はろ-Blog

簡単に出来るブログの始め方

【WordPressプラグイン】XO Securityの導入と設定方法!セキュリティー対策は必要?(ワードプレス&プラグイン)

【WordPressプラグイン】XO Securityの導入と設定方法!セキュリティー対策は必要?(ワードプレス&プラグイン)

WordPressブログを始めるのにセキュリティー対策は必要なの?

どのプラグインを入れればいいの?

はろ-

はろ-

結論から言うと必要です!

世の中には悪意を持った人やロボットを使って攻撃してきます。

SNSのアカウントでは乗っ取られた!という話題も良く聞きますよね。

今回は、日本語対応しているセキュリティー対策を強化できるプラグイン「XO Security」について

メリットや設定方法について図解多めでわかりやすく解説していきます。

この記事でわかること

リンク先は項目に移動します

  1. セキュリティ対策プラグインは必要?
  2. プラグイン「XO Security」とは?
  3. 「XO Security」インストール手順
  4. 「XO Security」設定方法
WPテーマ|ゴールドメディア

無料版のWordPressテーマで出来ないことが可能に

有料テーマの「ゴールドメディア」

ブログを収益化するブロガー

比較サイトやWebメディアで成功したい人

におすすめ!

最新の国産WordPressテーマ

「はろ-Blog」で使っているWordPressのテーマなので

メリットや特徴・使用感など図解多めで詳しく解説しています!
⇩ こちらからどうぞ ⇩

【WordPressテーマ】ゴールドメディアの特徴とデメリット!

実際に使った評価とレビュー!

ゴールドメディア公式サイト
目次Outline

セキュリティ対策プラグインは必要?

WordPressブログ(サイト)は日本では圧倒的なシェアを誇り、世界的な市場シェアは4割を超えるといわれています。

そうなると、世の中には悪意を持った人もいますので、WordPressの弱点や脆弱性を突いて攻撃してきます。

自分を守るためだけでなく、ブログで関わる人たちに迷惑をかけないようにするためにも、ブログ運営で想定されるリスクを少しでも防ぐセキュリティー対策をしていきましょう。

リスク
  • 自分の個人情報漏洩
  • 顧客の個人情報漏洩
  • ブログの改ざん・乗っ取り
  • 自分のブログ経由で第三者を攻撃

   など

「WordPressブログ」必須プラグイン7選

WordPressブログに必須のプラグインについては以下をご覧ください
»【初心者向け】WordPressブログのプラグイン!入れておきたいプラグイン7選

プラグイン「XO Security」とは?

初心者でもセキュリティ対策を簡単な設定のみで強化でるプラグインです。

主に不正ログイン対策やスパム防止に特化していて、不正ログインやスパムなどの脅威からWordPressを守ってくれます。

セキュリティを強化できるプラグインはほかにも多数ありますが、「XO Security」は簡単に操作できるので初心者におすすめです。

「XO Security」のメリット

「XO Security」を使うメリットは以下のとおりです。

メリット

無料で使える

無料で使えるので固定費が掛からないうれしいプラグインです。

日本語かつシンプルな画面で使いやすい

日本人プログラマーが開発しているので日本語対応で設定画面もシンプル。

プラグインのほどんどが海外のものが多いので私たちにはわかりやすいですね。

不正ログイン対策の機能が充実している

WordPress(初期状態)の弱点として

・ログインぺージのURLが誰にでも分かかる
・ユーザー名とパスワードの入力のみでログインで出来る
・ログイン時に使うユーザー名が一部公開される

「XO Security」は、不正ログインに対する対策機能が充実してます

XO Securityの機能の一部
  • ログイン試行を制限
  • ログインページのURLを変更
  • ユーザー名の非公開
  • ログインフォームにCAPTCHAを追加
  • 2要素認証

   など

一つのプラグインで一通りのセキュリティー対策できる

スパムなどへのセキュリティー対策のプラグインとして

  • Akismet(スパム対策)
  • Simple CAPTCHA Alternative with Cloudflare Turnstile(スパム対策)

など、代表的なものがありますが、これらの機能を網羅してさらに強硬なセキュリティー対策ができるのも「XO Security」の特徴です。

上記のプラグインが入っていたらアンインストールしましょう。

スパムとは

受信者の意向を無視して無差別に大量送信される迷惑なメールやメッセージのこと。

金銭詐欺、個人情報抜き取り、マルウェア拡散などを目的とした悪質なものから単なる広告など様々。

メールだけでなくコメント・SNSなど多様な手段で送られてきます

「XO Security」インストール手順

それでは早速『XO Security』のインストールしていきましょう!

