ブログを開設したら、「セキュリティー」を強化する必要があります。
ブログ初心者私のブログは個人情報を扱っているわけでもないし、そこまで心配しなくていいんじゃないかしら?
みゅんそう思いますよね。
ところが、セキュリティーを強化しないと外部からハッキングされWordPressにログインできなくなるトラブルもあるんです。
ブログ初心者それって、乗っ取られるってことですか!?
みゅんそうなんです。
乗っ取られてブログを書き換えられることもあるんです。
「セキュリティー」が甘いと、ブログを書き換えられるトラブルに巻き込まれる可能性があります。
また、あなたのブログを経由して迷惑メールを大量に送信されてしまう、いわゆる「踏み台」にされてしまう可能性さえあるのです。
ブログを運営していればコメントなどで読者の個人情報を取りあつかっています。
大切な読者の個人情報を守るのもブログ運営者としての責務です。
もちろん、WordPress自体にもセキュリティー対策はされています。
しかし、WordPress自体のセキュリティー対策では、ハッキングを防ぐには不十分なのが現実です。
そこで、被害に合わないように、セキュリティープラグインを入れてセキュリティーの強度を高めましょう。
色々なセキュリティープラグインがありますが、WordPressのテーマの「SWELL」を使っている方には、「XO Security」がおすすめです。
「XO Security」は設定方法などが初心者にもわかりやすく、優れたプラグインです。
今回は「XO Security」で「どのようなセキュリティー対策ができるのか」を解説した上で、「インストールの仕方から各種設定の方法まで」わかりやすく解説します。
- XO Securityを設定するとなにができる
- XO Securityをおすすめする理由
- XO Securityをインストールする方法
- XO Securityを初期設定する方法
- XO Securityの初期設定後にやること
- ログインページURLを忘れてしまった時の対処法
XO Securityを設定するとなにができる
「XO Security」はログインに関するセキュリティーを強化するプラグインで、外部から受ける攻撃からブログを守ります。
「ブログを書き換えられる」「あなたのブログから大量の迷惑メールを送られる」などの「ブログの乗っ取り」やその他のトラブルを避けるには、ブログのセキュリティー強度高くすることが重要です。
しかし、「セキュリティー」と言われてもなにをすればいいのかわからないという方も多いでしょう。
セキュリティー対策をする理由は、以下の3つです。
- 個人情報の保護
- 不正アクセスの防止
- スパムコメントの防止
簡単に言えば「乗っ取られるのを防止する」「悪意ある外部からの攻撃をブロックする」のがセキュリティー対策を剃る理由です。
「XO Security」は、下の画像のようにWordPressのログイン、言い換えれば入り口への外部からの攻撃をブロックするセキュリティープラグインです。
「XO Security」を使えば、WordPressの入り口(ブログの管理者の入り口やコメントの入り口)のセキュリティー強度を上げられます。
入り口のセキュリティーを厳しくすれば、攻撃してくる相手はWordPressの中に侵入できません。
侵入させなければ、「乗っ取り」や「悪意ある外部からの攻撃」を防げますよね。
これが、ログインに関するセキュリティーを強化する「XO Security」がおすすめな理由です。
XO Securityをおすすめする理由
XO Securityがおすすめのプラグインである一番の理由は、SWELL公式ブログでも「テーマSWELLを使っている場合に推奨しているから」です。
選択肢2: XO Security + BBQ Firewall
Wordfence Securityを使えないケースや、シンプルなもので十分な場合にこの組み合わせをよく使っています。
XO Security はログイン系のセキュリティを強化できるプラグインで日本語で設定でき、「SiteGuard WP Plugin」の代わりにもなるので最近よく使っています。
BBQ Firewall はファイアウォール機能を追加できるプラグインで、「軽量で他プラグインと競合しない」のが最大の特徴のようです。
SWELL公式「推奨プラグインと非推奨・不要・注意すべきプラグインについて」
さらに、「XO Security」は、設定がシンプルなことやログイン系を満遍なくカバーしてくれること、日本語での設定ができることから、初めてセキュリティープラグインを入れる方にぜひおすすめしたいプラグインです。
しかも、「BBQ Firewall 」というファイアウォール機能を追加できるプラグインと併用可能です。
そして、「BBQ Firewall 」はインストールして起動すればOKという初心者にも嬉しい設定になっています。
「XO Securiy」は、SWELL公式サイトですすめられているだけでなく初心者にも扱いやすいため、おすすめのセキュリティープラグインなのです。
みゅん初めてセキュリティープラグインを入れるなら、XO SecurityとBBQ Firewallのセットがおすすめです!
