WordPressプラグイン

[WordPress]セキュリティ・XO Securityプラグインを使ってみた

WordPressのセキュリティプラグイン、
世間でどのくらい候補あるか…調べたことはありませんが。

ちなみに、
Site Guard WP Plugin以外ではどんなのがあるかと思い、、

漠然と、
できれば日本語で開発されたのがいいな…とはイメージとして思ったものの。

そんなSite Guard以外で上がってたのが、
この“XO Security”です。

軽量な上に国内での開発、
.htaccess関連の不具合がなく、初心者でも設定しやすい手軽さが良いとか。

 

インストール試してみることにします。

管理画面のプラグインから、
プラグインを追加をクリック。検索に“XO Security”と入れ。

今すぐインストール有効化を押します。

XOセキュリティのプラグイン

Site Guardのように、
インストールしただけでログイン画面が変わることはなく、最初はどの項目もOFFになってます。

設定画面へは管理画面の設定から、
XO Securityの項目ができており…そこから開きます。

ステータス一覧が出て、
設定するとココにチェックで反映されるのはSite Guardと似てますね。

XOセキュリティのステータス画面
XOセキュリティのステータス画面続き
XOセキュリティのステータス画面続き

どの項目も日本語表示、
設定しやすいのも初心者にはおすすめです。

 

◉ログイン


ログイン画面での、
おすすめ設定を記しております。

だいたいこんな感じですが…
状況により設定変更してみてください。

XOセキュリティのログイン設定

試行回数制限12時間の間に5回まで

ブロック時の応対遅延120秒

失敗時の応対遅延10秒

 

XOセキュリティのログイン設定続き

ログインページの変更ON
ログインファイル名を設定できます。
ログインページは、入り口の一つなので特に意識します。

項目に入れる文字列は、
サイトアドレスやドメイン以降の…wp-loginの部分

例えば四角い部分に、

ログインファイル:abcd12-road

と入れた場合、
新しいログインページは

URL:https://******.com/abcd12-road.php

となります。

このログインアドレスを、
忘れないようメモやブックマークしておきましょう。

できれば“admin”や“login”
といった語句は入れないほうがいいかもしれません。WordPressで使われがちな単語ですので。。

 

ログインIDの種類ユーザー名のみ
◦ユーザー名またはメールアドレス(デフォルト)
◦ユーザー名のみ
◦メールアドレスのみ

から選択できますが、
ユーザー名のみ”がおすすめとのこと。

両方OKは従来通りのログインのしかた。
漏れることのありがちな、メールアドレスを避けての対策です。

ただ、ログインIDをユーザー名のみ…
にしたことを自分でも覚えてないと、、アウトですなw

 

ログイン言語制限特に設定は不要

ログインエラーメッセージ簡略化
エラーメッセージ時に、
ユーザー名やアドレスが出てきてしまうのを防ぐ設定です。

どちらを間違えたか…
推測されるメッセージにせず、あいまいにするため簡略化を選びます。

2要素認証OFF
2段階認証でログインすれば、
さらにセキュリティ的には強力な選択になるでしょう。

2要素認証が、
ここで設定できるのにオドロキますが、運用するには設定が要ります。

個人でページ運用される際は、
優先度高くないのでとりあえずOFFにしてます。入り用の際はご検討ください。

 

XOセキュリティのログイン設定続き

CAPTCHAひらがな
キャプチャ、海外のロボット対策から
ひらがなが有効。ひらがなでの画像認証を追加したログイン画面になります。

ワードプレスログイン画面

パスワードリセットリンク有効
パスワードをお忘れですか?と出る、
パスワード忘れた際にリンクから設定し直せる部分です。一応残しておきます。

サイトへ移動リンク有効
←◯◯へ移動と出る、
ログイン下に出てくるリンク部分。ここも残しておきます。

ログインアラートON
自分以外でのログインがないか…ここはONにしておきます。

ログインした際、
メールが届くようになります。デフォルトだとシンプルすぎる中身ですが😁変数を加えてカスタマイズできるようです。

変更を保存を忘れず押します。

 

◉コメント


スパムコメントへの対処です。
デフォルトでWordPressに付いてる“Akismet Anti-Spam”を介さず、ここで設定できるのは便利かも。

コメントの設定画面

CAPTCHAどちらでも
コメント欄で、相手に画像入力をしてもらうかどうかの設定です。

スパム保護フィルター ON
日本語以外のコメントをはじきます。

海外からのスパムが多いかもしれませんが、
もし…海外からの真面目なコメントだったらどうなるんだろ😅

スパムコメントブロックする
スパムコメントの対処です。
選択肢ありますが、ここではブロックするにしてます。

ボット保護チェックボックスどちらでも
“私はロボットではありません”
のチェックを出すかどうかの設定です。

CAPTCHAキャプチャ入力と合わせて、
バランスを取るとよいかもしれません。どちらか一方だけ選択するとか…。

変更を保存します。

 

◉XML-RPC


XML-RPCの無効化ON

XML-RPCピンバッグの無効化ON

ほぼ迷いなくONにしてます。
XML-RPCは攻撃パターンでよく見かけるので。

XMLRPCの設定画面

Site Guardではどちらか一方の選択ですが、
XO Securityでは両方選べるんですね。

ただ、XML-RPCを無効にした場合、
不具合になるプラグインがあるようです。それぞれのケースに合わせて設定ください。

変更を保存します。

 

