「WordPressのセキュリティ対策はどうしたらいい?」と悩んでいませんか?
この記事では、WordPress初心者でも使いやすいセキュリティプラグイン「XO Security」をご紹介します。
クサカベ
この記事で解決できる疑問はこれ!
- 「WordPressのセキュリティ対策はどうすればいい?」
- 「XO Securityってどんなプラグイン?」
- 「XO Securityの使い方は? どう設定すればいい?」
- 「XO Securityを入れたらログインできなくなった……」
WordPressの利用には、情報流出やハッキングされるリスクがあるため、万全なセキュリティ対策で身を守ることが欠かせません。
「XO Security」を使えば、いくつかの設定を済ませるだけでWordPressのセキュリティ対策ができるので、初心者でも難しくありません。
せっかく立ち上げたブログやホームページなどのWordPressサイトを守るためにも、あらかじめしっかり対策しておきましょう。
「XO Security」とは
出典:XO Security
「XO Security」とは、主にWordPressのログイン関連のセキュリティを強化するためのプラグインです。
そのほかに、コメント関連のセキュリティ強化もできます。
「XO Security」の主な機能には、以下のようなものがあります。
- ログインの試行回数制限
- CAPTCHA認証(画像認証)の追加
- ログイン履歴の記録
- ログイン時のアラート通知
- メールアドレスまたはユーザー名でのログイン無効化
- WordPressを遠隔操作する仕組みの無効化
- スパムコメントからの保護
- ユーザー名など外部から確認できる情報の秘匿
セキュリティを強化できるプラグインはほかにも多数ありますが、「XO Security」は簡単に操作できるので初心者におすすめです。
WordPressのセキュリティ強化は必須
WordPressは全世界のWebサイトのうち、約43%で利用されており、圧倒的なシェアを誇っています。
しかし、WordPressは利用者が非常に多いことから、ハッカーに狙われるケースも少なくありません。
サイトを改ざんされたり、サイバー攻撃の踏み台にされたり、情報が漏えいしたりするなど、さまざまなリスクが潜んでいます。
そのため、WordPressにはセキュリティ対策は必須で、とくにログイン関連のセキュリティは重要です。
真っ先に対策を講じるべき部分ですので、「XO Security」を活用してセキュリティを強化していきましょう。
「XO Security」をおすすめできる特長3つ
「XO Security」がなぜおすすめなのか、以下3つの特長について紹介します。
それぞれの特長について簡単に見ていきましょう。
1. 国内で開発されたプラグイン
「XO Security」は、日本人プログラマーの石鷹さんが開発したセキュリティプラグインです。
設定画面などは基本的に日本語表記で、英語が苦手な方でも安心して使えます。
とくにWordPressにも慣れていない初心者の場合、説明自体が英語というだけでも使いにくさを感じるのではないでしょうか。
「XO Security」なら安心して使えますよ!
2. 設定画面がシンプルな構成で分かりやすい
「XO Security」の設定画面は、非常にシンプルな構成で見やすく、初心者でも簡単に操作できます。
設定項目が上部のタブにカテゴライズされており、設定状況も一目瞭然です。
各項目の設定画面もつくりが分かりやすく、「有効/無効」を切り替えるだけのものや、簡易的な入力をするだけのものが多いので操作が簡単です。
WordPress初心者にとって、設定画面が分かりやすいのは大きなメリットでしょう。
3. 「.htaccess」関連の不具合が出ない
「.htaccess」とは、サーバーの動作を設定するためのファイルのことです。
セキュリティを強化するプラグインでは、この「.htaccess」の設定内容に変更を加えるものもあります。
「.htaccess」の変更は、想定していない不具合を起こす可能性があるので、細心の注意を払わなければなりません。
「XO Security」は「.htaccess」を書き換えないので、関連の不具合が生じず、初心者でも安心して利用できます。
「XO Security」をインストールしよう
「XO Security」がどんなプラグインかを理解したら、さっそくインストールしてみましょう。
インストールは、以下の手順で行います。
- WordPressの管理画面で「プラグイン」>「新規追加」をクリック
- 検索窓に「XO Security」と入力して検索
- 「XO Security」の「今すぐインストール」をクリック
- インストール完了後に「有効化」をクリック
以上でインストールは完了です。
WordPressの「インストール済みプラグイン」に、XO Securityが反映されているか確認しましょう。
「XO Security」各メニューのおすすめ設定
続いて、実際に「XO Security」を設定する方法について見ていきましょう。
各メニューごとにおすすめの設定方法を紹介するので、手順にそって進めてください。
一つずつ順に見てみましょう。
「ログイン」関連設定
まずはログイン関連のセキュリティを強化するための設定です。
