- XO Securityってどんなプラグイン?
- XO SecurityとSiteGuard WP Pluginの違いは?
- XO Securityの設定方法は?
という人のために、プラグイン「XO Security」の特徴、「SiteGuard WP Plugin」との違い、最適な設定方法を、画像付きで解説します。
1.前提条件・事前準備・参考記事
WordPressのセキュリティに関しては、以下を参考にしてください。
- WordPress(サイト)運営者が知るべきサイバー攻撃の種類と対策
- WordPressのおすすめセキュリティ系プラグインを比較した結果【Cocoon】
- Googleアカウントの作成方法(データSIMだけでもOK)
- Wordfenceの(アン)インストール方法と最適な設定方法
- Wordfence Securityの全ての設定方法を3万文字で解説
- WordfenceとGoogle認証システムで2段階認証(2FA)を設定する方法
- Wordfenceの使い方、画面の見方を6万文字で解説
- XO Securityの設定方法
- SiteGuard WP Pluginの設定方法
- BBQ(Block Bad Queries:ブロックバッドクエリ)の設定方法
- Invisible reCaptcha for WordPressの設定方法【Google reCATCHA】
- ログイン(2段階認証)エラー対策【Invisible reCaptcha、Wordfenceの2FA、ConoHa WING】
- UpdraftPlus(アップドラフトプラス)の設定方法と使い方
2.XO Securityとは
2-1.XO Securityの特徴
XO Securityとは、WordPressのセキュリティ系プラグインです。
日本で有名な「SiteGuard WP Plugin」にいくつかの機能を追加し、ほぼ上位互換的存在となっています。
最大の特徴は、「ワンタイムパスワードの制限時間内(約30秒)を時間切れにする」機能があること。
XO Security以外にワンタイムパスワードの制限時間切れができるプラグインは無いので、唯一無二と言えます。
また、.htaccessファイルに書き込みません。Nginx、IISでも動作します。
つまり、初心者に優しく、ほとんどのサーバーで機能します。
総合セキュリティプラグイン「Wordfence」を主軸とした場合、補助としてXO Securityができることは、以下になります。
- ワンタイムパスワード対策
- ログインページ変更
- ログインIDをユーザー名のみにする
Nginx(エンジンエックス)とは、Webサーバーソフトの種類の1つ。
IISとは、Microsoft Internet Information Services(マイクロソフト・インターネット・インフォメーション・サービス)」の略称で、Webサーバーソフトの種類の1つ。
2-2.XO Securityの機能
XO Securityのできることは、以下です。
- ログインログ記録:ログインログを記録します。
- ログイン試行回数制限:ログイン失敗を繰り返す接続元をブロックします。
- ログインページの変更:ログインページの名前を変更します。
- ログインアラート:ログイン時にメールを送信します。
- ログインエラーメッセージの変更:ログインエラーメッセージを汎用的なものに変更します。
- ログイン ID の種類:ログイン ID をユーザー名またはメールアドレスのどちらかに制限します。
- ログイン CAPTCHA(画像認証):ログインページに CAPTCHA を追加します。
- コメント CAPTCHA(画像認証):コメントフォームに CAPTCHA を追加します。
- XML-RPC の無効化:XML-RPC を無効にします。
- XML-RPC ピンバックの無効化:XML-RPC ピンバック機能を無効にします。
- REST API の無効化:REST API を無効にします。
- REST API URL の変更:REST API URL のプレフィックスを変更します。
- 投稿者アーカイブの無効化(ユーザーID隠し):投稿者アーカイブページを無効にします。
- コメント投稿者クラスの無効化(コメントID隠し):コメントリストのコメント投稿者クラスを取り除きます。
XML-RPCとは、XML形式のデータを、RPC(遠隔手続き型呼び出し:HTTPでやり取りするときに使う)プロトコル(通信時の約束事)のこと。
WordPressの管理画面からではなく、プログラムなどで、WordPressの外側からWordPressをコントロールするための機能です。
