本記事の要点・結論

本記事を読めば、「XWRITEのセキュリティ対策|XO Securityの設定」がわかるようになります。
世界トップのシェアを持つWordPressですが、便利なCMSとして仕様からソースの内容まですべて公開されているため、セキュリティの脆弱性も発見されやすいということなんだそうです。

WordPressは、当ブログのような素人でも、今からブログを始める方でも、使い易い構造になっていてうれしい限りなのですけど、そんな便利なパターン化された管理画面のURLなど、他にもハッキングしやすい条件がそろっているようで、ちょっと怖いですよね!

でもでも、セキュリティ対策はできますのでどうぞご安心を。

今回、「プラグイン」を使って、セキュリティ対策をしていきますが、プラグインは、XWRITE公式さんが推奨している「XOセキュリティ」を使っていきます。ちなみに無料です!

このセキュリティ対策をしておけば、一安心ということなので、WordPress・XWRITEを導入したら、なるべく早めのうちにセキュリティ対策をしておくことがオススメです。

「自分のWordPressが乗っ取られることがある」って聞いたことがある・・・・・・・

私も友人から聞いたわ!
ブログを始めたら、セキュリティ対策をしておかないと……

では、早速「プラグイン」を使って、セキュリティ対策をしていこう!XWRITE公式さんが推奨しているXOセキュリティを使っていくよ!

目次 [ close ]
  1. セキュリティ対策って必要?
    1. 早めがオススメ!セキュリティ対策。
    2. ログインに注意
  2. XWRITE公式からは、XOセキュリティを推奨!
  3. セキュリティー対策ソフトXO Securityの設定方法
    1. XO Securityのインストール
    2. XO Securityの設定
  4. まとめ:XWRITEのセキュリティー対策|XO Securityの設定

セキュリティ対策って必要?

早めがオススメ!セキュリティ対策。

WordPressって、気軽に始めることができて、とても便利なツールなんですが、その便利さ故、落とし穴が潜んでいたりします。

今回取り上げる落とし穴とは、セキュリティです。
実は、WordPressは、セキュリティがとても脆弱らしいのです

便利さ、汎用性の高さの代償って感じでしょうか?

ブログ運営始めたみなさの中には、「まあ、もっと記事書いてからで、いいんじゃないの?」って思われている方も多くいらっしゃると思いますが、正直ブラックハッカーさん達はそんな事全く関係ありません。

そんなこと言ったってやる事いっぱいなんだ・・・・・!
ブログなんて、毎日膨大に生まれているんだから、
狙われるのは運が悪いだけだよ。きっと・・・・・

このブログはセキュリティーがゆるゆるじゃん!
ちょっと狙ってやるか・・・・・・・

ひえ~

気を付けないとホント危ないですよ!!!
いつまでも後回しにしていると、結局対策しないので、
後で、後悔することにもなりかねません。

ログインに注意

特にですね、「ログイン」が弱いそうです!

ログインって「ユーザー名」と「パスワード」だけですよね!

でも、「ユーザー名」ってそもそも「バレバレ」って知ってましたか?

試しに、自分のurlの末尾に「?author=1」と入力してEnterクリックしてみると、あらあら自分のユーザー名まるわかり・・・なんてことも!!

ですので当初、守ってくれているのは、「パスワード」だけなんです。

まあ、パスワード20桁ぐらい入れている方は、大丈夫かもしれせんが、忘れると大変なので、普通は結構短いパスワード名の人も多いことでしょう!

でもですよ・・「総当たり攻撃」なんていうのもあるようですから、気を付けないといけません。

ほんと、こわいわね!

そこでなんですが、早めにセキュリティ対策をしておくことをオススメします。

期間を置いて導入を検討される方も、「パスワード」だけは、ちょっとガード固めが安全ですよ!

関連記事
簡単にできるXWRITEのお問い合わせフォーム設置・設定方法
簡単にできるXWRITEのお問い合わせフォーム設置・設定方法
本記事の要点・結論 本記事を読めば、「簡単にできるXWRITEのお問い合わせフォーム設置・設定方法」がわかるようになります。 …
2024年9月4日 2024年9月19日

XWRITE公式からは、XOセキュリティを推奨!

