XO Security(セキュリティWPプラグイン)のメリットや設定方法

この記事のレベル

初心者 (3.0)
重要度 (3.5)
難しさ (2.5)

こんにちは、編集長のカワウソです!

「XO Securityの使い方が分からない……」と悩んでいませんか?

『XO Security』は、WordPressで作ったホームページのセキュリティを簡単に強化できるプラグイン(拡張機能)です。

この記事では、WordPressでホームページを作る創業期の企業の方向けに、『XO Security』のメリットや設定方法を分かりやすく解説します。

カワウソ

この記事は次のような人におすすめ!

  • XO Securityを選ぶ理由を知りたい人
  • XO Securityの使い方を知りたい人
  • 自社に合うセキュリティ対策プラグインを探している人

この記事を読めば、企業のホームページ運営における『XO Security』の基本的な設定内容が分かります。

また、記事の後半では、トラブルシューティングも紹介しているので、ぜひチェックしてみてください。

それではどうぞ!

XO Securityとは

XO Security

▲出典:WordPress.org「XO Security」

『XO Security』は、WordPressのセキュリティを簡単な設定のみで強化できるプラグインです。

WordPressは利用者が多いため、悪意のある第三者から狙われやすく、ホームぺージの改ざんや情報漏洩などのリスクに備えて、セキュリティ対策を施す必要があります。

『XO Security』にはさまざまな機能があり、不正ログインやスパムなどの脅威からWordPressを守ることが可能です。

XO Securityのメリット

セキュリティ対策プラグインには、さまざまな種類があります。

そのなかでも、『XO Security』を使うメリットは以下のとおりです。

無料で使える

『XO Security』は、無料で使えます。

ホームぺージないしはWordPressのセキュリティは、費用をかければかけるほど、強化できるのは事実です。

しかし、創業期の企業であれば、セキュリティばかりに費用をかけていられないですよね。

無料でも、『XO Security』にはWordPressを守るために有効な機能が備わっています。

「ひとまず無料から始めたい」という企業には、うってつけのプラグインと言えるでしょう。

日本語かつシンプルな画面で使いやすい

『XO Security』は、日本語に対応しており、設定画面もシンプルです。
そのため、初めてWordPressを使う方でも扱いやすいでしょう。

XO Securityの設定画面

WordPressのプラグインは種類が豊富です。
なかには、『XO Security』よりもインストール数の実績が多いセキュリティ対策プラグインもあります。

しかし、英語のみで日本語に対応していないものも少なくありません。
いくら評価が高くても、使いづらいと不安を覚えてしまいますよね。

なお、『XO Security』の開発者は石鷹(ishitaka)さん。
『XO Security』以外にも、複数のWordPressプラグインを開発している方です。

気になる方は、以下のホームページからチェックしてみてください。
(参考:Xakuro

不正ログイン対策の機能が充実している

『XO Security』は、WordPress管理画面への不正ログインに対する対策機能が充実しています。

機能 説明
ログイン試行の制限 ログイン試行回数を制限することにより、人間はもちろん、「総当たり攻撃(パスワードなど考えられるパターンを手あたり次第に試す攻撃)」などのロボットによる不正ログインを防ぎます。
ログインフォームに
CAPTCHAを追加
画像のテストにより、人間とロボットを振り分ける仕組みです。たとえば、画像に表示された文字を入力しないとログインできないようにすることで、ロボットによる不正ログインを防ぎます。
ログインページのURLを変更 ファイル名「wp-login.php」を変更することにより、人間やロボットがそもそもログインぺージに到達できないようにする対策です。
ユーザー名の非公開 REST APIや投稿者アーカイブなどから、ユーザー名(ログインID)が取得されるのを防ぎます。

そもそも、WordPressはデフォルト(初期状態)だと、不正ログインに対して以下の弱点がありますよ。

WordPress(初期状態)の弱点
  • ユーザー名とパスワードの入力のみでログインできてしまう
  • ログインぺージのURLが誰にでも分かってしまう
  • ログイン時に使うユーザー名が公開されてしまう

