ワードプレスのログイン関連のセキュリティを強化するためのプラグイン『XO Security』

2023-07-112023-07-28

使い勝手が良く、利用者も多いワードプレスですが、そのぶん、悪意を持ってブログやホームページにログインしようとされることもあります。

そのために、自分でもできるセキュリティ対策が、パスワードを自分しかわからない複雑なもので設定するとか、ログイン用のID（ユーザー名）をわからないようにするなどがあります。

パスワードの作成・管理は自分で意識するしかないですが、それ以外の不正ログイン対策は、専用のプラグインがあります。

ここでは、ワードプレスのログイン関連のセキュリティを強化するためのプラグイン『XO Security』の設定についてご案内いたします。

WordPress.org 日本語

XO Security XO Security はログイン関連のセキュリティを強化するためのプラグインです。

プラグインをインストールする

「XO Security」をインストールします。「インストール済みプラグイン」に「XO Security」という表示がありましたら、インストール済みなので「XO Securityの設定をする」へお進みください。

STEP

ワードプレス管理画面の左側メニューから「プラグイン」の中の「新規追加」をクリックします。

STEP

右上の「プラグインの検索」枠に「XO Security」と入力します。プラグイン一覧の中に「XO Security」が表示されるので、「今すぐインストール」ボタンを押します。

STEP

インストールが終わると、ボタンが「有効化」に変わります。「有効化」ボタンを押してください。

セキュリティ設定をしよう！

このプラグインを活用するには設定が必要です。さっそく設定していきましょう。

STEP

プラグイン名「XO Security」下にある「設定」ボタンを押します。

STEP

「XO Security設定」画面が開くので、「ログイン」タブをクリックします。

下記のように設定を変更して、最下部の「変更を保存」ボタンを押します。

項目	設定
試行回数制限	12時間の間に4回
ブロック時の応答遅延	120秒
失敗時の応答遅延	10秒
ログインページの変更	チェックを入れて「ログインファイル」に自分で決めたログインファイル名を入力する（半角英数字）。すると、下に今後のログインURLが表示されるのでそれをコピーしてメモに控える。 ※このURLがわからなくなるとログインできなくなるので注意
ログインIDの種類	ユーザー名のみ
ログインエラーメッセージ	簡略化
CAPTCHA	ひらがな
ログインアラート	チェックを入れる

STEP

次に「コメント」タブをクリックします。

下記のように設定を変更して、最下部の「変更を保存」ボタンを押します。

項目	設定
CAPTCHA	ひらがな
スパム保護フィルター	「日本語文字を含まない」と「スパムとして保存されているコメントのメールアドレス」にチェックを入れる

STEP

次に「XML-RPC」タブをクリックします。

下記のように設定を変更して、最下部の「変更を保存」ボタンを押します。

項目	設定
XML-RPCピンバックの無効化	チェックを入れる

STEP

次に「REST API」タブをクリックします。

下記のように設定を変更して、最下部の「変更を保存」ボタンを押します。

項目	設定
REST APIの無効化	チェックを入れる。さらに、「/wp/v2/users」と「/wp/v2/users/(?P<id>[\d]+)」にチェックを入れる

STEP

次に「秘匿」タブをクリックします。

項目	設定
投稿者スラッグの編集	チェックを入れる
投稿者アーカイブの無効化	チェックを入れる ※複数人で投稿していて、投稿者アーカイブを使う場合はチェックを入れない
コメント投稿者クラスの削除	チェックを入れる
oEmbedユーザー名の削除	チェックを入れる
バージョン情報の削除	チェックを入れる

STEP

「環境」タブは初期設定のまま変更はしません。

以上でプラグインの設定は完了です。

ユーザー情報を編集しよう

『投稿者アーカイブ』ページの『投稿者スラッグ』というのは、初期設定だとブログ（ワードプレス）にログインするユーザー名となっているので、投稿者アーカイブページが開けると、ユーザー名がわかってしまってセキュリティ上、不安です。

前項のSTEP6で、『投稿者アーカイブの無効化』にチェックを入れた場合、投稿者アーカイブページが無効になるので、閲覧されてバレることはありませんが、念のため、投稿者スラッグ（初期設定はユーザー名となっている部分）を変更しておきましょう。

また、複数人で投稿していて『投稿者アーカイブの無効化』にチェックを入れなかった場合（投稿者アーカイブページが有効な場合）は、必ず投稿者スラッグを変更しましょう。

変更手順は以下のとおりです。

STEP

ワードプレス左側メニューの「ユーザー」から「プロフィール」を選択します。

STEP

画面をスクロールすると「スラッグ」欄に「投稿者スラッグ（Nickname）」があります。

そこにユーザー名以外の名前などを入力して、さらに一番下にある「プロフィールを更新」ボタンをクリックしてください。

今回は、設定を終えることをゴールとしたので、それぞれの設定項目がどんな意味なのかについては説明していません。それぞれの項目にどんな意味があるのかも知りたい場合、下記の方のブログ記事を参考になさってください。

マニュオン

XO Securityの設定方法と不具合対処【初心者/SWELL向け】 | マニュオンこの記事では、WordPressプラグイン「XO Security（エックスオーセキュリティ）」の初期設定と使い方を、画像を用いてわかりやすくご紹介します。 WordPress（ワードプレ…

URLをコピーしました！

誰かに聞きながら作業できたらいいのに…と思いませんか？
それが可能なイベントを開催しています。ぜひお気軽にご参加ください！

この記事を書いた人

半沢まり子子育て中の女性の在宅起業を成功させるWebサポーター

IT企業で約10年勤務していたが妊娠時のトラブルにより専業主婦となる。キャリアが途絶え、今後の働き方や夫婦のあり方を模索しつつパートを始めたときに離婚に直面。正社員での就職を考えたが、ブランクから難しさを感じ、自分に合った働き方を模索。フリーランスという働き方を選択したことで、子どもとの時間も大切にでき、シングルマザーでやっていけるようになる。
現在は、自身の経験を活かし、特別なスキルなく、未経験でもできる子育て中の女性の在宅ワークや、フリーランス・ひとり起業のWeb制作・運用管理をサポート中。