XO Securityをインストールしてみよう
それでは「XO Security」をインストールしてみましょう。
XO Securityをインストールする
WordPressの管理画面を開きます。
管理画面のプラグインの中の「新規追加」を選ぶ。
「XO Security」を検索窓に入力して検索する。
「XO Security」が表示されたら「今すぐインストール」をクリックする。
以上で「XO Security」がWordPressに導入されました。
XO Securityを有効化する
「XO Security」を利用するには、WordPressに対して働きかけるよう「有効化」させなければいけません。
「XO Security」のアイコンの「有効化」をクリックする。
これで「XO Security」のインストールと有効化が完了しました。
続いて、「XO Security」の各項目を設定します。
XO Securityの初期設定をしてみよう
「XO Security」を初期設定するには、まず画像のように「WordPress管理画面」の「設定」から「XO Security」に入ります。
すると、以下の画像に示すように設定するタブが6つ表示されます。
それぞれの設定と役割を以下にまとめました。
順番に解説します。
- 1. ログインタブの設定
-
ログインに関する項目の設定をして、ハッカーなどによる不正ログインなどを防止します。
- 2. コメントタブの設定
-
コメント投稿に関する設定をして、スパムコメントなどを防止します。
- 3. XML-RPCタブの設定
-
通信手段の1種の設定をおこない、ロボットからの攻撃を防止します。踏み台にされないための設定です。
- 4. REST APIタブの設定
-
通信手段の1種の設定をおこない、ロボットからの攻撃を防止します。情報漏えいを防ぐための設定です。
- 5. 秘匿タブの設定
-
ユーザー名を隠して、個人情報漏洩を防止します。
- 6. 環境タブの設定
-
ログインログの保存期間などを設定して、不正ログインを監視します。
では、各タブの設定方法を順番に解説します。
ログインタブの設定
ログインタブでは、「ログインに関する項目」の設定をおこない、ハッカーなどによる不正ログインなどを防止します。
このタブを使って設定するのは以下の6種類です。
- 試行回数制限
- ブロック時の応答遅延
- 失敗時の応答遅延
- ログインページの変更
- ログインIDの種類
- ログインエラーメッセージ
順番に解説します。
- 1. 試行回数制限
-
試行回数制限の項目では、ログインできなくなる「失敗回数の上限の設定」と、その状態の「時間設定」をおこないます。
例えば「24時間」の間に「3回」までリトライ可能の設定にした場合、朝10時に3回失敗すると翌朝の10時までログインできません。
朝10時に1回失敗し、昼の12時に1回失敗、夜の10時に1回失敗すると、翌日の夜10時までログインできなくなります。
そのため、あなたがWordPressを使用するタイミングなども考えて設定しましょう。
また、一つのアカウントを複数人で利用している場合は、あなたが2回失敗、メンバーが1回失敗すると累積3回になるので注意しましょう。
- 2. ブロック時の応答遅延
-
ブロック時の応答遅延は、WordPress管理画面へのログインを「ブロック」した時に、メッセージを表示するまでの時間を指定する項目です。
メッセージが表示されるまでの時間が長ければ長いほど、その間は誰も操作できません。
そのため、不正なログインをブロックできてセキュリティー強度が上がります。
- 3. 失敗時の応答遅延
-
失敗時の応答遅延は、WordPress管理画面へのログインに「失敗」した時に、メッセージを表示するまでの時間を指定する項目です。
こちらも時間が長いほど、その間は誰も操作できません。
そのため、不正なログインをブロックできてセキュリティー強度は上がります。
その一方、あまり長くするとあなたが失敗した時に焦ってしまうかもしれません。
あなたの利便性も考えて設定しましょう。
- 4. ログインページの変更
-
WordPressのログインページの初期設定は「ブログのURL/wp-login.php」になっています。
WordPressはユーザーが多いこともあり、このURLは誰もが知ることが可能です。
そのため、初期設定のままにしておくと不正ログインの対象になってしまいます。
そこで、末尾の「wp-login」を変更してセキュリティーの強度を上げましょう。
例えば「BEAR」とすると、「ブログのURL/BEAR.php」になります。
みゅん変更したログインページのURLは必ずブックマークしてくださいね!