それぞれ簡潔に解説します。

ユーザー名とパスワードの入力のみでログインできてしまう

まず、WordPressはデフォルトだと、「ユーザー名(メールアドレス)」と「パスワード」の入力のみでログインできてしまいます。

つまり、「総当たり攻撃(パスワードなど考えられるパターンを手あたり次第に試す攻撃)」などのロボットによる不正ログインに弱いのです。

『XO Security』なら、ログインの試行回数を制限したり、CAPTCHA(画像)認証を追加したりすることで、セキュリティを強化できます。

ログインぺージのURLが誰にでも分かってしまう

また、ログインページのURLが決まっていることも、弱点の一つです。

WordPressのログインページのURLは、以下のようなルールがあり、知っている人であれば簡単にアクセスできてしまいます。

WordPressをルートディレクトリにインストールしている場合

https://ドメイン名/wp-login.php
例:https://example.com/wp-login.php


WordPressを特定のサブディレクトリにインストールしている場合

https://ドメイン名/サブディレクトリ名/wp-login.php
例:https://example.com/wp/wp-login.php

『XO Security』を使えば、このログインページのURLを変更することが可能です。

メモ

WordPressのログインページは、「wp-login.php」というファイルによって表示されます。このファイル名を変更することにより、実質的にログインページのURLを変える仕組みです。

ログイン時に使うユーザー名が公開されてしまう

WordPressはデフォルトだと、ログイン時に使うユーザー名が公開されてしまいます。

『XO Security』なら、いくつかの場所で表示されるユーザー名を非表示にすることが可能です。

詳しくは、のちほど解説しますね。

なお、ホームページのセキュリティについては、以下の記事で詳しく解説しているので、ぜひあわせてご覧ください。

XO Securityのインストール方法

それではまず、『XO Security』のインストール方法を解説します。

STEP1
プラグインの検索

WordPressのメインナビゲーションから「プラグイン >新規追加」をクリックします。右上の「プラグインの検索」ボックスから、『XO Security』を検索してください。

WordPressのプラグイン新規追加画面から、XO Securityを検索
STEP2
今すぐインストール

『XO Security』の今すぐインストールをクリックします。

今すぐインストール
STEP3
有効化

『XO Security』の有効化をクリックすれば完了です。

有効化

XO Securityの設定方法

それでは、『XO Security』を設定していきましょう。

WordPressメインナビゲーション「プラグイン > インストール済みプラグイン」にアクセスして、『XO Security』の「設定」をクリックしてください。

XO Securityの設定

すると、以下の画面が表示されます。

XO Securityの設定画面

上記のように、デフォルトでは「ログインログの記録」のみチェック(有効化)されている状態です。

この記事では上部にあるタブごとに、おすすめの設定を解説しますね。

注意

ご紹介する設定内容は、あくまでも一例です。
企業のステージやホームページの目的などによって判断は変わるため、あくまでも参考程度にしてください。

ログインタブ

ログインタブでは、WordPressログインページのセキュリティを強化するための設定ができます。

ログインタブのおすすめの設定は、以下のとおりです。

XO Securityの設定画面にあるログインタブ

それぞれの項目について、詳しく解説します。

注意

設定を終えたら、タブを切り替える前に、画面下部にある「変更を保存」をクリックしましょう。変更を保存しないままタブを切り替えてしまうと、編集内容が反映されません。

変更を保存

試行回数制限

ログインの試行回数に制限を設けられます。

おすすめの設定は、「1時間の間に」「3」回までリトライを許可することです。
たとえばこの設定の場合、1時間以内に4回ログインに失敗すると、ロック(制限)がかかります。

