XO Securityの設定方法【＋BBQ Firewall】

こういった悩みにお答えします。

是非、最後までご覧ください。

「XO Security」の設定方法

「XO Security」のインストール

管理画面メニューから、「プラグイン」＞「新規追加」を選択します。

「プラグインの検索…」にプラグイン名を入力します。

XO Security

XO Securityが表示された後、「今すぐインストール」＞「有効化」をクリックします。

管理画面メニューの「設定」に「XO Security」が追加されています。

「XO Security」の設定

下記の6項目について順に解説していきます。

注意：項目ごとに「保存」していかなければ設定が反映されません。

ステータス

 は、設定が「オン」になっていることを表しています。

プラグインを「有効化」した直後はログインログ記録以外の設定は「オフ」になっています。

ログイン

試行回数制限

仮に、設定を1時間で3回までリトライを許可するにした場合、4回失敗すると下記画像の案内が表示されます。

※1時間経過すると制限が解除されます。

この設定をすることでブルートフォースアタック（総当たり攻撃）対策になります。

ブルートフォースアタック（総当たり攻撃）とは、ハッカーがクローラーを使いログインページで手あたり次第にユーザー名またはメールアドレスやパスワードを入力してログインを試みることです。

ブロック時の応答遅延

ログイン制限がかかった時にその旨を表示するまでの秒数になります。

秒数が長いほどその間は操作ができないのでセキュリティ強化になります。

失敗時の応答遅延

ログインに失敗した時にその旨を表示するまでの秒数になります。

秒数が長いほどその間は操作ができないのでセキュリティ強化になります。

ログインページの変更

WordPressのログインページのURL（https://サイトドメイン/wp-login.php）は、ネットで検索すれば誰でも知ることができるため、ブルートフォースアタック（総当たり攻撃）を受けやすいです。

URLを変更することで、あなただけが知っているログインページのURL（https://サイトドメイン/wordpress-login.php）になるのでブルートフォースアタック（総当たり攻撃）を受ける率を下げることができます。

注意：変更したURLを忘れてしまうとログインページにアクセスできなくなってしまうので忘れないようにしておきましょう。

ログインIDの種類

下記画像のようにメールアドレスではログインできなくなります。

ログインエラーメッセージ

CAPTCHA

ロボットは海外製のものが多く、日本語対応のものは少ないので、「英数字」ではなく「ひらがな」にするだけでロボット対策になります。

パスワードリセットリンク

無効にすると「パスワードをお忘れですか？」が消えます。

消してしまうとパスワードを忘れた時に困るので無効にしない方が良いかと。

サイトへ移動リンク

無効にすると「←Typingstockへ移動」が消えます（こちらは好みでOKです）。

ログインアラート

WordPressにログインあった時にメールで通知を受け取れます。

不正ログインに気付けるので被害を免れる（または最小限に留める）確率が上がります。

コメント

予習：スパムとは、希望していないのに送られてくるメールやメッセージのことです。

CAPTCHA

ロボットは海外製のものが多く、日本語対応のものは少ないので、「英数字」ではなく「ひらがな」にするだけでロボット対策になります。

スパム保護フィルター

海外製のロボットによるスパムコメントは基本的に日本語を含んでいないので、日本語文字を含まないを「オン」にすることで、英数字やURLだけのコメントを受け付けなくできるのでセキュリティを高めることができます。

また、上記画像の「スパム」をクリックすると○○からのコメントをスパムとしてマークしました。と表示されます。

スパムとしてマークしているメールアドレスからのコメントを受け付ける必要はないのでスパムとして保存されているコメントのメールアドレスも「オン」にしておきます。

スパムコメント

スパムコメントを受け付ける必要はないので「ブロックする」にしておきます。

ボット保護チェックボックス

下記画像には、以下の3つが表示されています。

XML-RPC

XML-RPCの無効化

XML-RPCとは、遠隔手続き型呼び出しプロトコルの一種で、WordPressなどのサービスを管理画面にログインせずにリモートで操作するための仕組みです。

WordPressのスマホアプリで、この仕組みにより記事を投稿できます。

悪用されると、ブルートフォースアタック（総当たり攻撃）などを受けるリスクが高まりますのでWordPressのスマホアプリを使用しないのであれば「無効化」にします。

XML-RPCピンバックの無効化

悪用されると、DDoS攻撃（サーバーやネットワークの処理能力を超えるリクエストを一度に送りつけることで、処理不能の状態に陥らせ、サービスを停止させる攻撃）などを受けるリスクが高まりますので「無効化」にします。

REST API

/wp/v2/users

/wp/v2/users/(?P<id>[\d]+)

REST APIの無効化が「オフ」だとhttps://ドメイン/wp-json/wp/v2/usersにアクセスすると、下記画像のようにユーザー名が参照できてしまいます。

