![](https://hrdyuic.com/wp-content/uploads/8335d558d151e09a696fb916ebabfbd5.png)
「Wordfence Security」より「XO Security」の方が設定が簡単だと聞いたので導入を考えてるんだけど使い方を教えてほしいです。
こういった悩みにお答えします。
本記事で解決できること
- 「XO Security」の設定方法
- 「BBQ Firewall」の設定方法
- トラブル時の対処法
是非、最後までご覧ください。
News
以下にブロックエディタで使えるSWELL専用機能の記事をまとめていますので、良ければご覧ください。
![](https://hrdyuic.com/wp-content/uploads/text-editor-1794110_1920.jpg)
![](https://hrdyuic.com/wp-content/uploads/text-editor-1794110_1920.jpg)
「XO Security」の設定方法
「XO Security」のインストール
管理画面メニューから、「プラグイン」>「新規追加」を選択します。
![](https://hrdyuic.com/wp-content/uploads/1465321dd148548a946b72d87a218e54.jpg)
![](https://hrdyuic.com/wp-content/uploads/1465321dd148548a946b72d87a218e54.jpg)
「プラグインの検索…」にプラグイン名を入力します。
XO Securityが表示された後、「今すぐインストール」>「有効化」をクリックします。
![](https://hrdyuic.com/wp-content/uploads/3eace04befb490244a394a3a8cabe9f0.jpg)
![](https://hrdyuic.com/wp-content/uploads/3eace04befb490244a394a3a8cabe9f0.jpg)
管理画面メニューの「設定」に「XO Security」が追加されています。
![](https://hrdyuic.com/wp-content/uploads/243063914202cb69d5bb620c6c39c361.jpg)
![](https://hrdyuic.com/wp-content/uploads/243063914202cb69d5bb620c6c39c361.jpg)
「XO Security」の設定
下記の6項目について順に解説していきます。
注意:項目ごとに「保存」していかなければ設定が反映されません。
- ログイン
- コメント
- XML-RPC
- REST API
- 秘匿
- 環境
ステータス
は、設定が「オン」になっていることを表しています。
プラグインを「有効化」した直後はログインログ記録以外の設定は「オフ」になっています。
![](https://hrdyuic.com/wp-content/uploads/screencapture-sowrhnhkr-wp-admin-options-general-php-2023-08-05-12_05_07-2.jpg)
![](https://hrdyuic.com/wp-content/uploads/screencapture-sowrhnhkr-wp-admin-options-general-php-2023-08-05-12_05_07-2.jpg)
ログイン
![](https://hrdyuic.com/wp-content/uploads/screencapture-sowrhnhkr-wp-admin-options-general-php-2023-08-05-12_11_33-2.jpg)
![](https://hrdyuic.com/wp-content/uploads/screencapture-sowrhnhkr-wp-admin-options-general-php-2023-08-05-12_11_33-2.jpg)
試行回数制限
- 「1時間の間に」
- 「3〜5」回までリトライを許可する
仮に、設定を1時間で3回までリトライを許可するにした場合、4回失敗すると下記画像の案内が表示されます。
※1時間経過すると制限が解除されます。
![](https://hrdyuic.com/wp-content/uploads/1969a09399b69f83f03eefa3f988b6cc.jpg)
![](https://hrdyuic.com/wp-content/uploads/1969a09399b69f83f03eefa3f988b6cc.jpg)
この設定をすることでブルートフォースアタック(総当たり攻撃)対策になります。
ブルートフォースアタック(総当たり攻撃)とは、ハッカーがクローラーを使いログインページで手あたり次第にユーザー名またはメールアドレスやパスワードを入力してログインを試みることです。
ブロック時の応答遅延
- 120秒
ログイン制限がかかった時にその旨を表示するまでの秒数になります。
秒数が長いほどその間は操作ができないのでセキュリティ強化になります。
失敗時の応答遅延
- 10秒
ログインに失敗した時にその旨を表示するまでの秒数になります。
秒数が長いほどその間は操作ができないのでセキュリティ強化になります。
ログインページの変更
- ログインページの変更:
wp-login.php
→wordpress-login.php
へ変更