ログイン制限時の画面

これだけでも、短時間のうちに大量の攻撃を仕掛けるロボットには有効です。

1時間経てばロックは解除されるので、運用しやすいでしょう。

カワウソ

セキュリティを強化し過ぎると利便性が悪くなるため、はじめはこの程度がおすすめです。

WordPressの使用に慣れてきたら「24時間の間に」「3」回にするなど、状況に応じて条件を厳しくしましょう。

メモ

弊社『エックスサーバー』では、WordPressのセキュリティ対策機能として、「ログイン試行回数設定」があり、デフォルトで有効化されています。

エックスサーバーのWordPressセキュリティ設定(ログイン試行回数制限設定)

同機能だけでも総当たり攻撃には一定の効果がありますが、時間ごとの試行回数など細かく設定したい場合は、『XO Security』で設定してください。

なお、『エックスサーバー』の「ログイン試行回数設定」と『XO Security』の「試行回数制限」は併用しても問題ありません。

ブロック時の応答遅延

ログインに制限がかかったときに、その旨を表示するまでの時間(秒)を調整できます。

おすすめの設定は、「120」秒です。

長ければ長いほど、その間操作ができなくなるので、セキュリティを強化できます。

失敗時の応答遅延

ログインに失敗したときに、その旨を表示するまでの時間(秒)を調整できます。

おすすめの設定は、「10」秒です。

長ければ長いほど、その間操作ができなくなるので、セキュリティの強化につながります。

ログインページの変更

ログインページを表示するための「ファイル(wp-login.php)の名前」を変更できます。

ファイル名を変更することで、実質的にログインページのURLを変える仕組みです。

設定が推奨される項目のため、チェックを入れたあとに任意の名前を付けてください。

変更後のURLは、以下のとおりです。

WordPressをルートディレクトリにインストールしている場合

https://ドメイン名/●●●.php
例:https://example.com/●●●.php


WordPressを特定のサブディレクトリにインストールしている場合

https://ドメイン名/サブディレクトリ名●●●.php
例:https://example.com/wp/●●●.php

注意

変更した内容(ファイル名)を忘れるとログインできなくなるので、必ずメモを取っておきましょう。

ログイン ID の種類

WordPressはデフォルトでは、ログインIDに「ユーザー名」と「メールアドレス」の両方を使用できます。

WordPressのログイン画面

メールアドレスはWordPress以外の用途で使う可能性があるため、基本的には「ユーザー名のみ」をおすすめします。

ただし、以下の状態だとあまり効果がありません。

効果が期待されない状態
  • WordPressがデフォルトのままで、ユーザー名の漏洩対策ができていない
  • よく利用されるユーザー名(例:admin)を使っている
  • SNSなど他のサービスと同じユーザー名を使っている

ユーザー名を非公開にする方法は、あとの「REST APIタブ」と「秘匿タブ」で解説します。

カワウソ

ここでの設定の本質としては、どちらか一方にすること自体に意味があります。

注意

メールアドレスでログインしていた方は、あらかじめユーザー名を控えておきましょう。ユーザー名が分からないと、ログインできません。

ログインエラーメッセージ

ログインに失敗したときのエラーメッセージを簡略化できます。

「簡略化」に設定しましょう。

デフォルトだと、パスワードを間違った場合のエラーメッセージに、ユーザー名が表示されてしまいます。

▼パスワードが間違っているとき▼

ログイン時にパスワードを間違えた場合の画面

ユーザー名を間違えた場合は別のメッセージが出るので、これにより「パスワードは間違っているがユーザー名は合っている」ことがバレてしまうのです。

▼ユーザー名が間違っているとき▼

ログイン時にユーザー名を間違えた場合の画面

エラーメッセージを「簡略化」すれば、以下のようにユーザー名が表示されなくなります。

XO Securityでエラーメッセージを簡略化した場合の画面

CAPTCHA

CAPTCHA(画像)認証を有効化できます。

「ひらがな」に設定しましょう。
ロボットは一般的に海外製のものが多く、どちらかと言うと「英数字」よりも「ひらがな」のほうが突破されにくいです。

設定すると、ログインページが以下のようになります。

XO SecurityでCAPTCHA認証を有効化した場合の画面
注意

当メディアで紹介している『Google Authenticator』と併用する場合は、注意が必要です。『XO Security』の「CAPTCHA(画像認証)」を有効化する場合は、『Google Authenticator』の「認証コードを別画面で問い合わせる」のチェックを外しましょう。両方を有効化させると、エラーでログインできなくなるおそれがあります。

