【2024年6月27日更新】『XO Security』に「2要素認証」などの機能が追加されたので、記事の内容を更新しました。
この記事のレベル
| 初心者 | (3.0) |
| 重要度 | (3.5) |
| 難しさ | (2.5) |
こんにちは、編集長のカワウソです!
「XO Securityの使い方が分からない……」と悩んでいませんか?
『XO Security』は、WordPressで作ったホームページのセキュリティを簡単に強化できるプラグイン(拡張機能)です。
この記事では、WordPressでホームページを作る創業期の企業の方向けに、『XO Security』のメリットや設定方法を分かりやすく解説します。
カワウソ
この記事は次のような人におすすめ!
- XO Securityを選ぶ理由を知りたい人
- XO Securityの使い方を知りたい人
- 自社に合うセキュリティ対策プラグインを探している人
この記事を読めば、企業のホームページ運営における『XO Security』の基本的な設定内容が分かります。
また、記事の後半では、トラブルシューティングも紹介しているので、ぜひチェックしてみてください。
それではどうぞ!
XO Securityとは
▲出典:WordPress.org「XO Security」
『XO Security』は、WordPressのセキュリティを簡単な設定のみで強化できるプラグインです。
WordPressは利用者が多いため、悪意のある第三者から狙われやすく、ホームぺージの改ざんや情報漏洩などのリスクに備えて、セキュリティ対策を施す必要があります。
『XO Security』にはさまざまな機能があり、不正ログインやスパムなどの脅威からWordPressを守ることが可能です。
XO Securityのメリット
セキュリティ対策プラグインには、さまざまな種類があります。
そのなかでも、『XO Security』を使うメリットは以下のとおりです。
無料で使える
『XO Security』は、無料で使えます。
ホームぺージないしはWordPressのセキュリティは、費用をかければかけるほど、強化できるのは事実です。
しかし、創業期の企業であれば、セキュリティばかりに費用をかけていられないですよね。
無料でも、『XO Security』にはWordPressを守るために有効な機能が備わっています。
「ひとまず無料から始めたい」という企業には、うってつけのプラグインと言えるでしょう。
日本語かつシンプルな画面で使いやすい
『XO Security』は、日本語に対応しており、設定画面もシンプルです。
そのため、初めてWordPressを使う方でも扱いやすいでしょう。
WordPressのプラグインは種類が豊富です。
なかには、『XO Security』よりもインストール数の実績が多いセキュリティ対策プラグインもあります。
しかし、英語のみで日本語に対応していないものも少なくありません。
いくら評価が高くても、使いづらいと不安を覚えてしまいますよね。
なお、『XO Security』の開発者は石鷹(ishitaka)さん。
『XO Security』以外にも、複数のWordPressプラグインを開発している方です。
気になる方は、以下のホームページからチェックしてみてください。
(参考:Xakuro)
不正ログイン対策の機能が充実している
『XO Security』は、WordPress管理画面への不正ログインに対する対策機能が充実しています。
| 機能 | 説明 |
| ログイン試行の制限 | ログイン試行回数を制限することにより、人間はもちろん、「総当たり攻撃(パスワードなど考えられるパターンを手あたり次第に試す攻撃)」などのロボットによる不正ログインを防ぎます。 |
| ログインページの URLを変更 |
ファイル名「wp-login.php」を変更することにより、人間やロボットがそもそもログインぺージに到達できないようにする対策です。 |
| 2要素認証 | 「ユーザー名とパスワード」だけでなく、「ワンタイムパスワード(管理者向けに発行される1回限りのパスワード)」の入力も必要にすることで、不正ログインから守ります。 |
| ログインフォームに CAPTCHAを追加 |
画像のテストにより、人間とロボットを振り分ける仕組みです。たとえば、画像に表示された文字を入力しないとログインできないようにすることで、ロボットによる不正ログインを防ぎます。 |