例えば、Jetpackやスマートフォンで投稿をする際に必要です。
また、ブルートフォースアタック(総当たり攻撃)によるアカウント情報割り出しにも使われます。
ピンバックとは、リンク元がリンク先に通知するWordPress専用の機能です。
ピンバックは、WordPressサイトに埋め込んだURLを一気に配置して、攻撃したいサイトに承認を送りつけて重くするDDoS攻撃で使われます。
REST APIとは、RESTの原則に則って構築されたWebシステムのHTTPでの呼び出しインターフェースのこと。
REST(REpresentational State Transfer)とは、分散型システムにおける複数のソフトウェアを連携させるのに適した設計原則の集合、考え方のこと。
JSON形式(JavaScript)でWordPressの記事やページなどの情報を取得できます。
REST APIのメリットは、開発がより楽になる、サーバー負荷が減る、などです。
例えば、ドメイン名の最後に/wp-json/wp/v2/posts/と追記すると、投稿一覧の結果を返してくれます。
2-3.XO SecurityとSiteGuard WP Pluginの違い
XO SecurityとSiteGuard WP Pluginの違いは、以下になります。
| 比較項目 | XO Security | SiteGuard WP Plugin |
| 作成者 | 個人 | 法人 |
| アップデート対応 | 遅い | 速い |
| ログイン履歴 | ◯ | ◯ |
| ログイン試行回数制限 | ◯ | ◯ |
| ワンタイムパスワード対策 | ◯ | ☓ |
| フェールワンス(正しい入力でも1回失敗) | ☓ | ◯ |
| 管理ページアクセス制限 | ◯ | ◯ |
| ログインURLへのリダイレクト制限 | ◯ | ◯ |
| ログインページの変更 | ◯ | ◯ |
| ログインアラート | ◯ | ◯ |
| ログインエラーメッセージの変更 | ◯ | ◯ |
| ログイン ID の種類の選択 | ◯ | ◯ |
| ログイン CAPTCHA(画像認証) | ◯ | ◯ |
| コメント CAPTCHA(画像認証) | ◯ | ☓ |
| XML-RPC の無効化 | ◯ | ☓ |
| XML-RPC ピンバックの無効化 | ◯ | ☓ |
| REST API の無効化 | ◯ | ☓ |
| REST API URL の変更 | ◯ | ☓ |
| 投稿者アーカイブの無効化 | ◯ | ☓ |
| コメント投稿者クラスの無効化 | ◯ | ☓ |
| IP アドレス取得方法 | 7個から選択 | 4個から選択 |
2-3-1.個人か法人か
XO Securityは、個人で作成されており、アップデート対応までに時間がかかるようです。
あまりにも長い間アップデートされないのであれば(1~2年)、SiteGuard WP Pluginを主軸にした方が良いです。
SiteGuard WP Pluginのアップデートは比較的早いです。
2-3-2.フェールワンス(正しい入力でも1回失敗)機能があるか
SiteGuard WP Pluginには、フェールワンス機能があります。XO Securityにはありません。
フェールワンスとは、正しいパスワードを入力しても、わざと1回失敗する機能です。
サイト攻撃者に、「あれ、間違えたかな?」と思わせ、正しいパスワードを一度だけスルーさせられます。
ただし、自分も毎回、2回パスワード入力が必要になります。
利便性が失われるので、不必要と思われる機能です。
2-3-3.ワンタイムパスワード対策、他の機能があるか
XO Securityには、ワンタイムパスワード対策機能があります。
その他、コメント入力時に画像認証、REST APIの無効化などあります。
フェールワンスが必要ないのであれば、SiteGuard WP PluginよりもXO Securityの方が優秀です。
2-4.WordPressのセキュリティにおすすめするプラグインの組み合わせ
WordPressのセキュリティにおすすめするプラグインの組み合わせは、以下になります。
Wordfenceをセキュリティの主軸とし、他のプラグインで補完します。
テーマはCocoonを使用した場合です。
- Wordfence Security – Firewall & Malware Scan:総合セキュリティ
- XO Security(またはSiteGuard WP Plugin):ログインセキュリティ、ワンタイムパスワード(2段階認証)遅延対策、等