▼XO Security▼

XO Securityの設定画面(CAPTCHA認証)

▼Google Authenticator▼

Google Authenticatorの設定画面(2画面認証)

パスワードリセットリンク

ログインページに表示される「パスワードをお忘れですか?(パスワードの再設定フォームへのリンク)」を消すための機能です。

リンクを消すことで、パスワードの再設定フォームが悪用されるのを防げます。

WordPressのログイン画面にあるパスワードリセットリンク

消してしまうと、パスワードを紛失したときに困ってしまうので、「有効」にしておくことをおすすめします。

カワウソ

セキュリティを強化し過ぎると利便性が悪くなるため、バランス感覚を持つことが重要です。

サイトへ移動リンク

ログインページに表示されている「サイトタイトルへの移動(トップページへのリンク)」を消すための機能です。

WordPressのログイン画面にあるトップページへのリンク

「有効」と「無効」どちらでも構いません。

「有効」にしておけば、このリンクからトップページにアクセス可能です。

「無効」にすれば、このリンクからはトップページにアクセスできなくなりますが、ログインページのURLからドメインは分かります。

一般的にトップページはルートディレクトリに設定するため、ドメインが分かればアクセスできますよね。

つまり、セキュリティ強化としては効果が薄いので、利便性を考えると「有効化」でも構わないでしょう。

ログインアラート

WordPressにログインがあったときに、メールで通知を受け取れる機能です。

身に覚えのないログインがあったときに、気付けるようになります。

WordPressをログインした状態(ブラウザによる自動ログイン)で使う方は、チェックを入れて有効化しておきましょう。

WordPressから頻繁にログアウトする方は、ログインするたびに通知が届くので注意が必要です。

なお、ログインログは、WordPressメインナビゲーションの「ユーザー > ログインログ」でも確認できます。

日時、IPアドレス、ユーザー名などが記録されていますよ。

しかし、他人が自分のアカウントでログインしたのち、パスワードを変えられてしまった場合は、そもそもWordPressにログインできなくなってしまいますよね。

この機能を有効化しておけば、仮にWordPressにログインできなくても、メールからログを確認することが可能です。

注意

このログインアラート機能は、管理者権限を持つユーザーであっても、自分以外のユーザーがログインしたときのメールを受け取れるわけではありません。
ログインしたユーザーに対して、あらかじめ登録してあるメールアドレスにその旨が通知されるのみです。

メモ

「管理者のみ」にチェックを入れると、管理者権限を持つユーザーがログインしたときのみ、メールが送信されます。テーマの編集やユーザーの追加などの重要な操作ができるのは、管理者権限のみです。編集者権限以下のユーザーに対するログイン通知が不要の場合は、チェックを入れてもよいでしょう。

(参考:WordPress.org「ユーザーの種類と権限」

コメントタブ

コメントタブでは、WordPressコメントフォームのセキュリティを強化するための設定ができます。

ただ、企業ホームぺージであれば、そもそもWordPressのコメント機能自体をOFFにしておくのがおすすめ。

コメント機能には、以下のようなリスクがあるためです。

コメント機能のリスク
  • 誹謗中傷が書き込まれる
  • 宣伝目的のスパムコメントが書き込まれる

詳しくは、以下の記事で解説しています。

ここでは、コメント機能を使う場合のおすすめの設定を紹介しますね。

XO Securityの設定画面にあるコメントタブ
メモ

弊社『エックスサーバー』では、WordPressのセキュリティ対策機能として、「コメント・トラックバック制限設定」があります。その中の機能「大量コメント・トラックバック制限」については、デフォルトで有効化されています。