| ユーザー名の非公開 | REST APIや投稿者アーカイブなどから、ユーザー名(ログインID)が取得されるのを防ぎます。 |
そもそも、WordPressはデフォルト(初期状態)だと、不正ログインに対して以下の弱点がありますよ。
- ユーザー名とパスワードの入力のみでログインできてしまう
- ログインぺージのURLが誰にでも分かってしまう
- ログイン時に使うユーザー名が公開されてしまう
それぞれ簡潔に解説します。
ユーザー名とパスワードの入力のみでログインできてしまう
まず、WordPressはデフォルトだと、「ユーザー名(メールアドレス)」と「パスワード」の入力のみでログインできてしまいます。
つまり、「総当たり攻撃(パスワードなど考えられるパターンを手あたり次第に試す攻撃)」などのロボットによる不正ログインに弱いのです。
『XO Security』なら、ログインの試行回数を制限したり、CAPTCHA(画像)認証を追加したりすることで、セキュリティを強化できます。
ログインぺージのURLが誰にでも分かってしまう
また、ログインページのURLが決まっていることも、弱点の一つです。
WordPressのログインページのURLは、以下のようなルールがあり、知っている人であれば簡単にアクセスできてしまいます。
WordPressをルートディレクトリにインストールしている場合
https://ドメイン名/wp-login.php
例:https://example.com/wp-login.php
WordPressを特定のサブディレクトリにインストールしている場合
https://ドメイン名/サブディレクトリ名/wp-login.php
例:https://example.com/wp/wp-login.php
『XO Security』を使えば、このログインページのURLを変更することが可能です。
WordPressのログインページは、「wp-login.php」というファイルによって表示されます。このファイル名を変更することにより、実質的にログインページのURLを変える仕組みです。
ログイン時に使うユーザー名が公開されてしまう
WordPressはデフォルトだと、ログイン時に使うユーザー名が公開されてしまいます。
『XO Security』なら、いくつかの場所で表示されるユーザー名を非表示にすることが可能です。
詳しくは、のちほど解説しますね。
なお、ホームページのセキュリティについては、以下の記事で詳しく解説しているので、ぜひあわせてご覧ください。
XO Securityのインストール方法
それではまず、『XO Security』のインストール方法を解説します。
WordPressのメインナビゲーションからプラグイン >新規プラグインを追加をクリックします。そのあと、右上の「プラグインの検索」ボックスから、『XO Security』を検索してください。
『XO Security』の今すぐインストールをクリックします。
『XO Security』の有効化をクリックすれば完了です。
XO Securityの設定方法
それでは、『XO Security』を設定していきましょう。
WordPressメインナビゲーションから、プラグイン > インストール済みプラグインにアクセスして、『XO Security』の設定をクリックしてください。
すると、以下の画面が表示されます。
上記のように、デフォルトでは「ログインログ記録」のみチェック(有効化)されている状態です。
この記事では上部にあるタブごとに、おすすめの設定を解説しますね。
ご紹介する設定内容は、あくまでも一例です。
企業のステージやホームページの目的などによって判断は変わるため、あくまでも参考程度にしてください。
ログインタブ
ログインタブでは、WordPressログインページのセキュリティを強化するための設定ができます。
ログインタブのおすすめの設定は、以下のとおりです。
それぞれの項目について、詳しく解説します。
設定を終えたら、タブを切り替える前に、画面下部にある「変更を保存」をクリックしましょう。変更を保存しないままタブを切り替えてしまうと、編集内容が反映されません。
試行回数制限
ログインの試行回数に制限を設けられます。
おすすめの設定は、「1時間の間に」「3」回までリトライを許可することです。