- BBQ: Block Bad Queries:データベース不正操作対策
- Invisible reCaptcha for WordPress:スパム対策
- UpdraftPlus(アップドラフトプラス):バックアップ
WordPressのセキュリティに関するプラグインの比較、おすすめ、各種プラグイン設定のリンク集は、以下の記事を参考にしてください。
WordPressのおすすめセキュリティ系プラグインを比較した結果【Cocoon】
3.XO Securityを設定する方法
3-1.XO Securityをインストールして有効化する
まず、XO Securityをインストールします。
- 管理メニュー「プラグイン」>「新規追加」>「XO Security」を検索>「XO Security(作者: Xakuro)」を「今すぐインストール」>「有効化」
以上で、XO Securityのインストールと有効化は完了です。
3-2.XO Securityの最小限の設定
XO Securityの役割は、Wordfenceの足りない機能の補完です。
XO Securityの設定は必要最小限にして、Wordfenceと機能が被らないようにします。
後述する「XO Securityの各種設定の説明」を見なくても、最低限、以下を設定すれば良いです。
XO Securityの設定は、管理メニュー「設定」>「XO Security」からできます。
最小限の設定箇所は、管理メニュー「設定」>「XO Security」>上部タブ左から2個目「ログイン」のみになります。
全部で7箇所設定します。
全て入力・選択したら、ページ最下部「変更を保存」をクリックし、変更内容を保存します。
- 「試行回数制限」>「12時間の間に」「10」回までリトライを許可する
- 「ブロック時の応答遅延」>最大値の「120」秒
- 「失敗時の応答遅延」>最大値の「10」秒
- 「ログインページの変更」>「オン」にチェック>ログインファイルに「任意のURLを16文字以上(推奨)」入力
- 「ログインエラーメッセージの変更」>「オン」にチェック
- 「ログイン ID の種類」>「ユーザー名のみ」
- 「ログインログの自動削除」>「30日以前」
XO Securityの最大の魅力は、「3.失敗時の応答遅延」です。
ここだけは忘れずに、設定を変更しておきましょう。
「4.ログインページの変更」のURLは、セキュリティを高めるために、英数字、ハイフン、アンダーバーを使用し、16文字、できれば32文字以上で作成します。
また変更した「URL」は、無くすとログインできなくなります。
ページを離脱する前に、ログインURLをメモ(ブックマーク)しましょう。
4.XO Securityの各種設定の説明
4-1.ステータス
管理メニュー左側「設定」>「XO Security」をクリックすると、「XO Security 設定」の「ステータス」画面になります。
- 設定をすると、項目に合わせて緑色のチェックになります。
設定がOFFだと、白色になります。 - タブをクリックすると、各項目の設定画面になります。
4-2.ログイン
「XO Security 設定」画面で「ログイン」タブをクリックすると、「ログイン」画面になります。
以下を操作・入力します。
- 試行回数制限:「12時間の間に」「10」回までリトライを許可する
- ブロック時の応答遅延」:最大値の「120」秒
- 失敗時の応答遅延:最大値の「10」秒
- ログインページの変更:「オン」にチェックし、ログインファイルに「任意のURLを16文字以上(推奨)」を入力
- ログインエラーメッセージの変更:「オン」にチェック
- ログイン ID の種類:「ユーザー名のみ」
- ログインログの自動削除:「30日以前」
- 全て操作・入力したら、「変更を保存」をクリックします。
4-2-1.試行回数制限
n時間の間にx回以上ログインに失敗すると、失敗したIPアドレスがロックアウトされます(ログインできなくなります)。
制限時間は以下から選択でき、ログイン試行回数は任意の数値が入力できます。
- 試行回数の制限なし
- 1時間の間に
- 12時間の間に
- 24時間の間に
- 48時間の間に
例えば、「1時間の間に10回までリトライを許可する」と設定した場合。
1時間以内に10回失敗すると、ブロック時の応答遅延で設定した時間、ログインできなくなります。
さらに何度かログインに失敗すると設定した時間(今回の例だと1時間の間)、ログインページにアクセスできなくなります。
初期値「成功回数の制限なし」から「12時間の間に」に選択し、初期値「4」から「10」回までリトライを許可する、と入力します。