- 5. ログインIDの種類
-
ログインIDとしては「メールアドレス」か「ユーザー名」を選択できます。
メールアドレスは流出する可能性があるため、「ユーザー名」にしておくのがおすすめです。
- 6. ログインエラーメッセージ
-
ログインエラーメッセージは「簡略化」を選びましょう。
「デフォルト」のままだと、「ユーザー名」と「パスワード」のそれぞれに対して「間違えている」ことを表示してしまいます。
例えば「パスワード」だけ間違えた場合、「ユーザー名」は合っていて「パスワード」が違うと表示されます。
その場合、ハッキングする相手は「パスワードさえ攻略すればログインでき」、十分なセキュリティー強度とはいえません。
簡略化を設定すれば「ユーザー名またはパスワードを間違えています」と表示されます。
これでは、どちらを間違えているのかが分かりません。
どちらを間違えているかを隠せるため、セキュリティー強度を上げられます。
コメントタブの設定
続いて、「コメントタブの設定」をおこないます。
「コメントタブ」はコメントに関する項目の設定をするタブで、以下の4種類を設定します。
- CAPTCHA
- スパム保護フィルター
- スパムコメント
- ボット保護チェックボックス
順番に解説します。
- 1. CAPTCHA
-
CAPTCHAは、ログインページに不規則な文字列を表示し、同じ文字列を入力しないとログインできなくする機能です。
ロボットによる攻撃などでは、文字列を視認して同じ文字列を入力するのが難しいため、不正ログインを防止できます。
あなたやアカウントを共有している人が日本語で記事を書くのであれば「ひらがな」に設定しましょう。
「ひらがな」は日本語のみの文字ですので、不正ログイン防止効果が高い設定です。
- 2. スパム保護フィルター
-
これはコメントに制限を設ける設定で、ロボットなどによるスパムコメントに有効です。
「日本語文字を含まない」の設定をONにしましょう。
ロボットによるスパムコメントの多くは英語なので「日本語文字を含まない」に当てはまり、ブロックできます。
「スパムとして保存されているコメントのメールアドレス」がわかるようでしたら、こちらもONにするとより防止効果が高まります。
- 3. スパムコメント
-
これはスパムコメントを受けないようにする設定ですので、ONにしましょう。
- 4. ボット保護チェックボックス
-
この機能は「私はロボットではありません」のチェックボックスを追加するものです。
チェックを入れないとログインできなくする機能で、CAPTHAに似ている役割を果たします。
CAPTHAとボット保護チェックボックスの両方を使用すれば、スパム対策がより強固になります。
ただし、両方入力すると少々手間が掛かりますので、あなたの使い勝手がいい方一つにするなど工夫してください。
3. XML-RPCタブの設定
XML-RPCは、ロボットによる攻撃に悪用される可能性がある項目です。
このタブでは、以下の2つを設定できます。
- XML-RPCの無効化
- XML-RPCピンバックの無効化
この2つは必要に応じて有効化しましょう。
なお、この2つを有効化すると、以下のことができなくなります。
- メールやWordからの記事投稿
- ピンバック、トラックバック
- アプリなどからのリモート操作
もし、メールやWordから投稿する機能を使う場合は、2の「XML-RPCピンバックの無効化」だけ有効にしましょう。
「ピンバック(Pingback)」は、自分のブログ内に外部リンク(よそのブログの記事URL)を貼った場合に相手にお知らせが届くシステムです。
このシステムを利用しているサイトは、大量のアクセス要求を送ってサーバーダウンなどを狙うDDoS攻撃の標的にされやすいと注意喚起されています。
せっかく立ち上げたあなたのブログが無用なトラブルに巻き込まれないためにも、2の「XML-RPCピンバックの無効化」は有効にしましょう。
4. REST APIタブの設定
次は、「REST APIタブの設定」をします。
「REST API」は「無効化」しましょう。
ただし、項目を適正に設定する必要があるので詳しい設定は後述します。