たとえばこの設定の場合、1時間以内に4回ログインに失敗すると、ロック(制限)がかかります。
これだけでも、短時間のうちに大量の攻撃を仕掛けるロボットには有効です。
1時間経てばロックは解除されるので、運用しやすいでしょう。
カワウソ
セキュリティを強化し過ぎると利便性が悪くなるため、初めはこの程度がおすすめです。
WordPressの使用に慣れてきたら「24時間の間に」「3」回にするなど、状況に応じて条件を厳しくしましょう。
弊社『エックスサーバー』では、WordPressのセキュリティ対策機能として、「ログイン試行回数設定」があり、デフォルトで有効化されています。
同機能だけでも総当たり攻撃には一定の効果がありますが、時間ごとの試行回数など細かく設定したい場合は、『XO Security』で設定してください。
なお、『エックスサーバー』の「ログイン試行回数設定」と『XO Security』の「試行回数制限」は併用しても問題ありません。
ブロック時の応答遅延
ログインに制限がかかったときに、その旨を表示するまでの時間(秒)を調整できます。
おすすめの設定は、「120」秒です。
長ければ長いほど、その間操作ができなくなるので、セキュリティを強化できます。
失敗時の応答遅延
ログインに失敗したときに、その旨を表示するまでの時間(秒)を調整できます。
おすすめの設定は、「10」秒です。
長ければ長いほど、その間操作ができなくなるので、セキュリティの強化につながります。
ログインページの変更
ログインページを表示するための「ファイル(wp-login.php)の名前」を変更できます。
ファイル名を変更することで、実質的にログインページのURLを変える仕組みです。
設定が推奨される項目のため、チェックを入れたあとに任意の名前を付けてください。
変更後のURLは、以下のとおりです。
WordPressをルートディレクトリにインストールしている場合
https://ドメイン名/●●●.php
例:https://example.com/●●●.php
WordPressを特定のサブディレクトリにインストールしている場合
https://ドメイン名/サブディレクトリ名●●●.php
例:https://example.com/wp/●●●.php
変更した内容(ファイル名)を忘れるとログインできなくなるので、必ずメモを取っておきましょう。
ログイン ID の種類
WordPressはデフォルトでは、ログインIDに「ユーザー名」と「メールアドレス」の両方を使用できます。
メールアドレスはWordPress以外の用途で使う可能性があるため、基本的には「ユーザー名のみ」をおすすめします。
ただし、以下の状態だとあまり効果がありません。
- WordPressがデフォルトのままで、ユーザー名の漏洩対策ができていない
- よく利用されるユーザー名(例:admin)を使っている
- SNSなど他のサービスと同じユーザー名を使っている
ユーザー名を非公開にする方法は、あとの「REST APIタブ」と「秘匿タブ」で解説します。
カワウソ
ここでの設定の本質としては、どちらか一方にすること自体に意味があります。
メールアドレスでログインしていた方は、あらかじめユーザー名を控えておきましょう。
ユーザー名が分からないと、ログインできません。
ログインエラーメッセージ
ログインに失敗したときのエラーメッセージを簡略化できます。
「簡略化」に設定しましょう。
デフォルトだと、パスワードを間違った場合のエラーメッセージに、ユーザー名が表示されてしまいます。
▼パスワードが間違っているとき▼
また、ユーザー名を間違えた場合は別のメッセージが出るので、これにより「パスワードは間違っているがユーザー名は合っている」ことがバレてしまうのです。
▼ユーザー名が間違っているとき▼
エラーメッセージを「簡略化」すれば、以下のようにユーザー名が表示されなくなります。
2要素認証
スマホアプリを利用した2要素認証を、WordPressの権限グループ(管理者、編集者、投稿者、寄稿者、購読者)単位で設定できる機能です。
ログインに対して、異なる要素を組み合わせて行う認証のこと。たとえば、「IDとパスワード」だけでなく、「ワンタイムパスワード(管理者向けに発行される1回限りのパスワード)」の入力も必要になるよう設定すれば、セキュリティの向上が見込めます。