4-2-2.ブロック時の応答遅延
ログインに失敗したIPアドレスをブロックした際、何秒間ログインページにアクセスさせないか、を設定します。
0~120秒の間で任意に設定できます。
最大値の120秒を推奨します。
さらに、何度もログインを失敗すると、120秒以上、ログインページにアクセスできなくなります。
初期値「10」秒から、最大値「120」秒と入力します。
4-2-3.失敗時の応答遅延
ログインに失敗した際、再度ログインページを表示する時間を何秒にするか、を設定します。
最大値の10秒を推奨します。
他のプラグイン(おすすめはWordfence)で2段階認証を設定し、失敗時の応答遅延を最大値の10秒にした場合。
ワンタイムパスワードは30秒で切り替わるため、2回しかログイン試行ができなくなります。
通常、セキュリティ対策としてのログイン試行制限は、同一IPアドレスにのみ効果を発揮します。
そこで攻撃者は、ログイン試行制限を回避するためにIPアドレスを変更してログイン試行を試みます。
けれども失敗時の応答遅延を組み込むことで、たとえIPアドレスを変更したとしても、2回までしか攻撃ができなくなります。
この設定をすれば、WordPressにおいて最高の防御壁となるでしょう。
初期値「1」秒から、最大値「10」秒と入力します。
4-2-4.ログインページの変更
チェックを入れると、ログインファイルを新たに作成し、ログインURLを変更できます。
WordPressには、「管理画面URL」と「ログインURL」の2つがあります。
- 管理画面URL:https:///○○○/wp-admin/
- ログインURL:https:///○○○/wp-login.php
通常、ログインしていない状態で管理画面URLにアクセスすると、ログインURLにリダイレクト(転送・移動)されます。
もしログインURLがわからなくても、管理画面URLにアクセスすれば、ログインURLがわかってしまいます。
そこで、セキュリティを高めるには、以下の2点が必要です。
- ログインURLをわからなくする
- 管理画面URLからログインURLにリダイレクトさせない
ログインページの変更機能は、通常のログインURL「https://○○○/wp-login.php」を「https://○○○/任意の文字列.php」に変更する機能です。
「https:///ドメイン名/wp-login.php」ではログインページに辿り着けないため、不正ログインを受けにくくなります。
また、ログインページの変更機能を有効にすれば、自動的に管理画面URLからログインURLにリダイレクトしなくなります。
ログインファイルは、他のPHPと被らないような名前にして作成します。
文字数は16文字以上を推奨。40文字程度が理想です。
作成したログインファイルは、「public_html/自サイト名」にあります。
他のファイル名と被った場合は、FTPで自作した.phpを削除します。
設定保存後、必ず新しいURLをコピーします。
新しいURLは、「https://(任意のURL).php」になります。
もしもURLがわからなくなった場合は、FTPで「public_html/自サイト名」を確認します。
その後、自サイトURLの最後尾に自サイト名を入力すれば、ログインページに行けます。
URLがわからない、またはどうしてもログインできない場合は、XO Securityのプラグインを停止します。
プラグインの停止は、サーバーからプラグイン名をリネームすればOK。
プラグイン停止方法は、以下の記事を参考にしてください。
WordPressにログインせずにプラグイン・テーマを無効化する方法(一時停止→復旧も含む)
「オン」にチェックを入れ、ログインファイルに「任意のURLを16文字以上(推奨)」を入力します。
4-2-5.ログインアラート
チェックを入れると、誰かがログインすると通知メールを送るようになります。
「管理者のみ」にチェックを入れると、管理者権限のログインだけがメールで届きます。
通知メールの件名・本文は、任意に変更できます。
件名と本文では、次の変数が使用できます:。
- %SITENAME%:サイト名
- %USERNAME%:ユーザーネーム
- %DATE%:ログインした日
- %TIME%:ログインした時間
- %IPADDRESS%:ログインしたIPアドレス
- %USERAGENT%:ブラウザの種類、バージョン、OSの種類、バージョンなどの情報を組み合わせた識別子
固定IPアドレスなら、自分のログインを除外できます。方法は以下です。
- 「%IPADDRESS%」を件名か本文に追記する
