読了目安時間は約 5 分です。
WordPressのセキュリティプラグインとしてよく名前が上がる「SiteGuard」ですが、それに勝るとも劣らないのが「XO Security」です。
「SiteGuard」でも十分ですが「XO Security」の方がより多機能でかゆいところに手が届く仕様です。
便利なところ
- これひとつでセキュリティは十分
- セキュリティプラグインの中では設定が簡単。
- SiteGuardと違って.htaccessへ書き込みしない
- ログインを複数回失敗すると応答が遅くなり不正アクセスを排除できる
.htaccessは非常に重要なファイルで、WordPressにアクセスできなくなる可能性もるので初心者は触れてはいけないものです。SiteGuardが.htaccessに悪さをすることはまず無いでしょうが、書き込みが少ない方がより安心できます。応答遅延も効きますよ!
使い方
プラグインをインストールして有効化します。
あとは各種設定していきます。
設定
ステータス
設定状況が確認できます。設定されていればチェックが入ります。
ログイン
基本的に全てオンでOKです。
試行回数制限
同じIPアドレスで何回ログインに失敗すると何時間ログインできなくなるか指定できます。最大値でもよいのですが、本当に間違えた時に面倒なことになるので12時間で3回までぐらいが妥当なところでしょうか。
ブロック時の応答遅延
120秒でOK
失敗時の応答遅延
10秒でOK
ログインページの変更
オンにした方がいいのですが、ログインできなくなるので必ずURLを控えておきましょう。自信がなければオフでも大丈夫です。
ログインアラート
オンでOKですが、不正にログインされた時点でアウトなので意味はないかも…煩わしければオフでも問題ありません。
ログインメッセージの変更
オン
メールアドレスによるログインの無効化
オンの方が良いですが、どうしてもメールアドレスでログインしたい場合(WooCommerceなどECサイトでお客さんがログインする場合など)はオフでも大丈夫です。
ログイン言語制限
変更できませんのでそのままでOK
ログイン CAPTCHA
「ひらがな」にしましょう。不正アクセスは海外からが多いので、それだけで強固になります。
ログインログの自動削除
30日以前か356日以前どちらでもOKです。
コメント
基本的に全てオンでOKです。
CAPTCHAは「ひらがな」で。
コメント欄自体を無くすのが一番いいかも?
XML-RPC
基本的に全てオンでOKです。
XML-RPCを利用した機能が動かない場合は無効化しましょう。
REST API
REST API は無効化すると使えなくなるプラグインがあったりするので、下記のみ無効化するのでOKです。
REST APIの無効化
オンにして/wp/v2/users /wp/v2/users/(?P<id>[d]+)だけにチェックを入れます。
REST API URLの変更
???ここはオフにしましょう。
/wp/v2/users
/wp/v2/users/(?P<id>[d]+)
この2つはユーザー名がわかってしまうので無効化しましょう。
WordPressのユーザー名はあの手この手で結構バレやすいです。ユーザー名がバレるとログイン情報の半分が判明したことにななりますが「ログイン」の設定が概ね十分なら大丈夫でしょう。
「REST API URLの変更」は…正直よくわかりません。ここはオフ推奨です。
秘匿
基本的に全てオンでOKです。
ユーザー名を隠せます。
ログインログ
ログが確認できます。
まとめ
「SiteGuard」は利用者も多く安心できますので。すでに利用されているならそのままでも問題ないのです。これから立ち上げるなら「XO Security」を検討しては如何でしょうか?