WordPressのログインページのURL(https://サイトドメイン/wp-login.php
)は、ネットで検索すれば誰でも知ることができるため、ブルートフォースアタック(総当たり攻撃)を受けやすいです。
![](https://hrdyuic.com/wp-content/uploads/b8b5210ed2e39a140705c338f07a6dbf.jpg)
![](https://hrdyuic.com/wp-content/uploads/b8b5210ed2e39a140705c338f07a6dbf.jpg)
URLを変更することで、あなただけが知っているログインページのURL(https://サイトドメイン/wordpress-login.php
)になるのでブルートフォースアタック(総当たり攻撃)を受ける率を下げることができます。
![](https://hrdyuic.com/wp-content/uploads/91222c8b1bc14bf94d61785a721896b4-1.jpg)
![](https://hrdyuic.com/wp-content/uploads/91222c8b1bc14bf94d61785a721896b4-1.jpg)
注意:変更したURLを忘れてしまうとログインページにアクセスできなくなってしまうので忘れないようにしておきましょう。
ログインIDの種類
- ユーザー名のみ
下記画像のようにメールアドレスではログインできなくなります。
![](https://hrdyuic.com/wp-content/uploads/a8bcdc2d680123fbfc0cc95f965c4df6.jpg)
![](https://hrdyuic.com/wp-content/uploads/a8bcdc2d680123fbfc0cc95f965c4df6.jpg)
ログインエラーメッセージ
- 簡略化
デフォルト
ユーザー名が合っていることが分かってしまう。
![](https://hrdyuic.com/wp-content/uploads/f9f9280b6a53f8bad604a05a5c2d92de.jpg)
![](https://hrdyuic.com/wp-content/uploads/f9f9280b6a53f8bad604a05a5c2d92de.jpg)
簡略化
ユーザー名が合っていることが分からない。
![](https://hrdyuic.com/wp-content/uploads/408aea845a20fd8b0040be226d8bd1a6.jpg)
![](https://hrdyuic.com/wp-content/uploads/408aea845a20fd8b0040be226d8bd1a6.jpg)
CAPTCHA
- ひらがな
ロボットは海外製のものが多く、日本語対応のものは少ないので、「英数字」ではなく「ひらがな」にするだけでロボット対策になります。
パスワードリセットリンク
- 有効
無効にすると「パスワードをお忘れですか?」が消えます。
消してしまうとパスワードを忘れた時に困るので無効にしない方が良いかと。
サイトへ移動リンク
- 有効
無効にすると「←Typingstockへ移動」が消えます(こちらは好みでOKです)。
CAPTCHA
![](https://hrdyuic.com/wp-content/uploads/97627add681ef888b931d00265876378.jpg)
![](https://hrdyuic.com/wp-content/uploads/97627add681ef888b931d00265876378.jpg)
パスワードリセットリンク
![](https://hrdyuic.com/wp-content/uploads/bcfdc390c9b40642ea214feb4c14a6e0.jpg)
![](https://hrdyuic.com/wp-content/uploads/bcfdc390c9b40642ea214feb4c14a6e0.jpg)
サイトへ移動リンク
![](https://hrdyuic.com/wp-content/uploads/98b8e8ba602b770e6484fa21179b900c.jpg)
![](https://hrdyuic.com/wp-content/uploads/98b8e8ba602b770e6484fa21179b900c.jpg)
ログインアラート
- オン
WordPressにログインあった時にメールで通知を受け取れます。
不正ログインに気付けるので被害を免れる(または最小限に留める)確率が上がります。
コメント
![](https://hrdyuic.com/wp-content/uploads/screencapture-sowrhnhkr-wp-admin-options-general-php-2023-08-05-13_58_45-2.jpg)
![](https://hrdyuic.com/wp-content/uploads/screencapture-sowrhnhkr-wp-admin-options-general-php-2023-08-05-13_58_45-2.jpg)
予習:スパムとは、希望していないのに送られてくるメールやメッセージのことです。
CAPTCHA
- ひらがな
ロボットは海外製のものが多く、日本語対応のものは少ないので、「英数字」ではなく「ひらがな」にするだけでロボット対策になります。
スパム保護フィルター
- 日本語文字を含まない:オン