エックスサーバーのWordPressセキュリティ設定(コメント・トラックバック制限設定)

同機能だけでもスパム対策としては一定の効果がありますが、コメントフォームのセキュリティを強化したい場合は、『XO Security』でCAPTCHA認証などを設定してください。

なお、『エックスサーバー』の「コメント・トラックバック制限設定」と『XO Security』の「コメント関連の機能」は併用しても問題ありません。

CAPTCHA

コメントフォームにCAPCHA(画像)認証を追加できます。

前述のとおり、ロボットは海外製が多いため、比較的突破されにくい「ひらがな」を選びましょう。

スパム保護フィルター

スパム保護フィルターでは、以下2つの項目があります。

スパム保護フィルターの項目
  • 日本語文字を含まない
  • スパムとして保存されているコメントのメールアドレス
日本語文字を含まない

日本語の文字を含まないコメントを受け付けないようにできます。

海外のロボットによるスパムコメントは、基本的に日本語を含んでいません。
そのため、「外国語のみのコメント」や「URLのみコメント」を受け付けないようにすることで、セキュリティリスクを減らせます。

ただし、チェックを入れると(有効化すると)、海外ユーザーからのコメントも受け付けられなくなるおそれがあるでしょう。

そのため、自社のターゲットや、コメントフォームの活用目的と照らし合わせて判断してください。

スパムとして保存されているコメントのメールアドレス

WordPressのメインナビゲーション「コメント」では、ユーザーから受け付けたコメントが一覧で表示されています。

スパムらしきコメントがあった場合は、ここから登録することが可能です。

WordPressの管理画面から特定のコメントをスパムとして指定する方法

スパムと判定したメールアドレスからコメントを受け付ける必要はないので、チェックを入れて有効化しておきましょう。

スパムコメント

スパムと判定したコメントの取り扱いを、以下の3つから選べます。

  • ブロックする
  • スパムとして保存する
  • ゴミ箱へ入れる

スパムコメントを受け付けること自体リスクがあるため、「ブロックする」に設定しておきましょう。

ボット保護チェックボックス

コメントフォームに、「私はロボットではありません。」というメッセージを添えたチェックボックスを追加できます。

XO Securityでボット保護チェックボックスを有効化したときの実際のコメントフォームの例

チェックを入れないとコメントを送信できないので、ロボットには一定の効果が期待できるでしょう。

ただ、CAPTCHA(画像)認証を有効化する場合は、この機能についてはOFFでも構いません。
CAPTCHA(画像)認証も人間とロボットを判別する役割があるためです。

セキュリティを強化したい場合は有効化しても構いませんが、コメントフォームの利便性が低下する要因にもなるため、優先するほうを選びましょう。

XML-RPCタブ

XML-RPCとは、WordPressを外部から遠隔操作するための仕組みです。

たとえば、WordPressのスマホアプリでは、この仕組みにより記事を投稿できるようになっています。

そのため、WordPressのスマホアプリの使用や、遠隔操作を目的とした外部システムとの連携などの予定がなければ、両方ともチェックを入れて無効化しておきましょう。

XML-RPCが悪用されると、DOS攻撃(ホームページに対して大量のリクエストを送信することにより、機能を停止させる)などを受けるリスクが高まります。

XO Securityの設定画面にあるXML-RPCタブ

なお、ピンバックとはWordPressの機能の一種で、他社のホームページを紹介したとき(されたとき)に、通知を送信(受信)するための機能です。

このピンバック機能が悪用されると、同じようにDOS攻撃ないしは、DDOS攻撃(複数の端末から仕掛けるDOS攻撃のこと)を受けるリスクが高まります。

注意

プラグインの中には、『Jetpack』など稀にXML-RPCを使用するものもあります(参考:Jetpack)。そのため、他のプラグインが正しく動作しない場合は、一旦XML-RPCの無効化を解除してみましょう。