「XO Security」の設定項目のなかでももっとも重要な内容なので、しっかりと設定していきましょう。
| 設定項目 | 説明 |
|---|---|
| 試行回数制限【重要】 | ログインの試行回数を制限します。 総当たり攻撃の対策として有効です。 自分の失敗も考慮して、「1時間」または「12時間」あたり「5回」程度がおすすめです。 |
| ブロック時の応答遅延 | ログインを「ブロック」したときに応答を遅延させる設定です。 最大値の「120秒」がおすすめです。 |
| 失敗時の応答遅延 | ログインに「失敗」したときに応答を遅延させる設定です。 最大値の「10秒」がおすすめです。 |
| ログインページの変更【重要】 | ログインページのURLを変更します。 ログインページは特定されやすいので、「ON」にして任意のファイル名を入力するのがおすすめです。 |
| ログインIDの種類 | ログインに使うIDの種類を、「ユーザー名のみ」または「メールアドレスのみ」に制限します。 メールアドレスはほかの経路でも特定されやすいので、「ユーザー名のみ」がおすすめです。 |
| ログイン言語制限 | ログインする言語を制限する設定です。 変更のためにPHP編集が必要なこともあり、設定は不要です。 |
| ログインエラーメッセージ | ログインエラーメッセージを簡略化する設定です。 エラーメッセージからユーザー名の存在がうかがい知れるので、「簡略化」にするのがおすすめです。 |
| CAPTCHA【重要】 | CAPTCHA(画像認証)を利用するための設定です。 ロボットによる不正ログイン対策に有効です。 海外からの不正アクセスを考慮して「ひらがな」がおすすめです。 |
| パスワードリセットリンク | 「パスワードをお忘れですか?」のリンクを表示するかどうかの設定です。 任意ですが、「有効」のままでOKです。 |
| サイトへ移動リンク | 「(サイト名)へ移動」のリンクを表示するかどうかの設定です。 任意ですが、「有効」のままでOKです。 |
| ログインアラート | ログイン時に登録メールアドレスに通知するための設定です。 不審なログインに気づけるので「ON」をおすすめします。 |
ログインページのURLを変更したら、忘れてしまわないよう必ずブックマークしておきましょう。
また「CAPTCHA」を設定する場合、キャッシュプラグインの利用によってログインできなくなる可能性があります。
設定後は、よく動作確認をするようにしてください。
ちなみに「試行回数制限」に関しては、レンタルサーバーにも同様の機能が搭載されている場合がありますが、機能が重複しても問題はありません。
当社が提供する『エックスサーバー』でも、「WordPressセキュリティ設定」でログイン試行回数を制限しています。
クサカベ
そのほか、WordPressのスマホアプリを使う場合、頻繁にログインするので、アラート通知はオフにしておく方がよいかもしれません。
「コメント」関連設定
コメント機能のセキュリティを強化する設定です。
コメント機能がオフの場合はコメント関連の設定は必要ありませんが、使用するのであれば、以下の項目を設定しましょう。
| 設定項目 | 説明 |
|---|---|
| CAPTCHA | CAPTCHA(画像認証)を利用するための設定です。 ロボットによるスパムコメント対策に有効。 海外からのスパムを考慮して「ひらがな」がおすすめです。 |
| スパム保護フィルター | 外国語のみのコメントを制限する設定です。 「ON」がおすすめです。 |
| スパムコメント | スパムコメントの取り扱いをどうするかの設定です。 (ブロックする、スパムとして保存する、ゴミ箱へ入れる) 任意ですが、何も利用する想定がないなら「ブロックする」がおすすめです。 |
| ボット保護チェックボックス | 「私はロボットではありません」というチェックを追加する設定です。 セキュリティ上は「ON」がおすすめです。 |
ただし、コメント関連設定は、訪問者の使い勝手も考慮して検討しましょう。
たとえば、「CAPTCHA(画像認証)」と「ボット保護チェックボックス」が二重で表示されると、訪問者は「面倒だ」と感じてしまうかもしれません。
いずれかのみでの運用も視野に入れておくとよいでしょう。
「XML-RPC」関連設定
XML-RPCとは、管理画面にログインせずリモートで遠隔操作するための仕組みのことです。
ブルートフォースアタック(総当たり攻撃)や、DoS攻撃といったサイバー攻撃に悪用されることがあるので、以下のような設定をおすすめします。
| 設定項目 | 説明 |
|---|---|
| XML-RPCの無効化 | XML-RPCを無効化する設定です。 スマホアプリやプラグインなどで利用することもあるため、「OFF」のままでOKです。 |
| XML-RPCピンバックの無効化 | ほかのWordPressサイトにURLが載ったときに通知が来る「ピンバック」機能を無効化する設定です。 使っていないなら「ON」がおすすめです。 |
なお、レンタルサーバー側でXML-RPCに対するセキュリティを強化している場合もありますので、チェックしておきましょう。
先ほど紹介した、「エックスサーバー」の「WordPressセキュリティ設定」でも、XML-RPC APIへのアクセスを制限できますよ!
