使い勝手が良く、利用者も多いワードプレスですが、そのぶん、悪意を持ってブログやホームページにログインしようとされることもあります。
そのために、自分でもできるセキュリティ対策が、パスワードを自分しかわからない複雑なもので設定するとか、ログイン用のID(ユーザー名)をわからないようにするなどがあります。
パスワードの作成・管理は自分で意識するしかないですが、それ以外の不正ログイン対策は、専用のプラグインがあります。
ここでは、ワードプレスのログイン関連のセキュリティを強化するためのプラグイン『XO Security』の設定についてご案内いたします。
プラグインをインストールする
「XO Security」をインストールします。「インストール済みプラグイン」に「XO Security」という表示がありましたら、インストール済みなので「XO Securityの設定をする」へお進みください。
セキュリティ設定をしよう!
このプラグインを活用するには設定が必要です。さっそく設定していきましょう。
下記のように設定を変更して、最下部の「変更を保存」ボタンを押します。
| 項目 | 設定 |
|---|---|
| 試行回数制限 | 12時間の間に4回 |
| ブロック時の応答遅延 | 120秒 |
| 失敗時の応答遅延 | 10秒 |
| ログインページの変更 | チェックを入れて「ログインファイル」に自分で決めた ログインファイル名を入力する(半角英数字)。 すると、下に今後のログインURLが表示されるので それをコピーしてメモに控える。 ※このURLがわからなくなるとログインできなくなるので注意 |
| ログインIDの種類 | ユーザー名のみ |
| ログインエラーメッセージ | 簡略化 |
| CAPTCHA | ひらがな |
| ログインアラート | チェックを入れる |
下記のように設定を変更して、最下部の「変更を保存」ボタンを押します。
| 項目 | 設定 |
|---|---|
| CAPTCHA | ひらがな |
| スパム保護フィルター | 「日本語文字を含まない」と 「スパムとして保存されているコメントのメールアドレス」に チェックを入れる |
下記のように設定を変更して、最下部の「変更を保存」ボタンを押します。
| 項目 | 設定 |
|---|---|
| XML-RPCピンバックの無効化 | チェックを入れる |
下記のように設定を変更して、最下部の「変更を保存」ボタンを押します。
| 項目 | 設定 |
|---|---|
| REST APIの無効化 | チェックを入れる。さらに、 「/wp/v2/users」と 「/wp/v2/users/(?P<id>[\d]+)」に チェックを入れる |
| 項目 | 設定 |
|---|---|
| 投稿者スラッグの編集 | チェックを入れる |
| 投稿者アーカイブの無効化 | チェックを入れる ※複数人で投稿していて、投稿者アーカイブを 使う場合はチェックを入れない |
| コメント投稿者クラスの削除 | チェックを入れる |
| oEmbedユーザー名の削除 | チェックを入れる |
| バージョン情報の削除 | チェックを入れる |
以上でプラグインの設定は完了です。
ユーザー情報を編集しよう
『投稿者アーカイブ』ページの『投稿者スラッグ』というのは、初期設定だとブログ(ワードプレス)にログインするユーザー名となっているので、投稿者アーカイブページが開けると、ユーザー名がわかってしまってセキュリティ上、不安です。
前項のSTEP6で、『投稿者アーカイブの無効化』にチェックを入れた場合、投稿者アーカイブページが無効になるので、閲覧されてバレることはありませんが、念のため、投稿者スラッグ(初期設定はユーザー名となっている部分)を変更しておきましょう。
また、複数人で投稿していて『投稿者アーカイブの無効化』にチェックを入れなかった場合(投稿者アーカイブページが有効な場合)は、必ず投稿者スラッグを変更しましょう。
変更手順は以下のとおりです。
そこにユーザー名以外の名前などを入力して、さらに一番下にある「プロフィールを更新」ボタンをクリックしてください。
今回は、設定を終えることをゴールとしたので、それぞれの設定項目がどんな意味なのかについては説明していません。それぞれの項目にどんな意味があるのかも知りたい場合、下記の方のブログ記事を参考になさってください。
