セキュリティ系プラグイン「XO Security」と「 BBQ Firewall」の組み合わせが最高

セキュリティ対策とユーザビリティ(利便性)はトレードオフです。

あまりにセキュリティをガッシリ強化してしまうと、ログインのたびに通知が来たり、何度もパスワードを求められたりと使い勝手は良くありません。

逆に手を抜きすぎると、不正アクセスや改ざんといったリスクが伴います。

セキュリティ系プラグインで有名な「Wordfenc」も試してみましたが、設定がとにかくややこしい

今回は自分の中で最適解というべきセキュリティ系プラグインが決まりましたので、ご紹介したいと思います。

この記事がおすすめの人

  • 最低限のセキュリティ対策はしたい
  • 難しい設定は苦手
  • 日本語が良い
目次

「XO Security」 と「 BBQ Firewall」をインストール

難しい話は無しにして、「XO Security」 と「 BBQ Firewall」をインストールし有効化します。

  1. XO Security→ログイン系セキュリティ
  2. BBQ Firewall→ファイアウォール機能

この2つでセキュリティ対策はとりあえずOKと言えるでしょう。

設定不要!「BBQ Firewall」

こちらは、有効化するだけで不正な攻撃をブロックしてくれるというものです。

主には、SQLインジェクション(データベース不正操作)やXSS(ページ脆弱性攻撃)など。

  • 設定項目は無し
  • データベースを変更しない
  • .htaccessに記述しない
  • 軽量で他プラグインと競合しない

神プラグインです。

日本語対応!「XO Security」

こちらは、ログイン系のセキュリティを強化できるプラグインとなっています。

  • ログイン画面に日本語入力を追加
  • ログイン試行回数制限の設定
  • メールアドレスでのログイン無効
  • スパムコメントをブロック

などなど、どのような設定をしたか「ステータス」で一目でわかるという優れたプラグインです。

設定方法は以下で説明します。

「XO Security」の設定

必要な箇所だけ設定します。

ログイン

ログイン ID の種類ユーザー名のみ
CAPTCHAひらがな
ログインエラーメッセージ簡略化(何がエラーかを隠す)

ログインIDはユーザー名のみに絞り、メールアドレスが漏れた場合でのログイン試行を防ぎます。

また「ひらがな」を追加したことで、海外からのAIボットによる不正ログインは高い確率で防げるかと思います。

設定しなかった項目について

試行回数制限をしないのは、「エックスサーバー」ですでに同じ機能が備わっているため不要としました。
必要であれば設定しても良いかもしれません。

また、個人的には「ログインページの変更」はしない派です。
入り口を変更するよりも、強固なパスワードで対策した方がセキュリティ的に強力と判断しているからです。

ログインURLが何かしらのトラブルで分からなくなった場合、復旧が結構めんどくさいからという理由もあります。

コメント

CAPTCHA無効
スパム保護フィルターなし
スパムコメントブロックする
ボット保護チェックボックスON

一旦チェックボックスのみで対策して、スパムコメントが来るようであれば必要に応じて有効化します。

デフォルトでインストールされている「Akismet Anti-Spam (アンチスパム)」は機能がかぶるので、アンインストールしてもOKです。

XML-RPC

XML-RPC の無効化なし(ブルートフォースアタック対策)
XML-RPC ピンバックの無効化ON(DDoS攻撃対策)

XML-RPCは、スマホアプリから記事をリモート投稿できるなどWordPressを外部からコントロールできる(リモート操作)機能です。

無効化することでブルートフォースアタック対策はできるのですが、以下のデメリットが発生します。

  •  XML-RPC を使っている一部プラグインが動かなくなる
  • 今後XML-RPCを使った便利機能が追加された時に利用できなくなる

そのため、DDoS攻撃対策であるピンバックのみ無効化「ON」にしました。

REST API

REST APIは「ContactForm7」などでも使われているため、むやみに無効化するのはNGです。

ユーザー情報が特定されないように、以下の2つのみ設定(無効化)します。

  • /wp/v2/users
  • /wp/v2/users/(?P<id>[\d]+)

ユーザー情報が隠されているか確認

URLの末尾に「/wp-json/wp/v2/users」もしくは「/?rest_route=/wp/v2/users」
をつけてアクセスして、スラッグなどユーザー情報が表示されなければOKです。

秘匿

SWELLの公式プラグインSEO SIMPLE PACKで、「著者」のアーカイブページは使用しないに設定しているのでここは特にいじりません。

XO Securityで設定する場合は、「投稿者スラッグの編集」や「投稿者アーカイブの無効化」を必要に応じて設定します。

著者アーカイブページが隠されているか確認

URLの末尾に「/?author=1」でアクセスして、著者のページが表示されなければOKです。

環境

ここも特にいじりません。

設定は自分のサイト環境に応じて

設定に関して細かく解説はしませんでしたが、今回ご紹介した部分だけでも設定しておくことで必要最低限のセキュリティ対策は出来たのではないかと思っています。

繰り返しますが、セキュリティ対策とユーザビリティ(利便性)はトレードオフです。

快適にサイト運営するためにも、自分の納得できるポイントを探してみて下さい。

以上、セキュリティ系のプラグイン「XO Security」と「 BBQ Firewall」のご紹介でした。

ブログのカスタマイズでお困りではないですか?

CSSの設定やWordPressの設定、もっと好みにカスタマイズしたいと思ったら「Web制作のスクール」がおすすめです!

おすすめするのは業界最安値、SNSでも話題のデイトラ

私はWebデザインとWeb制作の2コースを受講して、現在フリーランスとして活動中。
どんなデザインも自由にカスタマイズできるようになりました。

その他にも動画作成、ドローン、Webマーケティングなどさまざまなコースがありサポートも充実。気になった方は是非アクセスしてみてください!

>>Web制作コースを見てみる

別途、Webサイトやブログのカスタマイズのご依頼も受け付けております。
お気軽にご相談ください…!

この記事が気に入ったら
フォローしてね!

よかったらシェアしてね!

コメント

コメントする

目次