有効化すると、通常の「ログイン」ボタンを押したあとに、さらに以下の画面が出るようになります。
ここに、「Google Authenticator」などのスマホアプリに表示されたワンタイムパスワードを入力することで、ようやくログインできるようになる仕組みです。
セキュリティ向上のため導入が望ましいものの、ログインに手間がかかる事実は否めません。
セキュリティ対策と利便性のバランスを考慮したうえで、導入の可否を決定してください。
負担に感じる場合は、2要素認証を有効化するWordPressの権限グループ(管理者、編集者、投稿者、寄稿者、購読者)を限定する方法もあります。
なお、WordPressの権限グループについて詳しくは、以下のページをご覧ください。
(参考:WordPress.org「ユーザーの種類と権限」)
2要素認証を設定するための大まかな手順は、以下のとおりです。
- スマホにGoogle公式アプリ『Google Authenticator』をインストールしておく
- 『XO Security』の「ログイン」タブのなかにある「2要素認証」を有効化して「変更を保存」
- WordPressの「ユーザー一覧 > ユーザーのプロフィール」の画面に表示されたQRコードを、『Google Authenticator』で起動したカメラで読み込む
- 『Google Authenticator』に表示されたワンタイムパスワードを、ユーザーのプロフィール画面の「認証コード」の欄に入力したのち、「プロフィールを更新」して設定完了
CAPTCHA
CAPTCHA(画像)認証を有効化できます。
「ひらがな」に設定しましょう。
ロボットは一般的に海外製のものが多く、どちらかと言うと「英数字」よりも「ひらがな」のほうが突破されにくいです。
設定すると、ログインページが以下のようになります。
パスワードリセットリンク
ログインページに表示される「パスワードをお忘れですか?(パスワードの再設定フォームへのリンク)」を消すための機能です。
リンクを消すことで、パスワードの再設定フォームが悪用されるのを防げます。
消してしまうと、パスワードを紛失したときに困ってしまうので、「有効」にしておくことをおすすめします。
カワウソ
セキュリティを強化し過ぎると利便性が悪くなるため、バランス感覚を持つことが重要です。
サイトへ移動リンク
ログインページに表示されている「サイトタイトルへの移動(トップページへのリンク)」を消すための機能です。
「有効」と「無効」どちらでも構いません。
「有効」にしておけば、このリンクからトップページにアクセス可能です。
「無効」にすれば、このリンクからはトップページにアクセスできなくなりますが、ログインページのURLからドメインは分かります。
一般的にトップページはルートディレクトリに設定するため、ドメインが分かればアクセスできますよね。
つまり、セキュリティ強化としては効果が薄いので、利便性を考えると「有効化」でも構わないでしょう。
ログインアラート
WordPressにログインがあったときに、メールで通知を受け取れる機能です。
身に覚えのないログインがあったときに、気付けるようになります。
WordPressをログインした状態(ブラウザによる自動ログイン)で使う方は、チェックを入れて有効化しておきましょう。
WordPressから頻繁にログアウトする方は、ログインするたびに通知が届くので注意が必要です。
なお、ログインログは、WordPressメインナビゲーションの「ユーザー > ログインログ」でも確認できます。
日時、IPアドレス、ユーザー名などが記録されていますよ。
しかし、他人が自分のアカウントでログインしたのち、パスワードを変えられてしまった場合は、そもそもWordPressにログインできなくなってしまいますよね。
この機能を有効化しておけば、仮にWordPressにログインできなくても、メールからログを確認することが可能です。
このログインアラート機能は、管理者権限を持つユーザーであっても、自分以外のユーザーがログインしたときのメールを受け取れるわけではありません。
ログインしたユーザーに対して、あらかじめ登録してあるメールアドレスにその旨が通知されるのみです。
「管理者のみ」にチェックを入れると、管理者権限を持つユーザーがログインしたときのみ、メールが送信されます。テーマの編集やユーザーの追加などの重要な操作ができるのは、管理者権限のみです。編集者権限以下のユーザーに対するログイン通知が不要の場合は、チェックを入れてもよいでしょう。