メモ

弊社『エックスサーバー』では、WordPressのセキュリティ対策機能として、「国外IPアクセス制限」があり、デフォルトで有効化されています。

エックスサーバーのWordPressセキュリティ設定(国外IPアクセス制限設定)

「XML-RPC WordPress API」に対する国外IPアドレス及び一部の国内ホスティングサービス環境のアドレスからの接続を、制限することが可能です。

なお、『エックスサーバー』の「国外IPアクセス制限」と『XO Security』の「XML-RPC関連の機能」は併用しても問題ありません。

REST APIタブ

API(Application Programming Interface)とは、アプリケーションのさまざまな機能を外部から利用できるよう設計されたインターフェース(接点)のことです。

たとえば、有名なところだと銀行などでも提供されています。

REST APIは、実装しやすく、汎用性が高いことをメリットとして、さまざまな用途で活用されているものです。

カワウソ

REST自体の技術的な説明は割愛します。

たとえば、WordPressではREST APIの活用により、自社の投稿一覧をドメインの異なる他のホームページに埋め込むことが可能です。

REST APIのすべてを無効化してしまうと、WordPressのページ編集ツールである「ブロックエディタ」が正しく機能しなかったり、一部のプラグインで不具合が発生するおそれがあります。

そのため、ここではひとまず最低限の内容として、以下を設定しておいてください。

ポイント

  • 「REST APIの無効化」にチェック
  • 「/wp/v2/users」にチェック
  • 「/wp/v2/users/(?P<id>[\d]+)」にチェック

XO Securityの設定画面にあるREST APIタブ

「/wp/v2/users」や「/wp/v2/users/(?P<id>[\d]+)」は、WordPressログイン時のIDであるユーザー名を公開するおそれがあります。

具体的には、「https://ドメイン/wp-json/wp/v2/users」とアクセスすると、ユーザー名が誰でも参照できてしまうのです。
※WordPressをサブディレクトリにインストールした場合は、「https://ドメイン/サブディレクトリ/wp-json/wp/v2/users」

セキュリティの観点では、ユーザー名は非公開にしておくことが推奨されます。

そのほかは、自社の状況に応じて設定してください。

メモ

弊社『エックスサーバー』では、WordPressのセキュリティ対策機能として、「国外IPアクセス制限」があり、デフォルトで有効化されています。

エックスサーバーのWordPressセキュリティ設定(国外IPアクセス制限設定)

REST APIに対する国外からのアクセスを制限することが可能です。

なお、『エックスサーバー』の「国外IPアクセス制限」と『XO Security』の「REST API関連の機能」は併用しても問題ありません。

秘匿タブ

秘匿タブでは、WordPressの投稿者の情報を非公開にできます。

秘匿タブのおすすめの設定内容は、以下のとおりです。

XO Securityの設定画面にある秘匿タブ

投稿者スラッグの編集

「投稿者スラッグの編集」は、投稿者アーカイブ(投稿者ごとの記事一覧ページ)のURLに表示される「投稿者名(=ユーザー名)」を編集するための機能です。

WordPressはデフォルトでは、「https://ドメイン/?author=1」にアクセスすると、投稿者アーカイブのページにリダイレクト(転送)されます。
※WordPressのインストール場所がサブディレクトリの場合は、「https://ドメイン/サブディレクトリ/?author=1」