この「REST API」は、プログラム開発に利用する通信方式(プロトコル)の一種です。
WordPressは多くのユーザーを持つ分、通信方式などがある程度知られています。
そのため、こういった通信方式を利用してサイト改ざんなどの攻撃がおこなわれる可能性があります。
そこで、「REST APIタブの設定」を適正におこなって無用なトラブルを防止しましょう。
ここでは「ユーザー名の漏洩」を防止する設定をおこないましょう。
- REST APIの無効化
- 「/wp/v2/users」と「/wp/v2/users/(?P[\d]+)」
まずは、1の「REST APIの無効化」を有効にしましょう。
これで、「REST API」が「無効化」されます。
1の「REST APIの無効化」の下を見てみると、沢山チェックボックスがあります。
この中の「/wp/v2/users」と「/wp/v2/users/(?P[\d]+)」にチェックを入れれば「ユーザー名の漏洩」の防止対策になります。
5. 秘匿タブの設定
次に設定する「秘匿タブ」は「ユーザー名」を始めとした重要な「WordPress情報」に関するセキュリティ項目を設定するタブです。
「秘匿タブ」で設定する項目は、以下の5つです。
- 投稿者スラッグの編集
- 投稿者アーカイブの無効化
- コメント投稿者クラスの削除
- oEmbedユーザー名の削除
- バージョン情報の削除
順番に解説します。
- 1. 投稿者スラッグの編集
-
「投稿者スラッグの編集」を有効化します。
この項目は、ユーザー名(ログインID)を隠すための設定です。
みゅん詳細については後ほど解説しますね。
- 2. 投稿者アーカイブの無効化
-
「投稿者アーカイブの無効化」を必要に応じて有効化します。
この設定は、投稿者ごとのアーカイブを作成する機能です。
一人で運用している場合は必要がないので有効化します。
これで投稿者ごとのアーカイブは作れません。
複数人で運用している場合は、各メンバーごとに記事一覧を表示できる便利な機能なので無効化しなくてもOKです。
- 3. コメント投稿者クラスの削除
-
「コメント投稿者クラスの削除」を有効化します。
この設定を有効化すると、「ユーザー名=ログインID」でもコメント投稿者の欄に表示されないので、ログインIDの漏洩を防止できます。
- 4. oEmbedユーザー名の削除
-
「oEmbedユーザー名の削除」を有効化しましょう。
oEmbed機能でやり取りされるデータの中にはユーザー名情報が含まれているため、これを削除する設定を有効化しましょう。
大事なユーザー名の漏洩を防止できます。
- 5. バージョン情報の削除
-
「バージョン情報の削除」を有効化します。
このバージョン情報とはWordPressのバージョン情報です。
これで、WordPressのバージョン情報は表示されません。
バージョン情報を隠すことでハッキングのきっかけを少しでも減らし、不正ログインなどを防止します。
6. 環境タブの設定
最後に、「環境タブの設定」をおこないます。
「環境タブ」は、IPアドレスの取得方法などを設定するタブです。
通常は変更する必要はありません。
ログインログを残しておく必要がないなどの場合には、上の画像中の赤い枠で囲んだ「自動削除」の項目を変更しましょう。
みゅんこれで、XO Securityの設定は終わりです。
お疲れ様でした。
投稿者スラッグの編集について
さきほど、「投稿者スラッグの編集」を有効化しました。
ただし、この項目では「実際に投稿者スラッグを編集する作業」が必要です。
管理画面の「ユーザー」の中の「プロフィール」を編集します。
「プロフィール」の中を見ると、「スラッグ」という項目が追加されています。
この「スラッグ」には、ユーザー名(ログインID)とは違う名前を入力して更新しましょう。
「投稿者スラッグの編集」を有効化したものの、「スラッグ」を空白のままにしてしまうと、ユーザー名(ログインID)が表示されてしまい、セキュリティーを弱めてしまいます。
みゅんログインIDというハッキングのヒントを与えてしまうと、
パスワードがわかれば簡単にログインされてしまいます。
なので、「スラッグ」は必ず変更しましょう!