コメントタブ
コメントタブでは、WordPressコメントフォームのセキュリティを強化するための設定ができます。
ただ、企業ホームぺージであれば、そもそもWordPressのコメント機能自体をOFFにしておくのがおすすめ。
コメント機能には、以下のようなリスクがあるためです。
- 誹謗中傷が書き込まれる
- 宣伝目的のスパムコメントが書き込まれる
詳しくは、以下の記事で解説しています。
ここでは、コメント機能を使う場合のおすすめの設定を紹介しますね。
弊社『エックスサーバー』では、WordPressのセキュリティ対策機能として、「コメント・トラックバック制限設定」があります。その中の機能「大量コメント・トラックバック制限」については、デフォルトで有効化されています。
同機能だけでもスパム対策としては一定の効果がありますが、コメントフォームのセキュリティを強化したい場合は、『XO Security』でCAPTCHA認証などを設定してください。
なお、『エックスサーバー』の「コメント・トラックバック制限設定」と『XO Security』の「コメント関連の機能」は併用しても問題ありません。
CAPTCHA
コメントフォームにCAPCHA(画像)認証を追加できます。
前述のとおり、ロボットは海外製が多いため、比較的突破されにくい「ひらがな」を選びましょう。
スパム保護フィルター
スパム保護フィルターでは、以下2つの項目があります。
- 日本語文字を含まない
- スパムとして保存されているコメントのメールアドレス
日本語文字を含まない
日本語の文字を含まないコメントを受け付けないようにできます。
海外のロボットによるスパムコメントは、基本的に日本語を含んでいません。
そのため、「外国語のみのコメント」や「URLのみコメント」を受け付けないようにすることで、セキュリティリスクを減らせます。
ただし、チェックを入れると(有効化すると)、海外ユーザーからのコメントも受け付けられなくなるおそれがあるでしょう。
そのため、自社のターゲットや、コメントフォームの活用目的と照らし合わせて判断してください。
スパムとして保存されているコメントのメールアドレス
WordPressのメインナビゲーション「コメント」では、ユーザーから受け付けたコメントが一覧で表示されています。
スパムらしきコメントがあった場合は、ここから登録することが可能です。
スパムと判定したメールアドレスからコメントを受け付ける必要はないので、チェックを入れて有効化しておきましょう。
スパムと判定したコメントの取り扱いを、以下の3つから選べます。
- ブロックする
- スパムとして保存する
- ゴミ箱へ入れる
スパムコメントを受け付けること自体リスクがあるため、「ブロックする」に設定しておきましょう。
ボット保護チェックボックス
コメントフォームに、「私はロボットではありません。」というメッセージを添えたチェックボックスを追加できます。
チェックを入れないとコメントを送信できないので、ロボットには一定の効果が期待できるでしょう。
ただ、CAPTCHA(画像)認証を有効化する場合は、この機能についてはOFFでも構いません。
CAPTCHA(画像)認証も人間とロボットを判別する役割があるためです。
セキュリティを強化したい場合は有効化しても構いませんが、コメントフォームの利便性が低下する要因にもなるため、優先するほうを選びましょう。
XML-RPCタブ
XML-RPCとは、WordPressを外部から遠隔操作するための仕組みです。
たとえば、WordPressのスマホアプリでは、この仕組みにより記事を投稿できるようになっています。
そのため、WordPressのスマホアプリの使用や、遠隔操作を目的とした外部システムとの連携などの予定がなければ、両方ともチェックを入れて無効化しておきましょう。
XML-RPCが悪用されると、DOS攻撃(ホームページに対して大量のリクエストを送信することにより、機能を停止させる)などを受けるリスクが高まります。
なお、ピンバックとはWordPressの機能の一種で、他社のホームページを紹介したとき(されたとき)に、通知を送信(受信)するための機能です。