投稿者アーカイブページの表示例

じつはこの投稿者アーカイブのページURLに、WordPressログイン時のIDである「ユーザー名」が表示されてしまうのです。

(例)「https://ドメイン/author/ユーザー名/」

そのため、「投稿者スラッグの編集」にチェックを入れて、異なるユーザー名が表示されるようにしましょう。

メモ

次の項目「投稿者アーカイブの無効化」にチェックを入れる(有効化する)方は、チェックを入れる必要はありません。

チェックを入れたあとは、WordPressメインナビゲーションメニュー「ユーザー > プロフィール」の画面で、ログインID(ユーザー名)と異なる値を入力してください。

投稿者スラッグの編集
注意

空欄のままだと、ログインID(ユーザー名)が表示されたままになるので、注意してください。

メモ

WordPressメインナビゲーションメニュー「ユーザー > プロフィール」の画面では、「ブログ上の表示名」を変更できます。

ニックネームとブログ上の表示名

WordPressの「投稿」から記事(ぺージ)を作成した場合、ここで設定している「ブログ上の表示名(ユーザー名)」が「投稿者」として表示(公開)されます。

ブログ上の表示名が表示された例

そのため、ニックネームを追加し、ブログ上の表示名を変更しておいてください。

ニックネームを作成し、ブログ上の表示名を変更

詳しくは、以下の記事で解説しています。

投稿者アーカイブの無効化

前項で解説した、「投稿者アーカイブのページ」自体を無効化する機能です。

投稿者アーカイブのページにアクセスすると、「404エラーページ(存在しないことを伝えるためのページ)」にリダイレクト(転送)されるようになります。

404ページの表示例

投稿者アーカイブのページが必要でなければ、チェックを入れて無効化しておきましょう。

コメント投稿者クラスの削除

WordPressのコメントフォームに投稿したときに、HTMLソースコードのClass名に表示されるおそれがある「ユーザー名」を削除する機能です。

チェックを付けておきましょう。

詳しい詳細を知りたい方は、『XO Security』の開発者である石鷹 (ishitaka)さんのブログをご確認ください。
(参考:Xakuro Blog「WordPress コメント欄のユーザー名を隠す」

oEmbed ユーザー名の削除

oEmbedとは、URLを入力するだけで、記事のタイトル、アイキャッチ画像、抜粋などをプレビュー表示するための機能です。

WordPressの記事のプレビュー表示例

こちらも、ユーザー名が表示されてしまうおそれがあるので、チェックを入れて削除するようにしましょう。

以下、『XO Security』の開発者である石鷹 (ishitaka)さんの関連ツイートです。

▲出典:Twitter「石鷹/ishitakaさんのツイート」

RSS/Atom フィードの無効化

RSSフィードとは、ブログが更新されたときに、その通知を読者が受け取れるようにするための仕組みです。

この機能を悪用すれば、記事の内容をすべて抜き取ったコピーサイトを簡単に作れてしまいます。

とはいえ、この機能を有効化してしまうと、RSSフィード自体が使えなくなってしまいます。

そのため、チェックを入れない(OFF)ままでよいでしょう。

メモ

コピーサイトに対する対策を施したい方は、WordPressメインナビゲーションの「設定 > 表示設定」から、フィードの各投稿に含める内容を抜粋に変更しましょう。

フィードの各投稿に含める内容を抜粋に変更

バージョン情報の削除

チェックを入れて、WordPressのバージョン情報を第三者が閲覧できないようにしましょう。

仮に古いバージョンのWordPressを使っていた場合、その事実を第三者にさらけ出すことになってしまうためです。

古いバージョンのWordPressは、脆弱性(セキュリティホール)があり、セキュリティリスクが高まります。

もちろん、そもそもWordPressは常に最新のバージョンに更新しておくべきです。

しかし、更新により、ホームページの表示が崩れるなどの不具合が起きることもあるので、一定期間中断することも考えられます。

そのようなケースを想定すると、あえてWordPressのバージョン情報を公開しておく必要はありません。

環境タブ

環境設定では、とくに変更する必要はありません。

XO Securityの設定画面にある環境タブ

XO Securityのトラブルシューティング

最後に『XO Security』でトラブルが起きたときの対処方法について、解説します。

ログインができなくなった

『XO Security』の設定後にログインができなくなった場合は、以下の理由が考えられます。

ログインができない理由
  • ログイン情報の入力ミスによりロックがかかった
  • 変更したログインページのURLが分からない
  • セキュリティ関連プラグインが競合している