次に、「XO Security」の初期設定後にやることを解説します。
XO Securityの初期設定後にやること
XO Securityの初期設定が終わったら、次のことを済ませておきましょう。
- ログインログの確認
- WordPressとともにバージョンのアップデート
- 不要なプラグインの削除
- BBQ Firewallのインストールと有効化
順番に解説します。
ログインログの確認
「ログインログ」では、ログインに成功あるいは失敗した日時やIPアドレスなど詳細を確認できます。
ログインログを見れば、不正アクセスなどされていないか、きちんとセキュリティーが働いているかどうかを確認できます。
そのため、ログインログは確認しておきましょう。
WordPressの管理画面の「ユーザー」の中の「ログインログ」からログインの履歴を確認できます。
WordPressとともにバージョンのアップデート
いくらセキュリティープラグインを入れて詳細に設定してもWordPressやXO Secyrutyのバージョンが古くては攻撃の対象になります。
特に古いバージョンのWordPressを使っていると、第三者に脆弱性(セキュリティホール)を知られ、セキュリティの強度が落ちます。
そのため、WordPressとともにXO Securityもバージョンのアップデートを怠らないようにしましょう。
不要なプラグインの削除
XO Securityは広範囲にカバーしてくれるセキュリティープラグインです。
そのため、XO Securityを使用するようになると不要になるプラグインが出てきます。
例えば以下のようなプラグインは機能が重複するため不要です。
- SiteGuard WP Plugin
-
ログインに関するセキュリティ強化プラグインなので不要です。
- Edit Author Slug
-
投稿者スラッグを編集するプラグインなので不要です。
- Akismet
-
スパムコメント対策のプラグインなので不要です。
- Limit Login Attempts
-
ログイン試行回数を制限するプラグインなので不要です。
不要なプラグインは他のプラグインに影響を及ぼす可能性があるため、削除しましょう。
BBQ Firewallのインストールと有効化
「BBQ Firewall」は、ファイアウォールのプラグインです。
ファイアウォールは外部ネットワークからの攻撃および不当なアクセスから守ってくれるもので、XO Securityのログインに関する防御とは異なる側面からブログを守ってくれます。
「BBQ Firewall」は無料のプラグインである上、「インストール」して「有効化」するだけで完了と面倒な設定も不要な初心者には嬉しいプラグインです。
XO Securityを検索した時と同様に、「BBQ Fire Wall」を検索し、「今すぐインストール」して「有効化」すれば完了です。
ブログ初心者セキュリティープラグインも設定して、いざブログの記事を書こうとしたら、ログインできない!