- メールソフト側で、自分のIPアドレスのみを既読かゴミ箱に自動的に移動させる
- すると、自分のIPアドレス以外からのログインのみメールに残る
攻撃者にログインされたら手遅れなので、利便性を取ります。
初期値「空白」のまま、無視します。
4-2-6.ログインエラーメッセージの変更
チェックを入れると、ログインエラーメッセージが「エラー: ユーザー名またはパスワードが間違っています。」と表示されるようになります。
ログインする時、「ユーザー名」、「パスワード」、「画像認証」のどれを間違えても同じエラーメッセージを表示します。
初期値では、ログイン時に「ユーザーIDだけ」を間違ったのであれば「ユーザー名は合っているがユーザーIDは間違っている」と表示されます。
これだと、不正ログインのヒントになってしまいます。
「ログインエラーメッセージの変更」機能をONにすれば、エラーメッセージが同じになるため、エラーメッセージからログイン情報を把握できなくなります。
ONを推奨します。
プラグイン「Wordfence」を使う場合、機能は被りますが、「XO Security」が優先して表示されます。
Wordfenceの設定箇所は、以下になります。
- 管理画面左側メニュー「Wordfence」>「All Options」>「Firewall Options」>「Brute Force Protection」>「Additional Options」>「Don’t let WordPress reveal valid users in login errors」
プラグイン「SiteGuard WP Plugin」の「ログイン詳細エラーメッセージの無効化」を有効化していた場合、機能は被りますが、「XO Security」が優先して表示されます。
「オン」にチェックをいれます。
4-2-7.ログイン ID の種類
ログインIDの種類を、以下から選択できます。
- ユーザー名またはメールアドレス(デフォルト)
- ユーザー名のみ
- メールアドレスのみ
メールアドレスは危険なので、ユーザー名のみが推奨です。
ユーザー名は、16文字以上、40文字程度が理想です。
「ユーザー名のみ」を選択します。
4-2-8.ログイン言語制限
ログインの言語を、日本語のみ、などに制限できる機能だと思われます。
現在は強制的に無効になっています。
初期値「無効」のまま、無視します。
4-2-9.ログイン CAPTCHA
ログイン時に、画像認証を要求できます。以下から選択します。
設定するなら、外国人には不慣れな「ひらがな」を選択します。
- 無効
- 英数字
- ひらがな
画像認証を必要にすると、自分がログインする際も画像認証の手間がかかり、面倒です。
ログイン対策はWordfenceと失敗時の応答遅延(ワンタイムパスワード対策)ですればOK。
初期値「無効」のまま、無視します。
4-2-10.ログインログの自動削除
ログインログをどの程度保存するか、以下から選択します。
- 自動削除しない
- 30日以前
- 360日以前
ログが多くなるとサーバーを圧迫するので、「30日以前」が推奨です。
簡易的なログインログは、ダッシュボードから確認できます。
詳細なログインログは、管理画面左側メニュー「ユーザー」>「ログインログ」から確認できます。
「30日以前」を選択します。
4-3.コメント
「XO Security 設定」画面で「コメント」タブをクリックすると、「コメント」画面になります。
4-3-1.コメント CAPTCHA
コメントフォームに、画像認証を要求できます。以下から選択します。
設定するなら、外国人には不慣れな「ひらがな」を選択します。
- 無効
- 英数字
- ひらがな
コメントスパムは多いので、セキュリティプラグインをXO Securityしか使わないのであれば「ひらがな」にします。
コメントスパム対策は、Google reCATCHAが優秀です。
Google reCATCHAを使う方法は、以下の記事を参考にしてください。
Invisible reCaptcha for WordPressの設定方法【Google reCATCHA】
初期値「無効」のまま、無視します。
4-4.XML-RPC
「XO Security 設定」画面で「XML-RPC」タブをクリックすると、「XML-RPC」画面になります。
4-4-1.XML-RPC の無効化
チェックを入れると、XML-RPC(外部リモート操作機能)を無効化します。
XML-RPCとは、XML形式のデータを、RPC(遠隔手続き型呼び出し:HTTPでやり取りするときに使う)プロトコル(通信時の約束事)のこと。