まず、ログイン試行回数制限によりロックがかかった場合は、設定した時間を待てば解除されます。

次に、変更したログインページのURLが分からない場合は、一度ブラウザの履歴を確認してみてください。
URL変更後に一度でもログインページにアクセスしていれば、残っているかもしれません。

そのほか、どうしてもログインできない場合は、FTPソフトを使って公開サーバーにアクセスしたのち、プラグインフォルダ「xo-security」の名前を変更すれば、プラグイン自体をOFFにできます。
そうすれば、本来のログインページURLからログイン可能ですよ。

FTPを使ってサーバーにあるプラグインフォルダの名前を変更

カワウソ

弊社の『エックスサーバー』には、ファイルマネージャ(Web FTP)機能があります。

ログインしたあとは、FTPソフトでフォルダ名を戻したのち、WordPressの管理画面から『XO Security』を有効化すれば、再度使用できます。

なお、詳しい手順は以下の記事で解説しているので、チェックしてみてください。

404エラーが表示される

404エラーが表示される主な原因は、次のとおりです。

404エラーの原因
  • ログインページのURLが間違っている(存在しないページにアクセスしている)
  • ログイン情報の入力ミスによりロックがかかった

前述の「ログインができなくなった」を参考にしてください。

まとめ

この記事では、WordPressでホームページを作る創業期の企業の方向けに、『XO Security』のメリットや設定方法を解説しました。

まとめ
  • 『XO Security』とは、WordPressのセキュリティを簡単に強化できるプラグイン
  • 『XO Security』は、無料かつ日本語に対応しているので、使いやすい
  • 『XO Security』は、不正ログインに対する機能が充実している
  • どうしてもログインできない場合は、サーバーからフォルダ名を変更する

セキュリティと利便性はトレードオフです。

セキュリティを強化し過ぎると、利便性が損なわれるため、バランス感覚を持ったうえで設定することをおすすめします。

それでは、ホームページが安全に運営できることを願っております。

以上、最後まで読んでいただき、ありがとうございました。

安定度の高いレンタルサーバーをお探しの方へ

エックスサーバーは、高速かつ高い安定性を誇る「高性能レンタルサーバー」です。
国内シェアNo.1のレンタルサーバーであり、20万社の導入実績があります。

2024年7月4日(木)12時まで、サーバー利用料金が最大30%オフとなる期間限定キャンペーンを開催中です!

今なら月額693円~とお得にホームページを開設できます!
.comや.netなど大人気ドメインも永久無料と過去最大級にお得です。

ぜひこのお得な機会にホームページ開設をご検討ください!

※ 2024年5月時点、W3Techs調べ。

ホームページ制作を無料で依頼したい方

法人向けレンタルサーバー「Xserverビジネス」なら、
ホームページ無料制作サービス」が付いているため、
申し込むだけで2日でホームページが完成します!

ホームページ無料制作サービスの詳細はこちら!

Xserverビジネスだと「.com」以外にも「.co.jp」や「jp」などのドメインも無料になります。

当メディア「初心者のための会社ホームページ作り方講座」では、初心者の方にわかりやすく会社のホームページを始められる方法を紹介しています!

これから始める方はこちらのホームページの作り方をぜひご覧ください!

ホームページの始め方・立ち上げに関する、ご質問・ご相談はツイッターDM( @kawauso_xsv )までお気軽にどうぞ!

カワウソ

当メディアはリンクフリーです。貴社のSNSやブログでご紹介いただけると嬉しいです。

URLをコピーしました!