ということで、セキュリティ対策をしていきます。

XWRITE公式さんからはXOセキュリティを推奨していましたので、XWRITEにXOセキュリティを実装していきましょう。

ちょっと待ってくれ!
推奨とか実装って、またなにか購入しないといけないのか?

大丈夫ですよ、無料の「プラグイン」を利用していきます。

このブログをご覧の方は、初めてのWordPressブログに挑戦する方が多くを占めると思いますので、少しお伝えしておきますが、セキュリティ対策は誰もやってくれないので自分で対策する必要があります。XWRITEが守ってくれるわけではありません。

・・・とは言っても難しいものではありませんので、安心してください!

セキュリティ対策は、「プラグイン」を使って対策していきますが、この「プラグイン」というのは、「テーマ(XWRITE)」との相性の良し悪しがあるので、テーマ運営サイドから推奨されている「プラグイン」を使います。

XWRITE公式さんからはXOセキュリティを推奨していましたので、インストールして設定していきます。

関連記事
XWRITEのフッターの使い方|ナビゲーションメニューとアイコン
本記事の要点・結論 本記事を読めば、「XWRITEのフッターの使い方|メニューとアイコン」がわかるようになります。 ブログを始…
2024年9月9日 2024年9月19日

セキュリティー対策ソフトXO Securityの設定方法

XO Securityのインストール

STEP1
インストールします。
  • 「ダッシュボード」 「プラグイン」 「新規プラグイン追加」
  • 新規プラグイン追加をクリックします。
STEP2
XO Securityをインストールします。
  • 検索でXO Securityを検索
  • XO Securityが見つかりましたら、「今すぐインストール」をクリック。
STEP3
有効化をクリック
  • 有効化をクリックします
STEP4
自動更新を有効化
  • さらに自動更新も有効化しておきます。

ちょっとわかりにくいですが、現在「有効化」になっているので、「無効化」がクリックできるようになっています。

STEP5
XO Securityのインストールは終了です!

プラグインのインストールは、簡単ですね!

XO Securityの設定

ログイン

STEP1
試行回数制限

ログインに失敗した際、指定した時間内で再試行できる回数を設定します。たとえば、「12時間以内に2回」と設定すると、2回間違えると12時間ログインできなくなるため、長時間ログインできなくなるリスクがあります。そこで、当サイトは少し緩めの設定として「1時間に4回」としました。

STEP2
ブロック時の応答遅延

WordPress管理画面へのログインがあり、ブロックした場合の応答の遅延の時間を設定できます。
『60秒』にしました。

STEP3
失敗時の応答遅延

WordPressの管理画面でログインに失敗した際に発生する応答遅延の時間を設定できますが、自分が失敗する可能性も考慮して、少し短めに設定しました。私は『5秒』に設定しました。

STEP4
ログインページの変更

この部分はちょっと分かりにくいのですが、ログインページが弱いWordPressのログインを強化するのにここは重要部分になると思います。

冒頭でも触れましたが、URLの末尾に「?author=1」を付けると、デフォルトでは自分のユーザー名が表示されてしまいます。これでは防御がパスワードに依存してしまいます。この対策として、ログインページのURLを変更し、新しいログインファイル形式でログインするイメージです。

まず、ログインページの青いボタンをオンにし、ログインファイル名を決定します。当ブログは自分が覚えやすい文字と数字の組み合わせを選びました。

設定後には、以下のようなURLが表示されるはずです。

STEP5
ログインIDの種類

WordPress管理画面へのログインに必要なログインIDを決めます。
『ユーザー名のみ』がオススメです。

STEP6
ログインエラーメッセージ

エラーメッセージの表示から、推測されないように『簡略化』をオススメします

STEP7
CAPTCHA

ログイン認証ですが、日本語の方が安全性が高いので『ひらがな』がオススメです。

STEP8
パスワードリセットリンク

そのままで良いです

STEP9
サイトへ移動リンク

そのままで良いです

STEP10
変更を保存します

コメント

STEP1
CAPTCHA

これは、CAPTCHA(画像認証)を利用するための設定です。ロボットによるスパムコメント対策に効果的です。特に海外からのスパムを防ぐためには、「ひらがな」を選択することをおすすめします。