「REST API」関連設定
REST APIは、XML-RPCと同様、管理画面にログインせずリモートで遠隔操作するための仕組みのことです。
悪用されればサイトの改ざんや情報の不正取得といったリスクがあります。
ただ、プラグインなどでも利用する仕組みなので、制限を加えなくても問題ありません。
| 設定項目 | 説明 |
|---|---|
| REST APIの無効化 | REST APIを無効化する設定です。 プラグインによっては利用しているので「OFF」でOKです。 ただし、心配な場合はユーザー名のみ無効化。 |
| REST API URLの変更 | WordPressのREST APIにアクセスするためのURLを変更する設定です。 「OFF」のままでOKです。 |
REST APIに関して、WordPressの古いバージョンでは重大な脆弱性がありましたが、今は対策がなされています。
もちろん「絶対に大丈夫」ではありませんが、現在ではそれほど心配する必要はありません。
どうしても心配であれば、ユーザー名に関する部分だけ無効化にすることをおすすめします。
「REST APIの無効化」をONにしたうえで、ユーザー名に関する以下の部分にのみチェックを入れた状態にします。
・「/wp/v2/users」
・「/wp/v2/users/(?P<id>[\d]+)」
設定後はサイトの動作確認を忘れずに行いましょう。
「秘匿」関連設定
ここではWordPress上で標準的に利用されている情報類を隠す設定が可能です。
各項目を以下のように設定しましょう。
| 設定項目 | 説明 |
|---|---|
| 投稿者スラッグの編集 | URLに含まれるユーザー名に相当する箇所を変更する設定です。 ユーザー名を秘匿するため「ON」がおすすめです。 ※設定後、プロフィールページに追加される「投稿者スラッグ(Nicename)」に任意の文字列を設定する必要あり |
| 投稿者アーカイブの無効化 | 投稿者アーカイブ(投稿者ごとの投稿をまとめたページ)を無効化する設定です。 複数ユーザーでの運営でない場合や、投稿者アーカイブを使用しない場合は、「ON」がおすすめです。 |
| コメント投稿者クラスの削除 | コメント欄に利用されるHTMLコードから、ユーザー名が特定されることを防ぐための設定です。 「ON」がおすすめです。 |
| oEmbedユーザー名の削除 | oEmbed機能でやり取りされるデータの中に含まれるユーザー名情報を削除する設定です。 「ON」がおすすめです。 |
| RSS/Atomフィードの無効化 | フィードを無効化する設定です。 WordPressの「表示設定」で「フィードの各投稿に含める内容」が「抜粋」になっている場合は、「OFF」でOKです。 |
| バージョン情報の削除 | ソースコード内など、利用しているWordPressのバージョンに関する情報を削除する設定です。 外部から特定できるようにしておく必要性はないので「ON」がおすすめです。 |
oEmbedは、YouTubeやTwitterなどの外部コンテンツを簡単に埋め込める機能のこと。
また、フィードとは、自動的に生成されたWordPressサイトの更新情報やページ一覧などの情報がまとめられたもののことです。
フィードに関する設定や、WordPressのバージョンについては、以下の記事も参照してみてください。
「環境」関連設定
ここでは主にログインログ(履歴)に関する項目を設定できます。
なお、とくに理由がないかぎり初期状態のままで問題ありません。
| 設定項目 | 説明 |
|---|---|
| IPアドレス取得方法 | IPアドレスの取得方法に関する設定です。 変更不要です。 |
| 自動削除 | ログインのログ(履歴)を削除するための設定です。 任意ですが、変更不要です。 |
| デフォルトで表示する結果 | 初期表示するログ内容の設定です。 任意ですが、変更不要です。 |
「XO Security」についてのトラブル対策
「XO Security」を利用するとき、何らかの不具合によってサイトにログインできなくなったり、エラーが表示されたりすることも少なくありません。
ここでは想定されるトラブルを知ったうえで、あらかじめ対策を打っておきましょう。