WordPressの管理画面からではなく、プログラムなどでWordPressの外側からWordPressをコントロールするための機能です。
例えば、Jetpackやスマートフォンで投稿をする際に必要です。
逆に、ブルートフォースアタック(総当たり攻撃)によるアカウント情報割り出しにも使われます。
XML-RPCは、便利機能である反面、ブルートフォースアタックでも使われるため、通常は無効化した方が良いです。
しかしWordfenceでセキュリティを高めれば、利便性のみを享受できます。
Wordfenceの設定方法は、以下の記事を参考にしてください。
Wordfenceの(アン)インストール方法と最適な設定方法
初期値「空白」のまま、無視します。
4-4-2.XML-RPC ピンバックの無効化
チェックを入れると、XML-RPCのピンバック機能を無効化します。
ピンバックは、WordPressで作ったサイト同士が相互に紹介しあう場合などに有効な機能です。
ピンバックとは、リンク元がリンク先に通知するWordPress専用の機能です。
ピンバックは、WordPressサイトに埋め込んだURLを一気に配置して、攻撃したいサイトに承認を送りつけて重くするDDoS攻撃で使われます。
もしも大量のピンバック送信があるなら、この機能を有効化します。
初期値「空白」のまま、無視します。
4-5.REST API
「XO Security 設定」画面で「REST API」タブをクリックすると、「REST API」画面になります。
4-5-1.REST API の無効化
チェックを入れると、REST APIを無効化します。
REST APIとは、RESTの原則に則って構築されたWebシステムのHTTPでの呼び出しインターフェースのこと。
REST(REpresentational State Transfer)とは、分散型システムにおける複数のソフトウェアを連携させるのに適した設計原則の集合、考え方のこと。
JSON形式(JavaScript)でWordPressの記事やページなどの情報を取得できます。
REST APIのメリットは、開発がより楽になる、サーバー負荷が減る、などです。
例えば、ドメイン名の最後に/wp-json/wp/v2/posts/と追記すると、投稿一覧の結果を返してくれます。
REST APIを利用するには、通常、「wp-json(プレフィックス)」と入力します。
入力例は、以下になります。
- https://ドメイン名/wp-json/wp/v2/posts/:投稿一覧
- https://ドメイン名/wp-json/wp/v2/users:ユーザー名一覧
REST APIを無効化する場合は、まず「REST API の無効化」の「オン」にチェックを入れます。
次に、任意の項目にチェックを入れます。
ユーザー名を隠したい場合は、以下2つにチェックを入れます。
- /wp/v2/users
- /wp/v2/users/(?P<id>[\d]+)
Wordfenceにも同じ機能があるので、XO Securityではなく、Wordfencewの方を利用します。
Wordfenceの設定箇所は、以下になります。
- 管理画面左側メニュー「Wordfence」>「All Options」>「Firewall Options」>「Brute Force Protection」>「Additional Options」>「Prevent discovery of usernames through ‘/?author=N’ scans, the oEmbed API, the WordPress REST API, and WordPress XML Sitemaps 」
初期値「空白」のまま、無視します。
4-5-2.REST API URL の変更
チェックを入れると、REST API URLを変更できます。
REST API URLは、初期値(通常)だと「wp-json(プレフィックス)」になります。
ログインURLの変更と同じように、REST APIのURLである「wp-json(プレフィックス)」を変更すれば、REST APIを利用されにくくなります。
プレフィックスを入力する場合は、16文字以上にします。40文字程度が理想です。
プレフィックスで使用できる文字は、英小文字、数字、ハイフンおよびアンダーバーのみです。
初期値「空白」のまま、無視します。
4-6.秘匿
「XO Security 設定」画面で「秘匿」タブをクリックすると、「秘匿」画面になります。
4-6-1.投稿者アーカイブの無効化
チェックを入れると、投稿者のユーザー情報を隠します。
