
WordPressのセキュリティプラグイン、
世間でどのくらい候補あるか…調べたことはありませんが。
ちなみに、
Site Guard WP Plugin以外ではどんなのがあるかと思い、、
漠然と、
できれば日本語で開発されたのがいいな…とはイメージとして思ったものの。
そんなSite Guard以外で上がってたのが、
この“XO Security”です。
軽量な上に国内での開発、
.htaccess関連の不具合がなく、初心者でも設定しやすい手軽さが良いとか。
インストール試してみることにします。
管理画面のプラグインから、
プラグインを追加をクリック。検索に“XO Security”と入れ。
今すぐインストール ⇨ 有効化を押します。
Site Guardのように、
インストールしただけでログイン画面が変わることはなく、最初はどの項目もOFFになってます。
設定画面へは管理画面の設定から、
XO Securityの項目ができており…そこから開きます。
ステータス一覧が出て、
設定するとココにチェックで反映されるのはSite Guardと似てますね。
どの項目も日本語表示、
設定しやすいのも初心者にはおすすめです。
◉ログイン
ログイン画面での、
おすすめ設定を記しております。
だいたいこんな感じですが…
状況により設定変更してみてください。
試行回数制限 ⇨ 12時間の間に5回まで
ブロック時の応対遅延 ⇨ 120秒
失敗時の応対遅延 ⇨ 10秒
ログインページの変更 ⇨ ON
ログインファイル名を設定できます。
ログインページは、入り口の一つなので特に意識します。
項目に入れる文字列は、
サイトアドレスやドメイン以降の…wp-loginの部分。
例えば四角い部分に、
ログインファイル:abcd12-road
と入れた場合、
新しいログインページは
URL:https://******.com/abcd12-road.php
となります。
このログインアドレスを、
忘れないようメモやブックマークしておきましょう。
できれば“admin”や“login”
といった語句は入れないほうがいいかもしれません。WordPressで使われがちな単語ですので。。
ログインIDの種類 ⇨ ユーザー名のみ
◦ユーザー名またはメールアドレス(デフォルト)
◦ユーザー名のみ
◦メールアドレスのみ
から選択できますが、
“ユーザー名のみ”がおすすめとのこと。
両方OKは従来通りのログインのしかた。
漏れることのありがちな、メールアドレスを避けての対策です。
ログイン言語制限 ⇨ 特に設定は不要
ログインエラーメッセージ ⇨ 簡略化
エラーメッセージ時に、
ユーザー名やアドレスが出てきてしまうのを防ぐ設定です。
どちらを間違えたか…
推測されるメッセージにせず、あいまいにするため簡略化を選びます。
2要素認証 ⇨ OFF
2段階認証でログインすれば、
さらにセキュリティ的には強力な選択になるでしょう。
2要素認証が、
ここで設定できるのにオドロキますが、運用するには設定が要ります。
個人でページ運用される際は、
優先度高くないのでとりあえずOFFにしてます。入り用の際はご検討ください。
CAPTCHA ⇨ ひらがな
キャプチャ、海外のロボット対策から
ひらがなが有効。ひらがなでの画像認証を追加したログイン画面になります。
パスワードリセットリンク ⇨ 有効
パスワードをお忘れですか?と出る、
パスワード忘れた際にリンクから設定し直せる部分です。一応残しておきます。
サイトへ移動リンク ⇨ 有効
←◯◯へ移動と出る、
ログイン下に出てくるリンク部分。ここも残しておきます。
ログインアラート ⇨ ON
自分以外でのログインがないか…ここはONにしておきます。
ログインした際、
メールが届くようになります。デフォルトだとシンプルすぎる中身ですが😁変数を加えてカスタマイズできるようです。
変更を保存を忘れず押します。
◉コメント
スパムコメントへの対処です。
デフォルトでWordPressに付いてる“Akismet Anti-Spam”を介さず、ここで設定できるのは便利かも。
CAPTCHA ⇨ どちらでも
コメント欄で、相手に画像入力をしてもらうかどうかの設定です。
スパム保護フィルター ⇨ ON
日本語以外のコメントをはじきます。
海外からのスパムが多いかもしれませんが、
もし…海外からの真面目なコメントだったらどうなるんだろ😅
スパムコメント ⇨ ブロックする
スパムコメントの対処です。
選択肢ありますが、ここではブロックするにしてます。
ボット保護チェックボックス ⇨ どちらでも
“私はロボットではありません”
のチェックを出すかどうかの設定です。
CAPTCHAキャプチャ入力と合わせて、
バランスを取るとよいかもしれません。どちらか一方だけ選択するとか…。
変更を保存します。
◉XML-RPC
XML-RPCの無効化 ⇨ ON
XML-RPCピンバッグの無効化 ⇨ ON
ほぼ迷いなくONにしてます。
XML-RPCは攻撃パターンでよく見かけるので。
Site Guardではどちらか一方の選択ですが、
XO Securityでは両方選べるんですね。