◉REST API


REST API設定画面

REST APIの無効化OFF
ONにした場合、除外項目に✔︎点を入れます。
ユーザー名にかかわる以下の項目が最小限です。

適用した場合の除外設定

 

◉秘匿


ユーザー名ほか、
これだけ設定できるのがこのセキュリティの細かいところ…でしょうか。

ユーザー名の漏れやすい箇所を塞ぐ…といった対策です。

秘匿に関する設定画面

投稿者スラッグの編集ON
ONにした場合、
管理画面のユーザープロフィールにある、

投稿者スラッグ(Nicename)に何らか入力が要ります。ない場合は、ユーザー名がそのまま出てしまうので要注意です⚠️

投稿者スラッグの入力画面

WordPressのログインIDは、
=ユーザー名ですので、ここを守る必要があるのです。

投稿者ベースの編集OFF

投稿者アーカイブの無効化ON

コメント投稿者クラスの削除ON

oEmbedユーザー名の削除ON

 

秘匿に関する設定画面続き

RSS/ATOMフィードの無効化ON
RSSフィードが不要ならば、無効化ONで構わないです。

バージョン情報の削除ON
WordPressのバージョンを、出さないようにする項目です。

管理画面にもバージョンはでてきますが、、
例えばソース部分など…隠れて出ることがあるかもしれません。

WordPressの、
あえてバージョンを知られてなにか…足がかりにされないよう削除ONにしておきます。

readme.htmlの削除ON

ほぼほぼここは、
全てONにしていいんではないか⁇という項目です。
変更を保存します。

 

◉メンテナンス


特に設定不要です。

 

◉環境


IPアドレス取得方法自動
通常は「自動」を選択してください。とあるのでデフォルトのままで。

ログイン情報ウィジェット任意で

ダッシュボードのログイン情報

ダッシュボードの管理画面に、
ログインアクセス状況がシンプルに出ており。有効か無効にできます。

 

ログインログに関する設定画面

自動削除任意で

ログイン履歴の保管期間です。
◦自動削除しない
◦30日以前
◦365日以前、の3つから選べます。

デフォルトで表示する結果すべての結果
ログイン履歴の表示のされかたです。

自身でログイン成功したのも、
他者が侵入しようとして失敗したのも、どちらも出るのが“すべての結果”となります。

ほか成功のみ、失敗のみが選べます。
むしろ失敗のチェックのほうが肝心ですね💧

CAPTCHAタイプデフォルト
ログイン画面やコメントなどで
画像入力する部分の表示です。選択肢あるのが面白いw

自身が読みやすい書体で良いかと。
ひらがなとはいえ、いろんな場面で出るでしょうから。。

変更を保存します。

 

ログインログを見るためのページは、
管理画面のユーザーログインログから見れます。チェックしてみてください。

ログインログの一覧ページ

 

プラグインXO Securityについて、
詳しく説明されているサイト様を上げておきます。参考になりありがとうございます😌

XO Security(セキュリティWPプラグイン)のメリットや設定方法
『XO Security』は、WordPressのセキュリティを簡単な設定のみで強化できるプラグインです。不正ログインやコメントスパムなどのリスクに対して対策できます。この記事では、『XO Security』のメリットや設定方法を解説します...

 

ところであるときに…です。
セキュリティプラグインの“Really Simple Security”のダッシュボードを開いてみると、、こんな状態に…

ただいまのバージョンは9.6.0
つい最近このバージョンにしたものの、それが原因なのだろか。

ま、プラグイン入れる順序として、
この“Really Simple Security”は真っ先にインストールすることが多いものの。

ちなみにこのサイトには
XO Securityをあとからインストールしており。

めぼしいプラグインはこのくらい…
って状態にしてたので。

 

まずはXO Securityを停止してみます。
するとReally Simple Securityの画面が無事出る!

Really Simple Securityの堅牢化設定など、極力OFFにしてるものの…
XO Securityが入ってると、Really Simpleは白紙になるようです😅

ただReally Simpleも表示が出ないだけで、
SSL部分などちゃんと機能してるよう。

それともXO Securityの設定加減で、
Really Simple Securityが表示されたりしなかったりなのだろうか、、、

どうやらそのようです…😮
なかでもXML-RPCにだけ着目してみると、

XML-RPCの無効化OFF
XML-RPCピンバックの無効化OFF

にすると、
Really Simple Securityが表示されるようなりました。

 

じゃここから実験で、、
XML-RPCの無効化ON
◦XML-RPCピンバックの無効化 ⇨ OFF
だと表示されず。

◦XML-RPCの無効化 ⇨ OFF
XML-RPCピンバックの無効化ON
だと表示される。(・ ε ・)フーン

いわゆる“セキュリティ系で触れるプラグイン”
というのがコレだった…ってことなのだろうか、、(^▽^;)

Really Simple Security+Site Guardでは、
今のところそういう状態にはなってませんです。あしからず…

コメント

タイトルとURLをコピーしました