【初心者向け】「XO Security」の設定方法|セキュリティを強化しよう

「XO Securityをインストールしたけど、どこを設定すればいいかわからない…」
「初心者がやるべき最低限の設定を教えてほしい」
こんな悩みに応えます。
WordPressを始めたら、サイトを守るために必要になるのがセキュリティプラグインです。
今回ご紹介する「XO Security」は、設定画面が日本語対応でシンプルなので、初心者の方でも迷わず使えるのが嬉しいところです。
カメちゃん記事の流れに沿っていけば設定が完了しますよ!
セキュリティ対策プラグイン「XO Security」の導入が必須な理由

WordPressは世界中で使われているため、不正アクセスやハッキングの標的になりやすいです。
WordPressは、初期状態ではセキュリティが十分ではないため、プラグインを使って対策しておくことが重要になります。
XO Securityを導入することで、下記のような対策ができるので、リスクを大幅に減らすことができますよ。
✅XO Securityで対策できること
- ログインページのURLを変更して、不正アクセスを防ぐ
- ログイン試行回数を制限して、総当たり攻撃を防ぐ
- ユーザー名やバージョン情報を隠して、攻撃の手がかりを与えない
設定も日本語でシンプルなので、サクッと設定しておきましょう。
XO Securityのインストール方法

まずは、XO Securityをインストールしていきましょう。
カメちゃん3STEPで簡単にできますよ!
✅XO Securityのインストール方法(3STEP)
WordPress管理画面の「プラグイン」→「プラグインを追加」をクリックしましょう。

右上のプラグインの検索に「xo security」と入力します。

XO Securityの「今すぐインストール」をクリックします。
続いて、「有効化」をクリックしましょう。


以上で、XO Securityのインストールは完了です。
XO Securityの設定方法

続いて、XO Securityの設定をしていきましょう。
まず、WprdPress管理画面の「プラグイン」→「インストール済みプラグイン」にアクセスして、XO Securityの「設定」をクリックしてください。

すると、下記のようにXO Securityの設定画面が開きます。
最初は「ステータス」タブが選択されており、「ログインログ記録」のみが有効になっています。

この記事では、タブごとにおすすめの設定をご紹介していきます。
今回は、初心者の方が最短でできる最低限の設定方法の解説です。
あくまで一例ですので、ご自身の利用状況に合わせて設定は変更してください。
ログインタブ
ログインタブでは、WordPressのログインに関する設定ができます。
おすすめの設定は、以下の通りです。

一つずつ詳しく解説していきます。
✔︎試行回数制限

ログインの試行回数を制限できます。
ロボットによる総当たり攻撃や自分で失敗した時のことを考えると、「1時間の間に」「3」回までリトライを許可するに設定しておくのがおすすめです。
✔︎ブロック時の応答遅延

ログインをブロックした時に、応答を遅らせる設定ができます。
おすすめの設定は、最大の「120秒」です。
数値が大きいほど、不正アクセスへの抑止力が高まりますよ。
✔︎失敗時の応答遅延

ログインに失敗した時に、応答を遅らせる設定ができます。
おすすめの設定は、最大の「10秒」です。
こちらも数値が大きいほど、不正アクセスへの抑止力が高まります。
✔︎ログインページの変更(※重要)

ログインページのURLを変更できます。ここは最も重要なセキュリティ設定の一つです。
最初の設定では、サイトURLの末尾に「/wp-login.php」と入力するだけで、誰でもログイン画面にアクセスできてしまいます。
この「wp-login」の部分を任意の文字列に変更することで、不正アクセスを大幅に防ぐことができますよ。

変更後のURLは必ずメモかスクリーンショットを撮っておきましょう。忘れてしまうとログインできなくなるので注意してください。
変更後のURLでログインする時は、ブラウザのアドレスバー(上部のURL入力欄)に直接入力してアクセスしてください。検索窓に入力しても表示されませんので注意してくださいね。
✔︎ログイン IDの種類

ログインする時のIDの種類を3つから選択することができます。
おすすめの設定は「ユーザー名のみ」です。
メールアドレスは第三者に知られる可能性があるので、ユーザー名のみにしておきましょう。
✔︎ログイン言語制限

ログインを許可するブラウザの言語設定を指定できます。
ここは初期設定のまま何もしなくてOKです。
✔︎ログインエラーメッセージ

ログインに失敗した時のメッセージを設定できます。
おすすめの設定は「簡略化」です。
最初の設定のままだと、ユーザー名のみ正しく入力されている場合、エラーメッセージに「ユーザー名」が表示されてしまいます。

「簡略化」に設定することにより、エラーメッセージを「ユーザー名またはパスワードが間違っています」に変更できます。

「簡略化」に設定しておくだけで、セキュリティが一段階上がるので、必ず設定しておきましょう。
✔︎2要素認証

ログイン時にメールやアプリで認証コードを入力する設定です。
初心者の方は初期設定のままでOKです。
セキュリティをさらに強化したい方は設定してみてください。
✔︎CAPTCHA