ただ、XML-RPCを無効にした場合、
不具合になるプラグインがあるようです。それぞれのケースに合わせて設定ください。
変更を保存します。
◉REST API
REST APIの無効化 ⇨ OFF
ONにした場合、除外項目に✔︎点を入れます。
ユーザー名にかかわる以下の項目が最小限です。
◉秘匿
ユーザー名ほか、
これだけ設定できるのがこのセキュリティの細かいところ…でしょうか。
ユーザー名の漏れやすい箇所を塞ぐ…といった対策です。
投稿者スラッグの編集 ⇨ ON
ONにした場合、
管理画面のユーザー ⇨ プロフィールにある、
投稿者スラッグ(Nicename)に何らか入力が要ります。ない場合は、ユーザー名がそのまま出てしまうので要注意です⚠️
WordPressのログインIDは、
=ユーザー名ですので、ここを守る必要があるのです。
投稿者ベースの編集 ⇨ OFF
投稿者アーカイブの無効化 ⇨ ON
コメント投稿者クラスの削除 ⇨ ON
oEmbedユーザー名の削除 ⇨ ON
RSS/ATOMフィードの無効化 ⇨ ON
RSSフィードが不要ならば、無効化ONで構わないです。
バージョン情報の削除 ⇨ ON
WordPressのバージョンを、出さないようにする項目です。
管理画面にもバージョンはでてきますが、、
例えばソース部分など…隠れて出ることがあるかもしれません。
WordPressの、
あえてバージョンを知られてなにか…足がかりにされないよう削除ONにしておきます。
readme.htmlの削除 ⇨ ON
ほぼほぼここは、
全てONにしていいんではないか⁇という項目です。
変更を保存します。
◉メンテナンス
特に設定不要です。
◉環境
IPアドレス取得方法 ⇨ 自動
通常は「自動」を選択してください。とあるのでデフォルトのままで。
ログイン情報ウィジェット ⇨ 任意で
ダッシュボードの管理画面に、
ログインアクセス状況がシンプルに出ており。有効か無効にできます。
自動削除 ⇨ 任意で
ログイン履歴の保管期間です。
◦自動削除しない
◦30日以前
◦365日以前、の3つから選べます。
デフォルトで表示する結果 ⇨ すべての結果
ログイン履歴の表示のされかたです。
自身でログイン成功したのも、
他者が侵入しようとして失敗したのも、どちらも出るのが“すべての結果”となります。
ほか成功のみ、失敗のみが選べます。
むしろ失敗のチェックのほうが肝心ですね💧
CAPTCHAタイプ ⇨ デフォルト
ログイン画面やコメントなどで
画像入力する部分の表示です。選択肢あるのが面白いw
自身が読みやすい書体で良いかと。
ひらがなとはいえ、いろんな場面で出るでしょうから。。
変更を保存します。
ログインログを見るためのページは、
管理画面のユーザー ⇨ ログインログから見れます。チェックしてみてください。
プラグインXO Securityについて、
詳しく説明されているサイト様を上げておきます。参考になりありがとうございます😌

ところであるときに…です。
セキュリティプラグインの“Really Simple Security”のダッシュボードを開いてみると、、こんな状態に…
ただいまのバージョンは9.6.0
つい最近このバージョンにしたものの、それが原因なのだろか。
ま、プラグイン入れる順序として、
この“Really Simple Security”は真っ先にインストールすることが多いものの。
ちなみにこのサイトには
XO Securityをあとからインストールしており。
めぼしいプラグインはこのくらい…
って状態にしてたので。
まずはXO Securityを停止してみます。
するとReally Simple Securityの画面が無事出る!
Really Simple Securityの堅牢化設定など、極力OFFにしてるものの…
XO Securityが入ってると、Really Simpleは白紙になるようです😅
ただReally Simpleも表示が出ないだけで、
SSL部分などちゃんと機能してるよう。
それともXO Securityの設定加減で、
Really Simple Securityが表示されたりしなかったりなのだろうか、、、
どうやらそのようです…😮
なかでもXML-RPCにだけ着目してみると、
◦XML-RPCの無効化 ⇨ OFF
◦XML-RPCピンバックの無効化 ⇨ OFF
にすると、
Really Simple Securityが表示されるようなりました。
じゃここから実験で、、
◦XML-RPCの無効化 ⇨ ON
◦XML-RPCピンバックの無効化 ⇨ OFF
だと表示されず。
◦XML-RPCの無効化 ⇨ OFF
◦XML-RPCピンバックの無効化 ⇨ ON
だと表示される。(・ ε ・)フーン
いわゆる“セキュリティ系で触れるプラグイン”
というのがコレだった…ってことなのだろうか、、(^▽^;)
Really Simple Security+Site Guardでは、
今のところそういう状態にはなってませんです。あしからず…






















コメント