- スパムとして保存されているコメントのメールアドレス:オン
海外製のロボットによるスパムコメントは基本的に日本語を含んでいないので、日本語文字を含まないを「オン」にすることで、英数字やURLだけのコメントを受け付けなくできるのでセキュリティを高めることができます。
![](https://hrdyuic.com/wp-content/uploads/70106d63d3f0cc33d7cc37570d3a9b98.jpg)
![](https://hrdyuic.com/wp-content/uploads/70106d63d3f0cc33d7cc37570d3a9b98.jpg)
また、上記画像の「スパム」をクリックすると○○からのコメントをスパムとしてマークしました。と表示されます。
スパムとしてマークしているメールアドレスからのコメントを受け付ける必要はないのでスパムとして保存されているコメントのメールアドレスも「オン」にしておきます。
スパムコメント
- ブロックする
スパムコメントを受け付ける必要はないので「ブロックする」にしておきます。
ボット保護チェックボックス
- オン
下記画像には、以下の3つが表示されています。
- スパム保護フィルター(日本語文字を含まない):オン
- CAPTCHA:オン
- ボット保護チェックボックス:オン
![](https://hrdyuic.com/wp-content/uploads/screencapture-sowrhnhkr-2023-07-16-hello-world-2023-08-05-16_51_37-1.jpg)
![](https://hrdyuic.com/wp-content/uploads/screencapture-sowrhnhkr-2023-07-16-hello-world-2023-08-05-16_51_37-1.jpg)
XML-RPC
![](https://hrdyuic.com/wp-content/uploads/screencapture-sowrhnhkr-wp-admin-options-general-php-2023-08-05-13_59_09-2.jpg)
![](https://hrdyuic.com/wp-content/uploads/screencapture-sowrhnhkr-wp-admin-options-general-php-2023-08-05-13_59_09-2.jpg)
XML-RPCの無効化
- オン
XML-RPCとは、遠隔手続き型呼び出しプロトコルの一種で、WordPressなどのサービスを管理画面にログインせずにリモートで操作するための仕組みです。
WordPressのスマホアプリで、この仕組みにより記事を投稿できます。
悪用されると、ブルートフォースアタック(総当たり攻撃)などを受けるリスクが高まりますのでWordPressのスマホアプリを使用しないのであれば「無効化」にします。
XML-RPCピンバックの無効化
- オン
悪用されると、DDoS攻撃(サーバーやネットワークの処理能力を超えるリクエストを一度に送りつけることで、処理不能の状態に陥らせ、サービスを停止させる攻撃)などを受けるリスクが高まりますので「無効化」にします。
REST API
![](https://hrdyuic.com/wp-content/uploads/screencapture-sowrhnhkr-wp-admin-options-general-php-2023-08-06-15_52_59-2.jpg)
![](https://hrdyuic.com/wp-content/uploads/screencapture-sowrhnhkr-wp-admin-options-general-php-2023-08-06-15_52_59-2.jpg)
/wp/v2/users
- チェック
/wp/v2/users/(?P<id>[\d]+)
- チェック
REST APIの無効化が「オフ」だとhttps://ドメイン/wp-json/wp/v2/users
にアクセスすると、下記画像のようにユーザー名が参照できてしまいます。
![](https://hrdyuic.com/wp-content/uploads/16f6c50682fd16fe2b8a893ea328e053-1.jpg)
![](https://hrdyuic.com/wp-content/uploads/16f6c50682fd16fe2b8a893ea328e053-1.jpg)
REST APIの無効化を「オン」にして/wp/v2/users
と/wp/v2/users/(?P<id>[\d]+)
にチェックをつけて下記画像のようにユーザー名が公開されないようにします。
![](https://hrdyuic.com/wp-content/uploads/87541a668ffaec43a494d88bed58b048.jpg)
![](https://hrdyuic.com/wp-content/uploads/87541a668ffaec43a494d88bed58b048.jpg)
REST API URLの変更
- オフ(デフォルト)
秘匿
![](https://hrdyuic.com/wp-content/uploads/screencapture-sowrhnhkr-wp-admin-options-general-php-2023-08-05-13_59_47-2.jpg)