うまくログインできなくなったのですが……
「XO Security」を利用し、サイトにログインできなくなってしまった場合、一度プラグインを無効化してみましょう。
なお、プラグインを無効化するためには、FTPでサーバーに接続してプラグインのフォルダ名を変更する必要があります。
一般的なFTP用のソフトウェアを使用するか、レンタルサーバーのファイルマネージャを用いて対応することも可能です。
詳しい手順は以下の記事に載っていますので、参照してみてください。
ログインページで404エラーが表示されます
ログインページで404エラーが表示される場合、プラグインで変更したログインページとは異なるURLにアクセスしている可能性が考えられます。
アクセスしているURLに誤りがないかよくご確認ください。
もし正しいURLが分からない場合は、プラグインを無効化する必要があります。
プラグインを無効化する方法は、以下の記事を参考にしてみてください。
ほかの原因で404エラーが表示される場合の対処法も解説しています。
レンタルサーバーのセキュリティ機能も活用しよう
レンタルサーバーによって、本記事で紹介したようなWordPressのセキュリティに関する機能が標準で備わっている場合もあります。
個別に対処するより手間がかからず楽なので、活用していくのがおすすめです。
当社が提供する『エックスサーバー』でも、「WordPressセキュリティ設定」という機能があり、以下のような機能を簡単に使えます。
- 不正アクセスが多い国外からのアクセスを制限する
- ログイン試行回数を制限する
- XML-RPC APIやREST APIへのアクセスを制限する
- 大量のコメントを制限する
そのほか、レンタルサーバー選びについては以下の記事も参考にしてみてください。
まとめ
この記事では、WordPressのセキュリティを強化するプラグイン「XO Security」について詳しく解説しました。
ポイントをまとめると以下のとおりです。
- 「XO Security」は、ログイン関連のセキュリティを強化するプラグインのこと
- 「XO Security」は国内で開発されているので、初心者でも扱いやすい
- 紹介した内容を参考に設定するだけで、簡単にセキュリティを強化できる
- 万が一不具合が起きたら、プラグインを無効化して対処できる
「XO Security」は、WordPressの初心者でも簡単にセキュリティ強化ができて、使いやすく便利なプラグインです。
ログインやコメント関連のセキュリティを強化すれば、ハッキングやスパム被害に遭うリスクを最小限に抑えられます。
今回紹介した内容を参考にセキュリティ強化を確実に行い、ブログやホームページなどのWordPressを運営する不安をなくしましょう。
WordPressを実際に始めたい方へ
WordPressサイト用のレンタルサーバーやテーマはお決まりですか?
もしまだならレンタルサーバー『エックスサーバー』&WordPressテーマ『XWRITE』がおすすめです!
国内シェアNo.1※レンタルサーバー「エックスサーバー」では2024年12月4日(水)17時まで、サーバー利用料金が半額キャッシュバックされる期間限定キャンペーンを開催中です!
今なら実質月額495円~とお得にWordPressブログが始められます!
.comや.netなど大人気ドメインも永久無料と過去最大級にお得です。
【12月4日まで】半額キャッシュバックキャンペーンはこちら!
ぜひこのお得な機会にWordPressをご検討ください!
『XWRITE』は、国内シェアNo.1※のレンタルサーバー「エックスサーバー」を提供する、当社エックスサーバー株式会社が開発したブログ向けのWordPressテーマ。
記事を魅力的に仕上げる装飾や機能が豊富で、初心者でも簡単にブログが書けます!
初心者でも簡単にブログが書ける!WordPressテーマ『XWRITE』
『エックスサーバー』からならお得な限定価格で『XWRITE』が購入可能!
ぜひセットでのご利用をご検討ください!
※ 2024年10月時点、W3Techs調べ。
『エックスサーバー』でWordPressを始める手順は以下の記事でくわしく紹介しています。
