【WordPressログインURL変更】XO Securityの設定方法【プラグイン】

XO Security
悩んでいる人

ログインURLを変更したい…

WordPress(ワードプレス)の初期には、最低限やっておきたいセキュリティ対策があります。

ログインURLの変更もその1つで、いくつかのWordPressプラグインで対応可能ですが、今回は簡単にできる「XO Security」を選びました。

ログインURL変更のほかにも設定できるセキュリティ対策がありますので、合わせて解説していきますね。

この記事を書いた人

この記事を書いている僕は、2021年8月ブログ開始。最初の記事がA8コンテスト入賞。3ヶ月目に収益:単月5桁。シンプルなブログ作りを発信。地味にコツコツ、が得意です。

この記事でわかること
  • WordPressのログインURLを変更する方法
  • XO Securityで対応可能なその他のセキュリティ対策
目次

XO Securityとは

XO Securityは、ログイン関連のセキュリティレベルを高めたいときに、よく使われるプラグインの1つです。

WordPressプラグインは外国製が多いですが、「XO Security」は国産(日本製)のプラグインですので初心者や英語が苦手な方でも安心して利用できます。

XO Securityを選んだ理由

当ブログを始める前は「SiteGuard WP Plugin」を使っていました。

SiteGuard WP Pluginも国産(日本製)かつ有名なセキュリティ対策プラグインです。

ただ、WordPressテーマ「SWELL」と干渉するらしく(SWELL公式サイト参照)、今回はXO Securityを選びました。

ジュンペイ

当ブログはSWELLを使っています

XO Securityの設定はとても簡単で便利ですよ。

XO Securityで行うセキュリティ対策

次のセキュリティ対策をXO Securityで行います。

対策が必要な理由につきましては、上記の「セキュリティ対策」の記事をご覧ください。

XO Securityで行う対策
  1. ログイン環境を設定する
    1. ログインURLを変更する
    2. ログインCAPCHAを設定する
    3. ログイン試行回数を制限する
    4. ログインエラーメッセージを簡略化する
    5. ログインログを記録する
  2. 投稿者アーカイブを無効化する
  3. コメントをスパムから保護・コメント投稿者クラスを削除する
  4. WordPressのバージョン情報を削除する
  5. XML-RPCを無効化する
  6. REST APIを無効化する