STEP2
スパム保護フィルター

外国語のみのコメントを制限する設定です。「ON」がおすすめです

STEP3
スパムコメント

スパムコメントの取り扱いをどうするかの設定です。任意ですが、何も利用する想定がないなら「ブロックする」がおすすめです。

STEP4
ポット保護チェックボックス

「私はロボットではありません」というチェックを追加する設定です。セキュリティ上は「ON」がおすすめです。

STEP5
変更を保存します

XMR-RPC

STEP1
XML-RPCの無効化

プログラム開発に利用する通信方式(プロトコル)の一種ですが、総当たり攻撃などの攻撃に悪用されることがありますので、「ON」。
ただし、XML-RPCを無効にすると、プラグインと干渉することがあります。

STEP2
XLM-RPCピンバックの無効化

ほかのWordPressサイトにURLが載ったときに通知が来る「ピンバック」機能を無効化する設定です。トラックバックやピンバッグ、リモート操作などしないですよね。『ON」にしておきましょう。

STEP3
変更を保存します。

REST API

STEP1

こちらも通信の一種です。ユーザー名の秘匿に関わります。
REST APIの無効化ボタンを『ON』

/wp/v2/users
/wp/v2/users/(?P<id>[\d]+)
をチェックして変更を保存。

STEP2
変更を保存します

秘匿

STEP1
投稿者スラッグの編集

ユーザー名(ログインID)の漏洩を防ぐため『ON』にします。

STEP2
投稿者アーカイブの無効化

複数人で運用時、特定の人の記事一覧表示。一人の場合は不要。『ON」にします。

STEP3
コメント投稿者クラスの削除

ユーザー名を秘匿するため『ON』にします。

STEP4
oEmbedユーザー名の削除

ユーザー名を秘匿するため『ON』にします。

STEP5
RSS/Atom フィードの無効化

フィードを無効化します。

STEP6
バージョン情報の削除

第三者にバージョン情報を与える必要がない。『ON」にします。

STEP7
readme.htmlの削除

WordPressの概要、インストール方法、動作環境などが書かれたファイル。念の為削除。

STEP8
変更を保存します。
関連記事
XWRITEの装飾について|3種の装飾ボックスはどんな感じ?
本記事の要点・結論 本記事を読めば、「XWRITEの装飾について|3種の装飾ボックスはどんな感じ?」がわかるようになります。 …
2024年9月15日 2024年9月19日

まとめ:XWRITEのセキュリティー対策|XO Securityの設定

XWRITEのセキュリティー対策ができました。
対策してないと、やっぱり心配ですからね!

でもこれで一安心。
実際に被害に遭っている人もいるので、早いうちから対処しておけば安心ですよね!

そして、今回初めてプラグインを導入された方も多いのでしょうか?

でも、ここでちょっと注意事項!

今回プラグインを導入しました。(XO Security)
プラグインは、後から実装できるのでとても便利な機能ですよね!

そんな特性から、考え方によってはブログを便利にしてくれる魔法のアイテムみたいな感じがするかもしれませんが、実は、このプラグインも注意が必要なんです。

プラグインは、WordPressテーマとの相性があり、相性が悪いと逆に悪さをしてしまうそうなんです。

また、常にプラグインの開発が行われていないと、WordPressの進化についていけず、そこからウイルス感染したりすこともあるのだとか・・・・、無数にあるようなプラグインですが、作成されてそのままになっているプラグインがあるらしいのです。

ですので、気に入ったプラグインを導入するというより、テーマ公式が勧めた「プラグイン」や、多数の方が使っている安心できる「プラグイン」にしたほうがよいと思います。

できれば、むやみに入れない方がいいみたいですよ!

まあ何にしても、でもこれでちょっと一安心ですね!

では、また・・・・・・

関連記事
Googleアナリティクスの登録、設定方法|XWRITEとの連携
本記事の要点・結論 本記事を読めば、「Googleアナリティクスの登録、設定方法|XWRITEとの連携」がわかるようになります。 ブ…
2024年8月29日 2024年9月20日