ログイン時に認証コードを入力させる設定です。
おすすめの設定は「ひらがな」です。
「英数字」と「ひらがな」が選べますが、ひらがなは日本語環境特有の文字のため、海外からの不正アクセスに対してより効果的です。
設定すると、ログインページにCAPTCHAコードの入力欄が表示されます。

✔︎パスワードリセットリンク

WordPressログイン画面の「パスワードをお忘れですか?」リンクを表示するかどうかの設定です。
初期設定の「有効」のままでOKです。
無効にするとセキュリティは上がりますが、自分がパスワードを忘れたときにリセットできなくなるので、「有効」のままにしておきましょう。

✔︎サイトへ移動リンク

ログインページに表示されている「◯◯◯◯(サイト名)へ移動」のリンクを表示するかどうかの設定です。
どちらでもOKですが、クリックするだけでサイトのトップページに移動できるため、利便性を考えると「有効」がおすすめです。

✔︎ログインアラート

ログインがあったときにメールで通知が届く設定です。
不正ログインにすぐ気づけるので、セキュリティ対策として有効ですが、自分のログインでも通知が届くため、頻繁に管理画面にアクセスする方は通知が多くなります。
初心者の方は「オフ」でOKです。
カメちゃん設定が終わったら、必ず画面下の「設定を保存」をクリックしておいてくださいね!
コメントタブ
コメントタブでは、スパムコメント対策の設定ができます。
SWELL初期設定記事でコメント欄を非表示にした方は、初期設定のままでOKです。
コメント欄を使用している方に、おすすめの設定をご紹介していきます。
✔︎CAPTCHA

コメント投稿時に認証コードの入力を求める設定です。
おすすめの設定は「ひらがな」です。
「英数字」と「ひらがな」が選べますが、スパムは海外からの攻撃が多いため、日本語入力の「ひらがな」に設定しておくとより効果的ですよ。

✔︎スパム保護フィルター

スパムコメントを自動でフィルタリングする設定です。以下の2つをONにしておきましょう。
- 日本語文字を含まない
- スパムとして保存されているコメントのメールアドレス
日本語のブログに外国語でコメントがつくことはほぼないため、海外からのスパムや過去にスパム判定されたメールアドレスからのコメントを自動でブロックできます。
✔︎スパムコメント

スパム判定したコメントの取り扱いを3つから設定できます。
- ブロックする
- スパムとして保存する
- ゴミ箱へ入れる
スパム自体を受け付ける必要がないので、「ブロックする」に設定しておきましょう。
✔︎ボット保護チェックボックス

コメント投稿フォームに「私はロボットではありません。」というチェックボックスを追加できます。
CAPTCHAを設定している場合は、「オフ」設定でOKです。
スパム対策をさらに強化したい方は「オン」にしてもいいですが、コメント投稿の手間が増えるため、読者の使いやすさを考えると「オフ」でOKです。

コメントタブの設定が全て完了したら、画面下の「設定を保存」をクリックしておいてください。
XML-RPCタブ

XML-RPCとは、WordPressを外部から遠隔操作するための仕組みです。
WordPressのモバイルアプリから記事を投稿する際に使われています。
悪用されると不正ログインやDoS攻撃のリスクがあるため、モバイルアプリを使用していない方は「無効化」しておくのがおすすめです。
✅ONにする項目
- XML-RPCの無効化
- XML-RPCピンバックの無効化
XML-RPCタブの設定が全て完了したら、画面下の「設定を保存」をクリックしておいてください。
REST-API

REST APIとは、WordPressを外部から操作するための仕組みです。
設定を誤るとプラグインが正常に動かなくなる場合があるので、全て無効化するのではなく、ユーザー名が外部に漏れるリスクのある以下の「2つ」だけチェックを入れて無効化しておきましょう。
✅チェックを入れる項目
- /wp/v2/users
- /wp/v2/users(?P<id>[/d]+)
カメちゃん画面を少し下にスクロールするとチェック項目が出てきますよ。
REST-APIタブの設定が全て完了したら、画面下の「設定を保存」をクリックしておいてください。
秘匿

秘匿タブでは、WordPressのユーザー名やバージョン情報など、不正アクセスの手がかりになる情報を外部から見えないようにする設定ができます。
下記の項目にチェックを入れるのがおすすめです。
✅チェックを入れる項目
- 投稿者スラッグの編集
- 投稿者アーカイブの無効化
- コメント投稿者クラスの削除
- oEmbed ユーザー名の削除
- バージョン情報の削除
- readme.html の削除
それでは、順番に解説していきます。(チェックを入れない項目に関しても解説します)
✔︎投稿者スラッグの編集

