今回は「XO Security」の導入手順について書いていきます。
これを取り入れたらWordPressのログインURL変更できたり、ログイン試行回数を設定できたり、攻撃に使われそうな情報を隠せたり、つまりセキュリティが向上します。
私は以下のサイトを参考にして設定していきました。
インストール手順
WordPress管理画面にログインし、「プラグイン」→「プラグインを追加」でプラグインの追加画面に移動します。
移動した先にある検索窓に「XO Security」と入力します。(「xo」でも出てきます。)
出てきた検索結果の中で以下画像のプラグインを見つけたら、「今すぐインストール」をクリックします。
インストールが完了したら「有効化」ボタンを押して有効化しましょう。
これでインストールは完了です。
プラグインの設定
インストールしたらプラグインの設定をしていきます。
WordPress管理画面左側のメニューから「設定」→「XO Security」をクリックします。
ログイン設定をする
ログイン設定をしてきます。これは、主にブルートフォース攻撃(総当たり攻撃)対策の設定です。
ブルートフォース(総当たり攻撃)とは、読んで字のごとく片っ端からIDやパスワードを試していってログインしようとする攻撃のことです。
ログイン設定の全体は以下です。特にこだわりがなければこの通りに入力して「変更を保存」ボタンを押していただければいいかと思います。
個別に説明していきます。まずは試行回数や応答遅延の設定です。
| 試行回数制限 | ログインの試行回数を制限します。 たとえば「1時間の間に5回までリトライを許可する」の場合、5回目で間違えたら1時間の間ログインができなくなります。 |
| ブロック時の応答遅延 | ブロックされているのにログインしようとした時の応答時間を設定します。 ここの時間を長くとることで、攻撃者にとってめんどくさいサイトになれます。 |
| 失敗時の応答遅延 | ログイン失敗した時の応答時間を設定します。 ここの時間を長くとることで、「なんか画面表示遅いな、もしかしてユーザー名かパスワード間違ってた?」と気づけます。もちろん攻撃者にとってめんどくさいサイトになれます。 |
次はログインURLの変更についてです。ここが一番大事だと思います。
WordPressのログイン画面は通常、「https://(サイトのドメイン)/wp-admin(または/wp-login.php)」のようなURLになっています。つまり、サイトのトップページのURLがあれば、その末尾に「/wp-admin(または/wp-login.php)」と追加するだけでログイン画面までは簡単に行けてしまいます。
ここでログイン画面のURLを変えるということは、「そもそもログイン画面にたどり着けないようにして、攻撃できないようにするぞ!」ということなのです。
※ここでURL変更したら、変更後のURLはメモ帳などに控えておきましょう。自分でログイン画面にたどり着けなくなったら本末転倒です。
次はログインIDなどについてです。
ログインIDは「ユーザー名またはメールアドレス」がデフォルト設定ですが、「ユーザー名」に変更しています。
ログイン言語制限については何もしていません。
ログインエラーメッセージについては「簡略化」を選択、2要素認証についてはとりあえず有効化しませんでした。
その下の「ログインフォーム」の「CAPTCHA」については、以下の画像の赤枠内みたいな認証を付けますか? という設定項目です。
海外からの攻撃などには「ひらがな」が効果的らしいのでそれを設定しました。
「パスワードリセットリンク」と「サイトへ移動リンク」は以下画像の赤枠内のリンクです。
特に消す理由もなかったので有効にしたままにしました。
そして、設定画面の一番下にあるログインアラート、これをONにしたら紐づけられているメールアドレスに「○○がログインしましたよ」と通知が来ます。
不審者の侵入にいち早く気付けるようになるので、ONにしておくのがいいと思います。
これでもろもろの設定が終わりましたので、「変更を保存」ボタンを押してログイン設定は完了です。
コメント設定
ここについては設定保留していて、特に何もしてません。コメント欄についての方針が決まったら設定するつもりです。
XML-RPC設定
ここは以下のように設定しました。
XML-RPCは、遠隔操作で記事の投稿を指示できたりする機能で、ブルートフォース攻撃によく悪用される機能なのだそうです。私は以下の記事を見て無効化することにしました。
XML-RPCピンバックの方は、もともとはブロガー同士のコミュニティ機能だったとのことですが、DoS攻撃やら踏み台攻撃やらに悪用される危険性があるらしいので、無効化をONにしました。
設定が完了したら「変更を保存」ボタンを押します。
REST API設定
ここもコメント設定同様、特に何もしてません。
ここを編集しすぎると、プラグインが動かなくなるなどの不都合が生じることがあるようです。
秘匿設定
ここは全てONにしました。
調べてみましたが、要するに「攻撃に利用されてしまいそうな情報は隠す」という設定のようです。変更したら「変更を保存」ボタンを押します。
補足:「投稿者スラッグの編集」をONにしたら、「ユーザー」→「プロフィール」から「投稿者スラッグ」を編集することをお勧めします。
ログインIDはそのままに、見た目(URL)だけ変更できます。
これをすることで、万が一著者ページが露出した時に、ログインIDを推測されることを防ぎます。
編集したら忘れずに「プロフィールを更新」ボタンを押しましょう。
メンテナンス設定
これは、サイトの大規模な改造時に一時的にONにすることで、管理者以外にサイトを閲覧できなくさせる機能です。
試しにONにしてシークレットモードで確認してみましたが、サイトを表示させようとしたら以下のような画面が表示されました。
よって、普段はOFFのままにしておきましょう。
環境設定
ここも特に変更は加えていません。
設定完了
これで「XO Security」の設定は完了です。お疲れ様でした!
次は「EWWW Image Optimizer」というプラグインについて解説していきます。画像ファイルの容量を軽くして、サイトの表示速度を改善してくれるプラグインです。
コメント