![](https://hrdyuic.com/wp-content/uploads/screencapture-sowrhnhkr-wp-admin-options-general-php-2023-08-05-13_59_47-2.jpg)
投稿者スラッグの編集
- オン
ログインに必要なユーザー名はhttps://ドメイン/?author=1
でバレてしまいます。
![](https://hrdyuic.com/wp-content/uploads/4dfe8f6dd797dc14a462b702be814938-1.jpg)
![](https://hrdyuic.com/wp-content/uploads/4dfe8f6dd797dc14a462b702be814938-1.jpg)
管理画面メニューから、「ユーザー」>「プロフィール」を選択後、プロフィールページへ移動します。
その後、一番下までスクロールすると投稿者スラッグ(Nicename)が追加されていますので、別のユーザー名を入力します。
![](https://hrdyuic.com/wp-content/uploads/cc511ad815c67414252c917e5069c1a3.jpg)
![](https://hrdyuic.com/wp-content/uploads/cc511ad815c67414252c917e5069c1a3.jpg)
再度、https://ドメイン/?author=1
で検索すると投稿者スラッグ(Nicename)に入力したユーザー名が表示されています。
これでログインに必要なユーザー名がバレることはなくなりました。
![](https://hrdyuic.com/wp-content/uploads/386d81c25455f9791612fb4703ed5666-1.jpg)
![](https://hrdyuic.com/wp-content/uploads/386d81c25455f9791612fb4703ed5666-1.jpg)
投稿者アーカイブの無効化を「オン」にしている場合は404ページが表示されます。
投稿者アーカイブの無効化
- オン
https://ドメイン/?author=1
で検索すると下記の画面(404ページ)が表示されます。
![](https://hrdyuic.com/wp-content/uploads/31b23640c30b704b83219eebe6fb123c-1.jpg)
![](https://hrdyuic.com/wp-content/uploads/31b23640c30b704b83219eebe6fb123c-1.jpg)
コメント投稿者クラスの削除
- オン
コメントフォームに投稿した時に利用されるHTMLコードからログインに必要なユーザー名が特定されることを防ぎます。
oEmbedユーザー名の削除
- オン
oEmbed機能でやり取りされるデータの中に含まれるログインに必要なユーザー名の情報を削除します。
RSS/Atomフィードの無効化
- オフ(デフォルト)
管理画面メニューの「設定」>「表示設定」にあるフィードの各投稿に含める内容で「抜粋」にチェックを入れている場合は「オフ」でOKです。
![](https://hrdyuic.com/wp-content/uploads/01edc8a21b240958a290c330521d000a.jpg)
![](https://hrdyuic.com/wp-content/uploads/01edc8a21b240958a290c330521d000a.jpg)
バージョン情報の削除
- オン
古いバージョンは、セキュリティホールが生まれ、ハッキングされる可能性が高まりますので、バージョン情報の削除を「オン」にして第三者が閲覧できないようにしましょう。
とはいえ、セキュリティの観点からWordPressは常に最新のバージョンに更新しておくことが望ましいです。
環境
![](https://hrdyuic.com/wp-content/uploads/screencapture-sowrhnhkr-wp-admin-options-general-php-2023-08-05-14_00_07-2.jpg)
![](https://hrdyuic.com/wp-content/uploads/screencapture-sowrhnhkr-wp-admin-options-general-php-2023-08-05-14_00_07-2.jpg)
IPアドレス取得方法
- 自動(デフォルト)
ログイン情報ウィジェット
- 選択肢に「有効」「無効」とありますが好みでOKです。
![](https://hrdyuic.com/wp-content/uploads/22230d289503d462f6121c8106088b7f-1.jpg)
![](https://hrdyuic.com/wp-content/uploads/22230d289503d462f6121c8106088b7f-1.jpg)
自動削除
- 選択肢に「自動削除しない」「30日以内」「365日以内」とありますが好みでOKです。
デフォルトで表示する結果
- 選択肢に「すべての結果」「失敗」「成功」とありますが好みでOKです。
「BBQ Firewall」の設定方法
BBQ Firewallとは
ファイアウォールによるセキュリティ対策ができるプラグインです。
ファイアウォールとは
ファイアウォールとは、外部ネットワークからの攻撃や不正なアクセスから自分たちのネットワークやコンピュータを守るための「防火壁」です。
「BBQ Firewall」のインストール
※朗報:インストールするだけで完了です。