「XO Security」インストール手順1

WordPressの管理画面から

プラグイン > プラグインの追加 >プラグインの検索

XO Security

上記をコピペして検索。

「今すぐインストール」をクリックします。

「XO Security」インストール手順2

管理画面のプラグインにインストールされたら

「設定」をクリックして

8つのタブで「XO Security」を設定していきます!

「XO Security」設定方法

早速、「XO Security」を設定していきましょう。

「ステータス」タブで現在の設定状況が確認できます。

デフォルトではログインログの記録のみがチェック(有効化)されていることを確認できます。

「XO Security」設定方法,「ステータス」タブ

ログインタブの設定

ログインタブを選択し設定変更します。

下図はデフォルトの設定画面です。

「XO Security」設定方法,ログインタブの設定1

おすすめの設定を紹介します!

「XO Security」設定方法,ログインタブの設定2
設定項目解説と推奨変更値
試行回数
制限		ログインの試行回数に制限を設ける
【1時間で4回までリトライ可能に設定】
5回失敗するとロックがかかりますが、1時間経てばロックは解除される設定です
ブロック時

応答遅延		ログインに制限がかかったときに、その旨を表示するまでの時間(秒)
おすすめの設定は「120」秒
長いほどその間操作ができなくなるのでセキュリティを強化できます
失敗時の
応答遅延		ログインに失敗したときに、その旨を表示するまでの時間(秒)
【おすすめの設定は「10」秒】
長いほどその間操作ができなくなるのでセキュリティの強化につながります
ログインページ

変更		ログインページを表示するための「ファイル(wp-login.php)の名前」を変更
変更することで、実質的にログインページのURLを変える仕組みです
チェックを入れたあとに任意の名前を付け
変更したファイル名は必ずメモ(コピー)を取っておきましょう
ログイン ID
の種類		WordPressはデフォルトでは、ログインIDに「ユーザー名」と「メールアドレス」の両方を使用できます。
おすすめ設定は「ユーザー名のみ」
ログイン
エラー
メッセージ		ログインに失敗したときのエラーメッセージを簡略化できます
おすすめは「簡略化」
デフォルトではパスワードを間違った場合のエラーメッセージにユーザー名が表示されます
2要素認証スマホアプリを利用した2要素認証(ワンタイムパスワードなど)
おすすめはOFF
ログインに手間がかかって面倒になるからです
CAPTCHAログインフォームに画像認証を設置できます
おすすめは「ひらがな」
攻撃してくるボットなどは一般的に海外製のものが多いから
パスワード
リセット
リンク		ログインページに表示される「パスワードをお忘れですか?」
パスワードの再設定フォームへのリンクを消すための機能
おすすめは有効
消してしまうとパスワードを忘れたときに困ってしまうため
サイトへ
移動リンク		ログインページに表示されている「サイトタイトルへの移動」を消すための機能
おすすめは有効
セキュリティ対策としては効果が薄くどちらでも構わないため
ログイン
アラート		WordPressにログインがあったときに、メールで通知を受け取れる機能
身に覚えのないログインがあったときに気付けます
おすすめは有効
ログインするたびに通知が届きますが念のため

ログインページの変更をしたら

必ずログインページのURLをコピーして

  • 新しいページで開きなおして
  • ブックマーク

することを忘れずに行いましょう!