プラグイン「Edit Author Slug(エディットオーサースラッグ)」でも、ユーザー名を隠せます。
Edit Author Slugと同じようにXO Securityを使うなら、この項目「投稿者アーカイブの無効化」機能をオンにします。
Wordfenceでは、REST APIを含めた全てのユーザー名を隠す設定ができるので、Wordfenceで設定します。
Wordfenceの設定箇所は、以下になります。REST APIと同じ項目です。
- 管理画面左側メニュー「Wordfence」>「All Options」>「Firewall Options」>「Brute Force Protection」>「Additional Options」>「Prevent discovery of usernames through ‘/?author=N’ scans, the oEmbed API, the WordPress REST API, and WordPress XML Sitemaps 」
初期値「空白」のまま、無視します。
4-6-2.コメント投稿者クラスの無効化
チェックを入れると、コメント投稿者のユーザー情報を隠します。
Wordfenceでは、REST APIを含めた全てのユーザー名を隠す設定ができるので、Wordfenceで設定します。
Wordfenceの設定箇所は、以下になります。REST APIと同じ項目です。
- 管理画面左側メニュー「Wordfence」>「All Options」>「Firewall Options」>「Brute Force Protection」>「Additional Options」>「Prevent discovery of usernames through ‘/?author=N’ scans, the oEmbed API, the WordPress REST API, and WordPress XML Sitemaps 」
初期値「空白」のまま、無視します。
4-7.環境
「XO Security 設定」画面で「環境」タブをクリックすると、「環境」画面になります。
4-7-1.IP アドレス取得方法
IP アドレス取得方法の取得方法を、以下から選択できます。
- 自動:123.45.67.890
- REMOTE_ADDR:123.45.67.890
- X_FORWARDED_FOR: Client:(未定義)
- X_FORWARDED_FOR: Proxy1:(未定義)
- X_FORWARDED_FOR: Proxy2:(未定義)
- HTTP_X_REAL_IP:123.45.67.890
- HTTP_CLIENT_IP:(未定義)
通常はロードバランサーを使っていないので、初期値「自動」のまま、無視します。
リモートアドレスとは、IPアドレスのこと。
X-Forwarded-Forとは、HTTPヘッダの中のフィールドにクライアントのIPアドレスを挿入することが可能な機能のこと。
これにより、ロードバランサーなどが中間に入ってWebサーバに対するアクセスで送信元IPが変換されてしまっても、実際のクライアントIPアドレスを知ることが可能になります。
ロードバランサーとは、サーバーにかかる負荷を、平等に振り分けるための装置のこと。
これにより、1つのサーバーにかかる負担を軽減したり、停止状態を防ぐことができます。
4-8.ログインログ
管理画面左側メニュー「ユーザー」>「ログインログ」をクリックすると、「ログインログ」画面になります。
ログインログ画面では、以下の情報が表示されます。
- 日時
- 結果:成功か失敗か
- IPアドレス:ログイン時のIPアドレス
- タイプ:どのようなページの種類か
- 言語:ログイン時の言語で国を判断する。
- ユーザーエージェント:デバイスの情報など
- ユーザー名
- パスワード:ログイン成功時は、pわすWordがログに記録されない。
簡易的なログインログは、ダッシュボードで確認できます。
失敗回数がなぜか増えていたら、「ログインログ」画面で詳細なログインログを確認します。
もしサイトが攻撃を受けていたら、Wordfenceで改めて確認、対処します。
具体的な方法は、以下の記事を参考にしてください。
Wordfenceの使い方、画面の見方を6万文字で解説
5.まとめ
総合セキュリティプラグイン「Wordfence」を主軸とした場合、補助としてXO Securityができることは、以下になります。
- ワンタイムパスワード対策
- ログインページ変更
- ログインIDをユーザー名のみにする
ワンタイムパスワード対策ができるのはXO Securityだけなので、ぜひ入れておきましょう。
