PR

WordPressのセキュリティ対策にXO Securityを導入する方法【日本製プラグイン】

XO Security WordPressのセキュリティ対策を日本製プラグインで強化する WordPress
記事内に広告が含まれています。

WordPressはセキュリティ対策が重要です。

でも結局対策って何をすればいいの?

迷ったらまずは「XML-RPCの無効化」と「REST APIの制限」の2つだけでも設定しましょう。

今回はセキュリティプラグインXO Securityをご紹介します。

設定画面が日本語で分かりやすく、「XML-RPCの無効化」と「REST APIの制限」を簡単に設定できます。

XO Securityとは

XO SecurityはWordPressの主にログイン関連のセキュリティを強化するプラグインです。

日本の開発者が作った日本製プラグインで、設定画面が日本語対応しているため迷わず簡単に設定できます。

主な機能はこちらです。

  • ログイン試行回数の制限
  • XML-RPCの無効化
  • REST APIの制限
  • 2要素認証
  • ログインページのURL変更
  • ログインアラート(ログイン時にメール通知)

無料でこれだけの機能が使えるのはありがたい

インストール・有効化

WordPressの管理画面からプラグイン、プラグインを追加をクリックします。

WordPressの管理画面でプラグインメニューからプラグインを追加をクリックしている画面

検索欄にXO Securityと入力すると表示されます。今すぐインストールをクリックします。

プラグインの検索欄にXO Securityと入力し今すぐインストールをクリックしている画面

インストールが完了したら有効化をクリックします。

XO Securityのインストール完了後に有効化をクリックしている画面

有効化すると管理画面の設定メニューの中にXO Securityが追加されます。

WordPressの設定メニューの中にXO Securityが追加されている画面

設定画面について

設定画面を開くとまずステータスタブが表示されます。

XO Securityの設定ステータス画面でログインログ記録のみ有効になっている状態

ステータスタブでは現在有効になっている機能が一覧で確認できます。緑のチェックマークがついている項目が有効な状態です。

タブは以下の項目に分かれています。

  • ステータス
  • ログイン
  • コメント
  • XML-RPC
  • REST API
  • 秘匿
  • メンテナンス
  • 環境

XML-RPCを無効化する

XML-RPCはスマートフォンアプリからWordPressを更新するための仕組みのことです。スマホから気軽に更新できますが、攻撃に悪用されるケースがあります。

スマートフォンアプリから更新しない場合は無効化しましょう。

WordPressアプリや外部サービスを使わず、普段パソコンから管理画面にログインして更新している場合は、無効化しても問題ないケースがほとんどです。

XML-RPCタブをクリックします。

XML-RPCの無効化XML-RPCピンバックの無効化の両方をオンにして変更を保存をクリックします。

XO SecurityのXML-RPCタブでXML-RPCの無効化とXML-RPCピンバックの無効化をオンにして変更を保存する手順を示した画面
この画像は無効化がオフになっているときの画像です。

ステータスタブに戻ってXML-RPC関連の項目に緑のチェックマークがついていれば設定完了です。

XO Securityのステータスタブ画面でXML-RPCの無効化とXML-RPCピンバックの無効化にチェックマークがついて有効になっている状態

REST APIを制限する

REST APIはWordPressの情報を外部から取得できる仕組みです。

デフォルトの状態ではユーザー情報が外部から取得できてしまいます。ユーザー情報からログイン用のユーザー名がわかることがありますのでREST APIを使わない場合は無効にしておきましょう。

REST APIタブをクリックします。

REST APIの無効化をオンにしてから、画面をスクロールして

/wp/v2/users
/wp/v2/users/(?P<id>[\d]+)

にチェックを入れて変更を保存をクリックします。

XO SecurityのREST APIタブでwp/v2/usersとwp/v2/users/(?P<id>[\d]+)にチェックを入れて変更を保存する手順を示した画面

/wp/v2/users/wp/v2/users/(?P<id>[\d]+)にチェックを入れることで、ログインしていない外部からのユーザー情報の取得を防ぐことができます。設定後に/wp-json/wp/v2/usersにアクセスすると404エラーが返るようになれば設定完了です。

ログイン設定について

ログインタブではログインに関するさまざまな設定ができます。

XO SecurityのログインタブでログインIDの種類や2要素認証などの設定項目が並んでいる画面

主な設定項目はこちらです。

  • 試行回数制限:ログイン失敗を繰り返す接続元をブロックします
  • ログインページの変更:ログインURLを変更して攻撃を受けにくくします
  • 2要素認証:TOTPによる2段階認証を追加できます
  • ログインアラート:ログイン時にメールで通知が届きます

すべて有効にする必要はありませんが、試行回数制限だけでも設定しておくと不正アクセス対策になります。

制限を厳しくしすぎると自分がログインに失敗したときに困りますのでほどほどにしましょう。

まとめ

WordPressはオープンソースであるため、世界中から常に攻撃を受けています。WordPress本体やプラグインは常に最新の状態に保つようにしましょう。

XO Securityは日本製で設定画面が分かりやすく、WordPressのセキュリティ対策を手軽に始めたい方におすすめのプラグインです。

私も実際にXO Securityを利用してセキュリティ向上に励んでいます。一緒にサイトを守りましょう。

タイトルとURLをコピーしました