ログインエラーメッセージ | ・デフォルト
・簡略化 |
・簡略化 |
| 項目 | 内容 | 設定例 |
| CAPTCHA | ・無効
・英数字 ・ひらがな |
・ひらがな |
| パスワードリセットリンク | ・有効
・無効 |
・無効 |
| サイトへ移動リンク | ・有効
・無効 |
・有効 |
| 項目 | 内容 | 設定例 |
| ログインアラート | ・有効
・無効 ・件名 ・本文 ・管理者のみ |
・有効
・件名 ・本文 ・管理者のみ |
コメント
コメント投稿のセキュリティ対策を有効化することでスパムコメントを
減少させることができます。
| 項目 | 内容 | 設定例 |
| CAPTCHA | ・無効
・英数字 ・ひらがな |
・ひらがな |
| スパム保護フィルター | ・日本語文字を含まない
・コメントフィールドの下に表示するメッセージ |
・日本語文字を含まない
・コメントフィールドの下に表示するメッセージ |
| スパムコメント | ・ブロックする
・スパムとして保存する ・ゴミ箱へ入れる |
・ブロックする |
| ボット保護チェックボックス | ・有効
・無効 |
・有効 |
XML-RPC
XML-RPC及ピンバックの有効/無効を切り替える設定項目で、WordPressのWebサイトに対して
他のプログラムやプラグインなどからのアクセスやメール記事投稿や編集、ピンバック(リンク元への自動通知)の
操作を行う機能でこれらは便利ではありますが以下のような攻撃を受ける可能性あり無効化設定を有効化に変更することをオススメします。
- 総当たり(ブルートフォース)攻撃による管理画面への不正アクセス
- DoS攻撃によるWebサーバーのダウン
| 項目 | 内容 | 設定例 |
| XML-RPC の無効化 | ・有効
・無効 |
・有効 |
| XML-RPC ピンバックの無効化 | ・有効
・無効 |
・有効 |
REST API
REST API設定画面では、WordPressのWebサイトに対して外部からhttp通信を介し指定したデータを
取得/送信する仕組み「REST API」があり、例えば【https://〇○○〇.jp/wp-json/wp/v2/users】とアクセスすると
該当Webサイトの「ユーザーの一覧情報」を参照することができ、WordPressの公開情報として誰からでも見ることができます。
【REST API の無効化】対象項目を無効化することで、外部から参照した際に404エラーを表示します。
不要な項目や項目によっては無効化すると他のプラグインが動作しなくなる物もあり
【REST API の無効化】の項目を無効化する場合は、事前にバックアップや他のプラグインの動作確認をすることを
オススメします。
| 項目 | 内容 | 設定例 |
| REST API の無効化 | ・有効
・無効 |
REST API の無効化:有効
〇/wp/v2 ユーザー情報に関する項目 ・ /wp/v2/users:有効 ・/wp/v2/users/(?P<id>[\d]+):有効 記事に関する項目【紹介のみ】 ・ /wp/v2/posts ・ /wp/v2/posts/(?P<id>[\d]+) メディアライブラリに関する項目【紹介のみ】 ・/wp/v2/media ・/wp/v2/media/(?P<id>[\d]+) |
| REST API URL の変更 | ・有効
・無効 ・プレフィックス |
・REST API URL の変更:無効
・・プレフィックス:wp-json |
秘匿
投稿者アーカイブの無効化は、投稿者アーカイブページを表示しないようにします。
コメント作成者名クラスの削除は、コメントリストのタグに追加されるユーザー名を含むクラスを削除します。
| 項目 | 内容 | 設定例 |
| 投稿者スラッグの編集 | ・有効
・無効 |
・無効 |
| 投稿者アーカイブの無効化 | ・有効
・無効 |
・無効 |
| コメント投稿者クラスの削除 | ・有効
・無効 |
・有効 |
| 項目 | 内容 | 設定例 |
| RSS/Atom フィードの無効化 | ・有効
・無効 |
・無効 |
| 項目 | 内容 | 設定例 |
| バージョン情報の削除 | ・有効
・無効 |
・無効 |
環境
IP アドレスの取得方法を選択します。通常は「自動」を選択してください。
ログインログの自動削除は指定の期間以前の古いログインログを自動的に削除します。
| 項目 | 内容 | 設定例 |
| IP アドレス取得方法 |
・自動 ・REMOTE_ADDR ・X_FORWARDED_FOR: Client ・ X_FORWARDED_FOR: Proxy1 ・X_FORWARDED_FOR: Proxy2 ・HTTP_X_REAL_IP ・HTTP_CLIENT_IP |
通常は「自動」を選択してください。
・自動 |
| 項目 | 内容 | 設定例 |
| 自動削除 | ・365日以前
・30日以前 ・自動削除しない |
・30日以前 |
| デフォルトで表示する結果 | ・すべての結果
・失敗 ・成功 |
・失敗 |