このピンバック機能が悪用されると、同じようにDOS攻撃ないしは、DDOS攻撃(複数の端末から仕掛けるDOS攻撃のこと)を受けるリスクが高まります。
弊社『エックスサーバー』では、WordPressのセキュリティ対策機能として、「国外IPアクセス制限」があり、デフォルトで有効化されています。
「XML-RPC WordPress API」に対する国外IPアドレス及び一部の国内ホスティングサービス環境のアドレスからの接続を、制限することが可能です。
なお、『エックスサーバー』の「国外IPアクセス制限」と『XO Security』の「XML-RPC関連の機能」は併用しても問題ありません。
REST APIタブ
API(Application Programming Interface)とは、アプリケーションのさまざまな機能を外部から利用できるよう設計されたインターフェース(接点)のことです。
たとえば、有名なところだと銀行などでも提供されています。
REST APIは、実装しやすく、汎用性が高いことをメリットとして、さまざまな用途で活用されているものです。
カワウソ
REST自体の技術的な説明は割愛します。
たとえば、WordPressではREST APIの活用により、自社の投稿一覧をドメインの異なる他のホームページに埋め込むことが可能です。
REST APIのすべてを無効化してしまうと、WordPressのページ編集ツールである「ブロックエディタ」が正しく機能しなかったり、一部のプラグインで不具合が発生するおそれがあります。
そのため、ここではひとまず最低限の内容として、以下を設定しておいてください。
- 「REST APIの無効化」にチェック
- 「/wp/v2/users」にチェック
- 「/wp/v2/users/(?P<id>[\d]+)」にチェック
「/wp/v2/users」や「/wp/v2/users/(?P<id>[\d]+)」は、WordPressログイン時のIDであるユーザー名を公開するおそれがあります。
具体的には、「https://ドメイン/wp-json/wp/v2/users」とアクセスすると、ユーザー名が誰でも参照できてしまうのです。
※WordPressをサブディレクトリにインストールした場合は、「https://ドメイン/サブディレクトリ/wp-json/wp/v2/users」
セキュリティの観点では、ユーザー名は非公開にしておくことが推奨されます。
そのほかは、自社の状況に応じて設定してください。
弊社『エックスサーバー』では、WordPressのセキュリティ対策機能として、「国外IPアクセス制限」があり、デフォルトで有効化されています。
REST APIに対する国外からのアクセスを制限することが可能です。
なお、『エックスサーバー』の「国外IPアクセス制限」と『XO Security』の「REST API関連の機能」は併用しても問題ありません。
秘匿タブ
秘匿タブでは、WordPressの投稿者の情報を非公開にできます。
秘匿タブのおすすめの設定内容は、以下のとおりです。
投稿者スラッグの編集
「投稿者スラッグの編集」は、投稿者アーカイブ(投稿者ごとの記事一覧ページ)のURLに表示される「投稿者名(=ユーザー名)」を編集するための機能です。
WordPressはデフォルトでは、「https://ドメイン/?author=1」にアクセスすると、投稿者アーカイブのページにリダイレクト(転送)されます。
※WordPressのインストール場所がサブディレクトリの場合は、「https://ドメイン/サブディレクトリ/?author=1」
じつはこの投稿者アーカイブのページURLに、WordPressログイン時のIDである「ユーザー名」が表示されてしまうのです。
(例)「https://ドメイン/author/ユーザー名/」
そのため、「投稿者スラッグの編集」にチェックを入れて、異なるユーザー名が表示されるようにしましょう。
このあと、「投稿者アーカイブの無効化」にチェックを入れる(有効化する)方は、チェックを入れる必要はありません。
チェックを入れたあとは、WordPressメインナビゲーションメニュー「ユーザー > プロフィール」の画面で、ログインID(ユーザー名)と異なる値を入力してください。
空欄のままだと、ログインID(ユーザー名)が表示されたままになるので、注意してください。
WordPressメインナビゲーションメニュー「ユーザー > プロフィール」の画面では、「ブログ上の表示名」を変更できます。