「XO Security」設定方法,ログインタブの設定3,ログインページの変更

コメントタブの設定

「XO Security」設定方法,コメントタブの設定

コメントタブではWordPressコメントフォームのセキュリティを強化するための設定ができます。

個人のブログではコメント機能はOFFに設定することをおすすめしているので、コメントタブはデフォルトのまま、変更しません

はろ-

はろ-

ブログを開設したばかりの頃はWordPressのコメント機能は必要ないと思います。

ユーザーとのコミュニケーションを取る方法としてはSNSやお問合せメールでもできますからね。

XML-RPCタブの設定

「XO Security」設定方法,XML-RPCタブの設定

XML-RPCとは、WordPressを外部から遠隔操作するための仕組みです。

WordPressはスマホアプリで記事を作成・投稿することも出来ます。

なので、WordPressのスマホアプリの使用や、遠隔操作を目的とした外部システムとの連携などの予定がなければ、両方ともOFFのままで構いません。

おすすめ設定は両方ともチェックを入れて「有効」にしておきましょう!

XML-RPCが悪用されるリスク

ブルートフォース攻撃による不正ログイン、スパムコメントの大量投稿、DDoS攻撃の踏み台利用(ピンバック機能経由)、Webシェル設置によるサイト乗っ取り、SEO改ざんなど多岐にわたり、WordPressの機能を停止させるリスクがあります。

REST APIタブの設定

「XO Security」設定方法,REST APIタブの設定1

Webサービス間でデータをやり取りするためのプログラムでAPI(Application Programming Interface)の一種。アプリケーションのさまざまな機能を外部から利用できるようなる仕組み。

とりあえず下図のように設定しておけば良いです

「XO Security」設定方法,REST APIタブの設定2

「/wp/v2/users」
「/wp/v2/users/(?P<id>[\d]+)」

上記2つはWordPressログイン時のIDであるユーザー名を公開するおそれがあるものです。

秘匿タブの設定

「XO Security」設定方法,秘匿タブの設定1

秘匿タブでは、WordPressの投稿者の情報を非公開にできます。

秘匿タブのおすすめの設定内容は、以下のとおりです。

「XO Security」設定方法,秘匿タブの設定2
設定項目解説と推奨変更値
投稿者スラッグ
の編集		投稿者アーカイブ(投稿者ごとの記事一覧ページ)のURLに表示
【おすすめの設定は「ON」】
ユーザー名を秘匿します
投稿者ベース
の編集		「パーマリンクの設定画面に投稿者ベースの入力欄を表示できる機能
おすすめの設定は「OFF」
次の設定項目の「投稿者アーカイブの無効化」をONにする人は、OFFのままでOK
投稿者アーカイブ
の無効化		前の項目、「投稿者アーカイブのページ」自体を無効化する機能
【おすすめの設定は「ON」】
投稿者アーカイブのページにアクセスすると、「404エラーページ」にリダイレクトされるようになります
コメント投稿者
クラスの削除		WordPressのコメントフォームに投稿したときに、HTMLソースコードのClass名に表示されるおそれがある「ユーザー名」を削除する機能
【おすすめの設定は「ON」】
oEmbed
ユーザー名の
削除		URLを入力するだけで、記事のタイトル・アイキャッチ画像・抜粋などをプレビュー表示するための機能
【おすすめの設定は「ON」】
ユーザー名が表示されてしまうおそれがあるので、ONにして削除するようにしましょう
RSS/Atom
フィードの無効化		RSSフィードとは、ブログが更新されたときに、その通知を読者が受け取れるようにするための仕組み
おすすめの設定は「OFF」
RSSフィード自体が使えなくなってしまうため
バージョン情報
の削除		WordPressのバージョン情報を第三者が閲覧できる仕様なので
【おすすめの設定は「ON」】
あえてWordPressのバージョン情報を公開しておく必要はありません
readme.html
の削除		WordPressの概要・インストール方法・動作環境などが書かれていますので、WordPressのバージョンを推測されるおそれがあります
【おすすめの設定は「ON」】
前項と同じ理由です

上記の設定とあわせてWordPressの設定変更も行いましょう!

  • 管理画面 > ユーザー > プロフィール

「投稿者スラッグ」にログインID(ユーザー名)以外を入力して更新してください!

「XO Security」設定方法,秘匿タブの設定3
注意!

空欄のままだと、ログインID(ユーザー名)が表示されたままになるので注意してください。

「メンテナンス」タブの設定

「XO Security」設定方法,「メンテナンス」タブの設定

メンテナンスモードを利用するかどうかを設定します。ブログをメンテナンスする際に利用するといいでしょう。

メンテナンスモードにすると、サイトがメンテナンス表示になります。

必要な場合のみ利用してください。

「環境」タブの設定

「XO Security」設定方法,「環境」タブの設定

「環境設定」画面は、デフォルトのままでOKです。

「XO Security」変更後の設定

「スタータス」タブで変更した設定状況を確認しましょう!