REST APIの無効化を「オン」にして/wp/v2/usersと/wp/v2/users/(?P<id>[\d]+)にチェックをつけて下記画像のようにユーザー名が公開されないようにします。

REST API URLの変更

秘匿

投稿者スラッグの編集

ログインに必要なユーザー名はhttps://ドメイン/?author=1でバレてしまいます。

管理画面メニューから、「ユーザー」＞「プロフィール」を選択後、プロフィールページへ移動します。

その後、一番下までスクロールすると投稿者スラッグ（Nicename）が追加されていますので、別のユーザー名を入力します。

再度、https://ドメイン/?author=1で検索すると投稿者スラッグ（Nicename）に入力したユーザー名が表示されています。

これでログインに必要なユーザー名がバレることはなくなりました。

投稿者アーカイブの無効化を「オン」にしている場合は404ページが表示されます。

投稿者アーカイブの無効化

https://ドメイン/?author=1で検索すると下記の画面（404ページ）が表示されます。

コメント投稿者クラスの削除

コメントフォームに投稿した時に利用されるHTMLコードからログインに必要なユーザー名が特定されることを防ぎます。

oEmbedユーザー名の削除

oEmbed機能でやり取りされるデータの中に含まれるログインに必要なユーザー名の情報を削除します。

RSS/Atomフィードの無効化

管理画面メニューの「設定」＞「表示設定」にあるフィードの各投稿に含める内容で「抜粋」にチェックを入れている場合は「オフ」でOKです。

バージョン情報の削除

古いバージョンは、セキュリティホールが生まれ、ハッキングされる可能性が高まりますので、バージョン情報の削除を「オン」にして第三者が閲覧できないようにしましょう。

とはいえ、セキュリティの観点からWordPressは常に最新のバージョンに更新しておくことが望ましいです。

環境

IPアドレス取得方法

ログイン情報ウィジェット

自動削除

デフォルトで表示する結果

「BBQ Firewall」の設定方法

BBQ Firewallとは

ファイアウォールによるセキュリティ対策ができるプラグインです。

ファイアウォールとは

ファイアウォールとは、外部ネットワークからの攻撃や不正なアクセスから自分たちのネットワークやコンピュータを守るための「防火壁」です。

「BBQ Firewall」のインストール

※朗報：インストールするだけで完了です。

管理画面メニューから、「プラグイン」＞「新規追加」を選択します。

「プラグインの検索…」にプラグイン名を入力します。

BBQ Firewall

「BBQ Firewall」が表示された後、「今すぐインストール」＞「有効化」をクリックします。

管理画面メニューの「設定」に「BBQ Firewall」が追加されています。

トラブル時の対処法

ログインページのURLを忘れた場合

Xserverのトップページにアクセス

??󥿥륵???С? ??®???ⵡǽ??????????Ρڥ?...

??󥿥륵???С? ??®???ⵡǽ??????????Ρڥ??å????????С??? ??®???Ĺ⤤????????ؤ????ǽ??󥿥륵???С??ڥ??å????????С??۲?ƯΨ99.99??ʾ?ι⤤???????ǡ??ȳ??ȥåץ??饹?ι⥳???ȥѥե????ޥ󥹤?ؤ???ʼ???󥿥륵???С??Ǥ??????990??(?ǹ?)???????Ѳ?ǽ???ޤ???̵?????10?...

トップページから、「ログイン」＞「ファイルマネージャ」を選択します。

ログインページに移動しました。

FTPユーザーIDとFTPパスワードを入力後、「ログインする」をクリックします。

ファイルマネージャにログインしました。

トップページから、「サイトドメイン」＞「public_html」＞「wp-content」＞「plugins」へと移動します。

「plugins」内が表示されました。

「xo-security」＞「名前変更」を選択します。

名前を変更していきます。

これで「xo-security」を無効化することができましたので、誰でもネットで検索できるURL（https://サイトドメイン/wp-login.php）からログインページにアクセスすることができます。

注意：WordPressの管理画面にログインできた後は必ずプラグイン名は元に戻しておきましょう。

下記記事のFTPソフトを使ってプラグイン名を変更することもできます。

あわせて読みたい

【FTPソフト】「FileZilla」の使い方を初心者向けに解説 【FTPソフト】FileZillaの使い方を知りたいですか？本記事では、FTPとは？からFileZillaのダウンロード方法、FileZillaの使い方（アップロード・ダウンロード）、FileZillaを起動してサーバーに接続する度に発生するパスワードを入力する手間の解決方法、ファイルを編集するテキストエディタの設定方法まで解説しています。【FTPソフト】FileZillaの使い方を知りたい方は非是ご覧ください。

今回は以上です。