管理画面メニューから、「プラグイン」>「新規追加」を選択します。
![](https://hrdyuic.com/wp-content/uploads/1465321dd148548a946b72d87a218e54.jpg)
![](https://hrdyuic.com/wp-content/uploads/1465321dd148548a946b72d87a218e54.jpg)
「プラグインの検索…」にプラグイン名を入力します。
「BBQ Firewall」が表示された後、「今すぐインストール」>「有効化」をクリックします。
![](https://hrdyuic.com/wp-content/uploads/7db7b950d661216728279d0192cc2b96.jpg)
![](https://hrdyuic.com/wp-content/uploads/7db7b950d661216728279d0192cc2b96.jpg)
管理画面メニューの「設定」に「BBQ Firewall」が追加されています。
![](https://hrdyuic.com/wp-content/uploads/c275c120ed070618f5dfe8d249c9dcbb.jpg)
![](https://hrdyuic.com/wp-content/uploads/c275c120ed070618f5dfe8d249c9dcbb.jpg)
トラブル時の対処法
ログインページのURLを忘れた場合
Xserverのトップページにアクセス
![](https://www.xserver.ne.jp/img/common/ogp.png?date=210415)
![](https://www.xserver.ne.jp/img/common/ogp.png?date=210415)
トップページから、「ログイン」>「ファイルマネージャ」を選択します。
![](https://hrdyuic.com/wp-content/uploads/d905f8691ba2d7763933754b9f79ebd9.jpg)
![](https://hrdyuic.com/wp-content/uploads/d905f8691ba2d7763933754b9f79ebd9.jpg)
ログインページに移動しました。
FTPユーザーIDとFTPパスワードを入力後、「ログインする」をクリックします。
![](https://hrdyuic.com/wp-content/uploads/23dab8eaea4c9eaa419cc471edba50c2.jpg)
![](https://hrdyuic.com/wp-content/uploads/23dab8eaea4c9eaa419cc471edba50c2.jpg)
ファイルマネージャにログインしました。
トップページから、「サイトドメイン」>「public_html」>「wp-content」>「plugins」へと移動します。
![](https://hrdyuic.com/wp-content/uploads/03e00c9ffd792746ee19b7f74044bde9.jpg)
![](https://hrdyuic.com/wp-content/uploads/03e00c9ffd792746ee19b7f74044bde9.jpg)
「plugins」内が表示されました。
「xo-security」>「名前変更」を選択します。
![](https://hrdyuic.com/wp-content/uploads/c3c3c59dfe7b68d85603ebf6c62bd1a9.jpg)
![](https://hrdyuic.com/wp-content/uploads/c3c3c59dfe7b68d85603ebf6c62bd1a9.jpg)
名前を変更していきます。
- 「xo-security」 → 「xosecurity」へと名前を変更しました。
![](https://hrdyuic.com/wp-content/uploads/511612282a165d397a6588ca7aceae71.jpg)
![](https://hrdyuic.com/wp-content/uploads/511612282a165d397a6588ca7aceae71.jpg)
これで「xo-security」を無効化することができましたので、誰でもネットで検索できるURL(https://サイトドメイン/wp-login.php
)からログインページにアクセスすることができます。
注意:WordPressの管理画面にログインできた後は必ずプラグイン名は元に戻しておきましょう。
下記記事のFTPソフトを使ってプラグイン名を変更することもできます。
![](https://hrdyuic.com/wp-content/uploads/257bfc74de1dd656204a20811f380edf.jpg)
![](https://hrdyuic.com/wp-content/uploads/257bfc74de1dd656204a20811f380edf.jpg)
News
以下にブロックエディタで使えるSWELL専用機能の記事をまとめていますので、良ければご覧ください。
![](https://hrdyuic.com/wp-content/uploads/text-editor-1794110_1920.jpg)
![](https://hrdyuic.com/wp-content/uploads/text-editor-1794110_1920.jpg)
今回は以上です。