今回の設定変更による「設定ステータス」は以下のとおりです。

「XO Security」設定方法,「XO Security」変更後の設定

XO Securityのトラブル対処

ログインが出来なくなってしまった

以下の3つのパターンを確認し試してください

①ログイン試行回数制限によりロックがかかった場合は、設定した時間を待てば解除されます


②変更したログインページのURLが分からない場合は、一度ブラウザの履歴を確認してみましょう。URL変更後に一度でもログインページにアクセスしていれば残っています。


③プラグインが干渉してログインできなくなった場合はサーバー側からプライグインを無効化してみましょう。

【手順「Xサーバー」の場合】
1.トップページ > ファイル管理 > ファイルマネージャーを開く

2.サイトドメイン名 > public_html > wp-content > pluginsの順にダブルクリックしていきます。

XO Securityのトラブル対処,Xサーバー」の場合,1.ファイルマネージャーを開く

3.「XO Security」を1回クリックし、「名前の変更」をクリック、ポップアップされた画面で「ファイル名」を変更する。

4.「変更」をクリックすればプラグインが無効化されます。

XO Securityのトラブル対処,Xサーバー」の場合,1.ファイルマネージャーの設定

この手順で「プラグイン」が無効化されます。プラグインに原因があればこれでログインできるようになります。

なお、ファイルマネージャでファイルの名前を元に戻せば、プラグインを再び管理画面から有効化できます。

プラグインを使い続ける場合は、ファイルの名前を元に戻しておきましょう。

404エラーが表示される

以下の2つのパターンを確認し試してください

①ブックマークからログインする

②ブラウザの履歴を確認してみましょう。URL変更後に一度でもログインページにアクセスしていれば残っています。

最後に!XO Securityの導入と設定方法!

インターネット上には悪意を持った人たちもいます。

最低限のセキュリティー対策は必要です。そうは言っても過剰にやり過ぎると、使い勝手が悪くなったり、ブログが重くなったりします。

今回、解説した「XO Security」を入れておけば取り合えず安心できますよ!

このページの最後にブログ運営でよくある質問や疑問について、Q&A形式でまとめましたのでそちらも参考にしてください!

はろ-

はろ-

それでは一緒に頑張っていきましょう!!

WordPressブログに入れておきたいプラグインについては以下の記事をご覧ください
⇩⇩⇩

関連記事
image
【初心者向け】WordPressブログのプラグイン!入れておきたいおすすめ7選(ワードプレス&プラグイン)プラグインはWordPressブログを専門知識なしでサイトを多機能・高機能化できる便利な拡張機能です。……

【Q&A】ブログ運営よくある質問・疑問

はろ-

はろ-

ブログ運営でよくある質問や疑問についてQ&A形式にてまとめました。
詳しく解説した記事も合わせて紹介していますので、ぜひ参考にしてください!

レンタルサーバーとは?おすすめレンタールサーバーはどこ?

WordPressでブログを運営するときに必要になるのがデータを保存するサーバーです。

以下の記事では、安心・信頼できるレンタルサーバーから4つを厳選して紹介していますので、あなたにタイプに合ったサーバーを選らんでもらえば間違いないサーバーです。

もし迷ったら老舗かつトップシェアのレンタルサーバー「エックスサーバー」を選べば初心者でも安心です。

» 【初心者向け】WordPress版レンタルサーバーの選び方!ブログ用サーバーおすすめ4社を比較

有料のWordPressテーマは必要?おすすめのテーマは?

無料版のWordPressテーマでもブログ運営は十分できます。

しかし、ブログ運営に慣れると無料版のデザインや機能に物足りなさを感じることがあります。「こうしたい」「あんな風にできないかな」と思うことが出来るようになるのも有料テーマのいいところです。
迷っているならブログを立ち上げた初期の頃にぜひ入れるべきです。

以下の記事は「はろ-Blog」で使っている有料テーマ「ゴールドメディア」について、そのメリット・デメリットを詳しく解説していますので参考にしてください。
» 【WordPressテーマ】ゴールドメディアの特徴とデメリット!実際に使った評価とレビュー!