WordPressの「投稿」から記事(ぺージ)を作成した場合、ここで設定している「ブログ上の表示名(ユーザー名)」が「投稿者」として表示(公開)されます。
そのため、ニックネームを追加し、ブログ上の表示名を変更しておいてください。
詳しくは、以下の記事で解説しています。
投稿者ベースの編集
「投稿者ベースの編集」は、パーマリンクの設定画面に投稿者ベースの入力欄を表示できる機能です。
投稿者ベースとは、投稿者アーカイブURLの「author」部分のことです。
(例)「https://ドメイン/author/ユーザー名/」
このあと、「投稿者アーカイブの無効化」にチェックを入れる(有効化する)方は、チェックを入れる必要はありません。
投稿者アーカイブの無効化
先ほど解説した、「投稿者アーカイブのページ」自体を無効化する機能です。
投稿者アーカイブのページにアクセスすると、「404エラーページ(存在しないことを伝えるためのページ)」にリダイレクト(転送)されるようになります。
投稿者アーカイブのページが必要でなければ、チェックを入れて無効化しておきましょう。
コメント投稿者クラスの削除
WordPressのコメントフォームに投稿したときに、HTMLソースコードのClass名に表示されるおそれがある「ユーザー名」を削除する機能です。
チェックを付けておきましょう。
詳しい詳細を知りたい方は、『XO Security』の開発者である石鷹 (ishitaka)さんのブログをご確認ください。
(参考:Xakuro Blog「WordPress コメント欄のユーザー名を隠す」)
oEmbed ユーザー名の削除
oEmbedとは、URLを入力するだけで、記事のタイトル、アイキャッチ画像、抜粋などをプレビュー表示するための機能です。
こちらも、ユーザー名が表示されてしまうおそれがあるので、チェックを入れて削除するようにしましょう。
以下、『XO Security』の開発者である石鷹 (ishitaka)さんの関連ポスト(ツイート)です。
▲出典:X(旧Twitter)「石鷹/ishitakaさんのポスト(ツイート)」
RSS/Atom フィードの無効化
RSSフィードとは、ブログが更新されたときに、その通知を読者が受け取れるようにするための仕組みです。
この機能を悪用すれば、記事の内容をすべて抜き取ったコピーサイトを簡単に作れてしまいます。
とはいえ、この機能を有効化してしまうと、RSSフィード自体が使えなくなってしまいます。
そのため、チェックを入れない(OFF)ままでよいでしょう。
コピーサイトに対する対策を施したい方は、WordPressメインナビゲーションの「設定 > 表示設定」から、フィードの各投稿に含める内容を抜粋に変更しましょう。
バージョン情報の削除
チェックを入れて、WordPressのバージョン情報を第三者が閲覧できないようにしましょう。
仮に古いバージョンのWordPressを使っていた場合、その事実を第三者にさらけ出すことになってしまうためです。
古いバージョンのWordPressは、脆弱性(セキュリティホール)があり、セキュリティリスクが高まります。
もちろん、そもそもWordPressは常に最新のバージョンに更新しておくべきです。
しかし、更新により、ホームページの表示が崩れるなどの不具合が起きることもあるので、一定期間中断することも考えられます。
そのようなケースを想定すると、あえてWordPressのバージョン情報を公開しておく必要はありません。
readme.html の削除
readme.htmlは、WordPressのインストールディレクトリに含まれるファイルです。
WordPressの概要、インストール方法、動作環境などが書かれています。
ファイルの内容やリンクから、インストールされているWordPressのバージョンを推測されるおそれがあります。
念のため、チェックを入れてreadme.htmlを削除しておきましょう。
メンテナンスタブ
メンテナンスタブでは、メンテナンスモードを利用するかどうかを設定できます。
メンテナンスモードとは、管理者以外のユーザーに対して、管理画面も含めてログインページ以外のページをメンテナンス画面に切り替える機能です。
必要な場合のみ利用してください。
環境タブ
環境設定では、とくに変更する必要はありません。