XO Securityのインストール方法

「プラグインを追加」画面

WordPress管理画面の左側にある[プラグイン]⇒[新規追加]メニューをクリックしますと、「プラグインを追加」の画面が出てきます。

①右上の検索ボックスに「XO Security」と入力します。

②検索結果に出てきたXO Securityの「今すぐインストール」をクリックします。

有効化の画面

インストールされると「有効化」ボタンが出てきます。

③「有効化」ボタンをクリックします。

WordPress管理画面の左側にある[設定]のサブメニューに「XO Security」が追加されていたら、有効化完了です。

XO Securityの設定方法

WordPress管理画面の左側にある[設定]⇒[XO Security]メニューをクリックしますと、「XO Security 設定」の画面が出てきます。

各設定の理由については後ほど解説しますね。

設定ステータス

「ステータス」タブ画面

画面上部にいくつかタブが並んでいます。最初の「ステータス」タブでは、設定ステータスの一覧が表示されます。

この設定ステータスでは、設定済みの項目にチェックが入っており、何を設定したかが一目でわかるようになっています。

ログイン

「ログイン」タブ画面

「ログイン」タブをクリックします。

①ログインの「試行回数制限」欄で、「1時間の間に」を選び、リトライ許可の回数を「3回」にします。

②「ブロック時の応答遅延」欄を、「120秒」にします。

③「失敗時の応答遅延」欄を、「10秒」にします。

④「ログインページの変更」欄をオン(有効)にし、ログインファイル名を入力します。

※ ログインファイルで使用できる文字は、英小文字、数字、ハイフンおよびアンダーバーのみです。

仮に当ブログでログインファイル名を「abcde」とした場合、ログインURLは https://saishono.blog/abcde.php になります。

ログインファイル名を忘れるとログインできなくなりますので、必ずメモしておきましょう。

⑤「ログインIDの種類」欄で、「ユーザー名またはメールアドレス」を選びます。

⑥「ログインエラーメッセージ」欄で、「簡略化」を選びます。

⑦ログインフォームの「CAPTCHA」欄で、「ひらがな」を選びます。

⑧「パスワードリセットリンク」欄で、「有効」を選びます。

⑨「サイトへ移動リンク」欄で、「無効」を選びます。

⑩ログインアラートの「ログインアラート」欄をオン(有効)にします。

画面左下の「変更を保存」ボタンを押します。

コメント

「コメント」タブ画面

「コメント」タブをクリックします。

①「CAPTCHA」欄で、「ひらがな」を選びます。

②「スパム保護フィルター」欄で、「日本語文字を含まない」をオン(有効)にします。

③「スパムコメント」欄で、「ブロックする」を選びます。

④「ボット保護チェックボックス」欄をオン(有効)にします。

画面左下の「変更を保存」ボタンを押します。

XML-RPC

「XML-RPC」タブ画面

「XML-RPC」タブをクリックします。

①「XML-RPCの無効化」欄をオン(有効)にします。

②「XML-RPC ピンバックの無効化」欄をオン(有効)にします。

画面左下の「変更を保存」ボタンを押します。

REST API

「REST API」タブ画面

「REST API」タブをクリックします。

①「REST API の無効化」欄をオン(有効)にします。

②REST APIの一覧を下にスクロールして、「/wp/v2/users」と「/wp/v2/users/(?P[\d]+)」にチェックを入れます。

画面左下の「変更を保存」ボタンを押します。

秘匿

「秘匿」タブ画面

「秘匿」タブをクリックします。

①ユーザー名の「投稿者アーカイブの無効化」欄をオン(有効)にします。

②「コメント投稿者クラスの削除」欄をオン(有効)にします。

③WordPressバージョンの「バージョン情報の削除」欄をオン(有効)にします。

画面左下の「変更を保存」ボタンを押します。

環境

「環境」タブ画面

①ログインログの「自動削除」欄で、「30日以前」を選びます。

②「デフォルトで表示する結果」欄で、「すべての結果」を選びます。

画面左下の「変更を保存」ボタンを押します。

これで、すべて設定完了です。

ジュンペイ

おつかれさまでした!

各設定について

ログインの「試行回数制限」

試行回数制限の時間は、1、12、24、48時間から選べます。

本記事の設定「1時間の間に」「3回までリトライを許可する」にしますと、不正ログインの集中攻撃を防げます。

また、自分でログインに3回失敗しても、1時間たてばロックが解除されるのでおすすめです。

ログインの「ブロック時の応答遅延」

ブロック時の応答遅延は、0〜120秒の間で設定します。

不正ログインの集中攻撃等を回避するものなので、最大値の120秒にしましょう。

ログインの「失敗時の応答遅延」

失敗時の応答遅延は、0〜10秒で設定します。

これも不正ログインの集中攻撃等を回避するものなので、最大値の10秒にしましょう。

ログインの「ログインIDの種類」

ログインIDの種類は「ユーザー名またはメールアドレス」「ユーザー名のみ」「メールアドレスのみ」から選べます。

ログイン可能なメールアドレスを公開している方は「ユーザー名のみ」にしたほうがいいかもしれません。

ログインフォームの「CAPTCHA」

CAPTCHAは、英数字、ひらがな、から選べます。好きなほうでかまいません。

本記事では「ひらがな」にしています。

ログインフォームの「パスワードリセットリンク」

パスワードリセットリンクは、パスワードを忘れたときのため有効にします。

ログインフォームの「サイトへ移動リンク」

サイトへ移動リンクは、個人の好みです。あったほうがいい方は有効にしましょう。

本記事では「無効」にしています。

コメントの「CAPTCHA」

CAPTCHAは、英数字、ひらがな、から選べます。好きなほうでかまいません。

本記事では「ひらがな」にしています。

コメントの「スパムコメント」

スパムコメントは「ブロックする」「スパムとして保存する」「ゴミ箱へ入れる」から選べます。好きなものでかまいません。

本記事では「ブロックする」にしています。

REST APIの「REST API の無効化」

/wp/v2/users」と「/wp/v2/users/(?P[\d]+)」を無効化することで、ユーザー名を隠せます。

REST APIの無効化は他のプラグインに影響することがあります。上記の2つ以外にチェックを入れるときは事前確認しましょう。

WordPressバージョンの「バージョン情報の削除」

バージョン情報の削除は、SWELLユーザーならWordPressテーマ側でも設定できます。

WordPressテーマかプラグインのどちらか一方を設定すれば大丈夫です。

ログインログの「自動削除」

自動削除は「自動削除しない」「30日以前」「365日以前」から選べます。

ログインログをあまり長く取っておく必要はないと思いますが、好きなものでかまいません。

本記事では「30日以前」にしています。

ログインログの「デフォルトで表示する結果」

デフォルトで表示する結果は「すべての結果」「失敗」「成功」から選べます。

ログインログに残したい結果を選択します。

本記事では「すべての結果」にしています。

設定の注意点(全体)

最近は、WordPressテーマやプラグインが多機能化しています。

本記事で紹介しました「投稿者アーカイブの無効化」や「WordPressバージョン情報の削除」など、WordPressテーマや他のプラグインで設定できることもあります。

両方で設定してうまく動かないときは、どちらか一方だけ設定しましょう。

ログインURLを忘れてしまったときは

コーヒーのイラスト

XO Securityで設定したログインURLを忘れてしまったときは、FTPソフト等でサーバーにログインして、XO Securityで作成したログインファイル名を確認します。それでも思い出せないときは、XO Securityのフォルダ名を変更して無効化します。

すると、WordPressに元からあるログインファイルが復活して、ログインできるようになりますよ。

▼WordPressのログインURLを忘れたときの対処法

今回は以上になります。

本記事で紹介したリンク

よかったらシェアしてね!
目次