ASPとはなに?おすすめのASPはどこ?

ASPとは広告主とブロガー(アフィリエイター)を繋ぐ仲介業者です。

Webサイトやブログなどで商品・サービスを紹介し、商品購入や会員登録などの成果が発生すると報酬(広告収入)を得ることが出来ます。

おすすめASPを以下の記事紹介していますのでご参照ください。

» 【完全無料】初心者におすすめのASP(アフィリエイト)の選び方!ASPの登録方法

初心者がブログを始めるにはどうすればいい?ブログ開設の手順は?

ブログを開設するにはいくつかの手順を踏む必要があります。

インターネット上にあなたのお店(家)を持ち情報を発信することをイメージするとわかりやすいと思います。そのためには、まず土地(サーバー)を借りることから始めます。

レンタルサーバー側が初心者でも最短10分でブログを開設できる「クイックスタート」を用意しているので簡単です。

以下の記事でその方法を詳しく解説していますので参考にしてください。

» 【図解でわかる】超簡単 WordPress ブログの始め方!初心者がブログを開設する手順

ブログで稼ぐにはどうすればいい?収益化する方法は?

ブロガーは自分のブログ(WEBサイト)で、企業の案件や商品を紹介(プロモーション)して、その商品を一般ユーザーが購入(申込み)をすることで、ブロガーは報酬を受け取り収益を得ます。

初心者にわかりやすく図解多めで解説した下記記事を参考にしてください。

»【図解でわかる】初心者向け ブログの始め方~稼ぎ方!収益化(アフィリエイト)の手順

ブログ記事の書き方はどうすればいい?

ブログに興味がある人や立ち上げたばかりの人は、誰もが自分に書けるか不安を抱きます。

ブログ記事の一般的な構成や記事を公開する手順さえ理解できれば、初心者でも簡単に書くことが出来ます。

以下の記事で詳しくブログ記事の書き方を解説していますので参考にしてください。
» 【初心者向け】ブログ記事 6つの構成!書いた記事を公開する手順

ブログのサイト設計とコンセプト設定はどうすればいい?

ブログ運営においてサイト設計は「ブログの骨組み」を作る作業です。ここがしっかりしていると、記事が書きやすくなって読者にも読みやすくなります。また、ブログ全体の「方向性」を決めることがコンセプト設定です。

下記記事では詳しく解説していますので参考にしてください。

»【初心者向け】ブログ運営方法!サイト設計とコンセプト設定

問合せフォームの設定は必要?

ブログで稼ぐ!収益化する!という人は必須です。

以下の記事では、その理由と初心者が簡単に作る2つの方法について解説していきますので参考にして下さい。

» 【図解でわかる】WordPressブログ 問合せフォームの作り方

WordPressブログに入れるべき「プラグイン」おすすめは?

プラグインはWordPressブログを専門知識なしでサイトを多機能・高機能化できる便利な拡張機能です。
以下の記事で数多くあるプラグインの中から、ブログを開設したら最低限入れておきたいおすすめ7選をご紹介します。

» 【初心者向け】WordPressブログのプラグイン!入れておきたいおすすめ7選

【ブログで稼ぐ!おすすめASP】

» 【完全無料】初心者におすすめのASP(アフィリエイト)の選び方!ASPの登録方法

おすすめASP

【ASP】

  • A8.net(エーハチネット) ・・・日本最大手、満足度NO1
  • もしもアフィリエイト ・・・物販サービス全般
  • afb(アフィb)  ・・・コスメ、ヘルスケア系に強み
  • アクセストレード   ・・・求人・転職、ゲーム、金融系に強み

【物販系アフィリエイト】

この記事を書いた人Wrote this article

つきがさはろ

つきがさはろ

【未経験・スキル無】サラリーマンから転身 ⇒ 自由なブログ生活|最短で成果を出せる「ブログ×SNS運営方法」の紹介サイト運営|画像多めでわかりやすく丁寧にやり方を紹介|初心者のために実践的なノウハウを提供

関連記事Related articles

TOP