XO Securityのトラブルシューティング
最後に『XO Security』でトラブルが起きたときの対処方法について、解説します。
ログインができなくなった
『XO Security』の設定後にログインができなくなった場合は、以下の理由が考えられます。
- ログイン情報の入力ミスによりロックがかかった
- 変更したログインページのURLが分からない
- セキュリティ関連プラグインが競合している
まず、ログイン試行回数制限によりロックがかかった場合は、設定した時間を待てば解除されます。
次に、変更したログインページのURLが分からない場合は、一度ブラウザの履歴を確認してみてください。
URL変更後に一度でもログインページにアクセスしていれば、残っているかもしれません。
そのほか、どうしてもログインできない場合は、FTPソフトを使って公開サーバーにアクセスしたのち、プラグインフォルダ「xo-security」の名前を変更すれば、プラグイン自体をOFFにできます。
そうすれば、本来のログインページURLからログイン可能ですよ。
カワウソ
弊社の『エックスサーバー』には、ファイルマネージャ(Web FTP)機能があります。
ログインしたあとは、FTPソフトでフォルダ名を戻したのち、WordPressの管理画面から『XO Security』を有効化すれば、再度使用できます。
なお、詳しい手順は以下の記事で解説しているので、チェックしてみてください。
404エラーが表示される
404エラーが表示される主な原因は、次のとおりです。
- ログインページのURLが間違っている(存在しないページにアクセスしている)
- ログイン情報の入力ミスによりロックがかかった
前述の「ログインができなくなった」を参考にしてください。
まとめ
この記事では、WordPressでホームページを作る創業期の企業の方向けに、『XO Security』のメリットや設定方法を解説しました。
- 『XO Security』とは、WordPressのセキュリティを簡単に強化できるプラグイン
- 『XO Security』は、無料かつ日本語に対応しているので、使いやすい
- 『XO Security』は、不正ログインに対する機能が充実している
- どうしてもログインできない場合は、サーバーからフォルダ名を変更する
セキュリティと利便性はトレードオフです。
セキュリティを強化し過ぎると、利便性が損なわれるため、バランス感覚を持ったうえで設定することをおすすめします。
それでは、ホームページが安全に運営できることを願っております。
以上、最後まで読んでいただき、ありがとうございました。
ホームページの開設を検討している方へ
エックスサーバーは、高速かつ高い安定性を誇る「高性能レンタルサーバー」です。
国内シェアNo.1※のレンタルサーバーであり、21万社の導入実績があります。
2024年12月4日(水)17時まで、サーバー利用料金が半額キャッシュバックされる期間限定キャンペーンを開催中です!
今なら実質月額495円~とお得にホームページを開設できます!
.comや.netなど大人気ドメインも永久無料と過去最大級にお得です。
ぜひこのお得な機会にホームページ開設をご検討ください!
※ 2024年10月時点、W3Techs調べ。
XServerビジネスは、エックスサーバーを法人向けに特化したレンタルサーバーです。
サーバー月間稼働率99.99%以上を保証する「SLA」をはじめ、セキュリティやサポートが充実しています。
2024年12月24日(火)17時まで、月額料金が30%キャッシュバックとなる期間限定キャンペーンを開催中です!
今ならお得にホームページを開設できます!
コーポレートサイトでよく使われる「.co.jp」のドメインも永久無料で、大変お得です。
ぜひこのお得な機会にホームページ開設をご検討ください!
『エックスサーバー』と『XServerビジネス』の違いは、以下の記事で詳しく解説しています。
なお、当メディア「初心者のための会社ホームページ作り方講座」では、初心者の方にわかりやすく会社のホームページを始められる方法を紹介しています!
ホームページの始め方・立ち上げに関する、ご質問・ご相談はツイッターDM( @kawauso_xsv )までお気軽にどうぞ!
カワウソ
当メディアはリンクフリーです。貴社のSNSやブログでご紹介いただけると嬉しいです。
