WordPressのセキュリティ対策にXO Securityを導入する方法【日本製プラグイン】

WordPressはセキュリティ対策が重要です。

迷ったらまずは「XML-RPCの無効化」と「REST APIの制限」の2つだけでも設定しましょう。

今回はセキュリティプラグインXO Securityをご紹介します。

設定画面が日本語で分かりやすく、「XML-RPCの無効化」と「REST APIの制限」を簡単に設定できます。

XO Securityとは

XO SecurityはWordPressの主にログイン関連のセキュリティを強化するプラグインです。

日本の開発者が作った日本製プラグインで、設定画面が日本語対応しているため迷わず簡単に設定できます。

主な機能はこちらです。

• ログイン試行回数の制限
• XML-RPCの無効化
• REST APIの制限
• 2要素認証
• ログインページのURL変更
• ログインアラート(ログイン時にメール通知)

インストール・有効化

WordPressの管理画面からプラグイン、プラグインを追加をクリックします。

検索欄にXO Securityと入力すると表示されます。今すぐインストールをクリックします。

インストールが完了したら有効化をクリックします。

有効化すると管理画面の設定メニューの中にXO Securityが追加されます。

設定画面について

設定画面を開くとまずステータスタブが表示されます。

ステータスタブでは現在有効になっている機能が一覧で確認できます。緑のチェックマークがついている項目が有効な状態です。

タブは以下の項目に分かれています。

• ステータス
• ログイン
• コメント
• XML-RPC
• REST API
• 秘匿
• メンテナンス
• 環境

XML-RPCを無効化する

XML-RPCはスマートフォンアプリからWordPressを更新するための仕組みのことです。スマホから気軽に更新できますが、攻撃に悪用されるケースがあります。

スマートフォンアプリから更新しない場合は無効化しましょう。

WordPressアプリや外部サービスを使わず、普段パソコンから管理画面にログインして更新している場合は、無効化しても問題ないケースがほとんどです。

XML-RPCタブをクリックします。

XML-RPCの無効化とXML-RPCピンバックの無効化の両方をオンにして変更を保存をクリックします。

ステータスタブに戻ってXML-RPC関連の項目に緑のチェックマークがついていれば設定完了です。

REST APIを制限する

REST APIはWordPressの情報を外部から取得できる仕組みです。

デフォルトの状態ではユーザー情報が外部から取得できてしまいます。ユーザー情報からログイン用のユーザー名がわかることがありますのでREST APIを使わない場合は無効にしておきましょう。

REST APIタブをクリックします。

REST APIの無効化をオンにしてから、画面をスクロールして

/wp/v2/users
/wp/v2/users/(?P<id>[\d]+)

にチェックを入れて変更を保存をクリックします。

/wp/v2/usersと/wp/v2/users/(?P<id>[\d]+)にチェックを入れることで、ログインしていない外部からのユーザー情報の取得を防ぐことができます。設定後に/wp-json/wp/v2/usersにアクセスすると404エラーが返るようになれば設定完了です。

ログイン設定について

ログインタブではログインに関するさまざまな設定ができます。

主な設定項目はこちらです。

• 試行回数制限:ログイン失敗を繰り返す接続元をブロックします
• ログインページの変更:ログインURLを変更して攻撃を受けにくくします
• 2要素認証:TOTPによる2段階認証を追加できます
• ログインアラート:ログイン時にメールで通知が届きます

すべて有効にする必要はありませんが、試行回数制限だけでも設定しておくと不正アクセス対策になります。

制限を厳しくしすぎると自分がログインに失敗したときに困りますのでほどほどにしましょう。

まとめ

WordPressはオープンソースであるため、世界中から常に攻撃を受けています。WordPress本体やプラグインは常に最新の状態に保つようにしましょう。

XO Securityは日本製で設定画面が分かりやすく、WordPressのセキュリティ対策を手軽に始めたい方におすすめのプラグインです。

私も実際にXO Securityを利用してセキュリティ向上に励んでいます。一緒にサイトを守りましょう。