みゅんこんなウソみたいなことが実はよく起こっています。
そこで、次に対処法を解説します。
ログインページURLを忘れてしまった時の対処法
XO Securityを利用するようになってブログにログインできない理由No.1は、ズバリ「ログインページURLを忘れてしまった」です。
そこで、ここでは「ログインページURLを忘れてしまった時の対処法」を解説します。
方法としては、以下の2つがあります。
- ブラウザの履歴を確認する
- ログインURLの変更に使ったXO Securityプラグインを一時的に無効化する
順番に解説します、
ブラウザの履歴を確認する
最も簡単な方法は「ブラウザの履歴を確認する」です。
XO SecurityでログインURLを変更した後、一度でも新しいログインURLにアクセスしていれば履歴が残っているかもしれません。
履歴からログインURLをたどってみましょう。
ログインURLの変更に使ったXO Securityプラグインを一時的に無効化する
今回、XO SecurityをインストールしてログインURLを変更しました。
変更後のログインURLを忘れてしまった場合、一度XO Securityを無効化すれば、ログインURLは変更前の初期設定ログインURLに戻ります。
みゅんWordPressの初期設定ログインURLなら、ログインできますね。
XO Securityの無効化は、「WordPress管理画面からおこなう」「サーバー内のプラグインフォルダーを機能しないようにする」の2つの方法でできます。
WordPressにログインできない状態なので管理画面からの無効化は不可能ですね。
そこで、「サーバー内のプラグインフォルダーを機能しないようにする」方法で一度XO Securityを無効化します。
ブログで使用しているレンタルサーバーの中にXO Securityの「プラグインフォルダー」があるので、このフォルダーの名前を変更すると、XO Securityを一旦無効化できます。
WordPressはサーバー内の「プラグインフォルダー」の「名前」から「プラグイン」の種類を選別して、その機能を使っているためです。
「名前」が変わると、WordPressが使うべきプラグインと見なさないので無効化できます。
XO Securityが無効化されると、ログインURLは変更前のログインURLに戻るため、変更前のログインURL(デフォルトのログインURL)でログインできるのです。
ログインした後、「プラグインフォルダー」の名前をもとに戻せば、再度XO Securityを有効化して利用できます。
この時、わからなくなってしまった「変更後のログインURL」を必ずブックマーク、メモやスクショなどして記録しましょう。
なお、レンタルサーバー内の「プラグインフォルダー」を探す方法としては、「FTPソフト」や「レンタルサーバーのファイルマネージャー」があります。
レンタルサーバー内のXO Securityの「プラグインフォルダー」を探し出し、名前を変更して無効化しましょう。
すると、WordPressのログインURLは初期設定の「ブログのURL/wp-login.php」になりますのでログインできます。
ログイン後、XO Securityの「プラグインフォルダー」の名前をもとに戻せば、再び有効化されます。
みゅんしつこいようですが、「変更後のログインURL]を必ずブックマーク、メモやスクショなどして記録しましょう。
XO Securityを設定して安心なブログ運営をしよう!
今回は、WordPressのテーマ「SWELL」におすすめのセキュリティープラグイン「XO Security」について解説しました。
- XO Securityyを設定するとなにができる
-
ログインに関するセキュリティーを強化して、「乗っ取りの防止」と「悪意ある外部からの攻撃をブロック」できる。
XO Securityyをおすすめする理由-
- SWELL公式ブログでも「テーマSWELLを使っている場合に推奨されている」から
- 設定がシンプルでログイン系を満遍なくカバーしてくれるから
- 日本語での設定ができるから
- 「BBQ Firewall 」というファイアウォール機能を追加できるプラグインと併用可能だから
- XO Securityをインストールする方法
-
- WordPressの管理画面のプラグインで「XO Security」を検索し、インストールする
- XO Securityを有効化する
- XO Securityの初期設定をする方法
-
- ログインタブの設定をする
- コメントタブの設定をする
- XML-RPCタブの設定をする
- REST APIタブの設定をする
- 秘匿タブの設定をする
- 環境タブの設定をする
- XO Securityの初期設定後にやること
-
- ログインログの確認
- WordPressとともにバージョンのアップデート
- 不要なプラグインの削除
- BBQ Firewallのインストールと有効化
- ログインページURLを忘れてしまった時の対処法
-
- ブラウザの履歴を確認する
- ログインURLの変更に使ったXO Securityプラグインを一時的に無効化する
ブログを運営するならセキュリティー対策は必須です。
XO SecurityはSWELL公式がおすすめしている上に、無料で使用できます。
しかも、ログイン系を満遍なくカバーしてくれて設定も日本語でOK!
無料のファイヤーウォールプラグインのBBQ Firewallとの併用もOK!
何もかもが初心者には嬉しいセキュリティープラグインです。
この機会にぜひ、XO Securityをインストールと設定をして、あなたのブログのセキュリティー強度を高めませんか?
XO Securityで、あなたのブログをみんなが安心して遊びに来られるブログにしましょう!
最後までお読みいただき、ありがとうございました。