ユーザー名が、URLに表示されないようにするための設定です。
WordPressでは「https://ドメイン名/?author/ユーザー名/」というURLにアクセスすると、ユーザー名が表示されてしまいます。
このURLは、投稿者ごとの記事一覧ページで、最初の設定では、ユーザー名がそのまま使われています。
このままだと不正ログインの手がかりになってしまうため、「投稿者スラッグの編集」でURLのユーザー名部分を別の文字列に変更しておきましょう。
このあとの「投稿者アーカイブを無効化」設定で、アーカイブページ自体を無効化している場合は、オフでもOKです。
「秘匿」タブの「投稿者スラッグの編集」をオン→「変更を保存」すると、WordPress管理画面の「ユーザー」→「プロフィール」→「投稿者スラッグ (Nicename)」から変更ができるようになります。

変更後のURLは、https://ドメイン名/author/変更後の文字列 になります。
設定後は「https://ドメイン名/author/ユーザー名/」にアクセスしても404エラーになります。著者ページ自体は、変更後の文字列のURLでアクセスできますよ。
入力ができたら、画面下の「プロフィールを更新」をクリックして完了です。
✔︎投稿者ベースの編集

WordPressのパーマリンク設定画面に、投稿者ベースを編集できる入力欄を追加する機能です。

投稿者ベースとは、投稿者アーカイブURLの「author」の部分のことです。
例:https://ドメイン名/author/ユーザー名/
この「author」の部分を別の文字列に変更できる機能ですが、初期設定のままでOKです。
こちらも「投稿者アーカイブを無効化」設定で、アーカイブページ自体を無効化している場合は、オフでOKです。
✔︎投稿者アーカイブの無効化

投稿者ごとの記事一覧ページ(著者ページ)自体を無効化する設定です。
先ほどの「投稿者スラッグの編集」は、URLのユーザー名部分を別の文字列に変更する設定でしたが、こちらは著者ページそのものを無効化します。
個人ブログで著者ページが不要な方は、チェックを入れておきましょう。
✔︎コメント投稿者クラスの削除

コメントを投稿したとき、HTMLのソースコードに「comment-author-ユーザー名」というクラス名が表示されてしまう場合があります。
これを削除することで、ユーザー名が外部に漏れるリスクを防ぐことができます。
「オン」にしておくのがおすすめです。
✔︎oEmbed ユーザー名の削除

oEmbedとは、URLを入力するだけで記事のタイトルやアイキャッチ画像をプレビュー表示する機能です。
この機能を通じてユーザー名が外部に漏れる可能性があるため、「オン」にしておきましょう。
✔︎RSS/Atom フィードの無効化

RSS/Atom フィードとは、ブログに新しい記事が公開されたときに、その情報を読者に自動でお知らせする仕組みです。
初心者の方は使用しないケースがほとんどなので、「オフ」のままでOKです。
使用する方は、全文配信のままだとコピーサイトに記事を丸ごと盗まれるリスクがあるので、「設定」→「表示設定」から、「フィードの各投稿に含める内容」を「抜粋」に変更しておきましょう。

✔︎バージョン情報の削除

WordPressのバージョン情報が、ソースコードに表示されないようにする設定です。
WordPressのバージョン情報が外部から確認できる状態だと、古いバージョンの脆弱性を狙った攻撃を受けるリスクが高まります。
「オン」にしておくのがおすすめです。
✔︎readme.html の削除

ソフトウェアやアプリに付属する説明書をHTML形式で保存したファイルです。
Webブラウザで開くことができ、インストール方法や使い方、注意事項などが記載されています。
WordPressのバージョン情報が外部から確認できてしまう可能性があるため、「オン」にして削除しておきましょう。
カメちゃん設定ができたら、最後に「変更を保存」をクリックしておいてくださいね。
メンテナンス

メンテナンスタブでは、サイトをメンテナンスモードを利用するかどうかの設定ができます。
ONにすると、管理者以外の訪問者には、ログインページ以外のすべてのページがメンテナンス画面として表示されます。
どちらでもOKですが、基本的には「オフ」でOKです。
環境

環境タブは、特にやることはありませんので、初期設定のままでOKです。
以上で、XO Securityの設定はすべて完了です。
XO Securityのよくあるトラブルと対処法

XO Securityの設定後にトラブルが起きた場合、最も多いのが「WordPressにログインできなくなった」というケースです。
せっかくセキュリティを強化したのに、ログインできなくなったら本末転倒ですよね。
カメちゃんでも大丈夫です。私も実際にログインできなくなって焦りましたが、落ち着いて対処したら無事に復旧できました。
ここでは、原因と対処法を3つずつご紹介しますので、順番に試してみてくださいね。
ログインができなくなった場合の原因と対処法
ログインできなくなっても、きちんと原因を把握して順番に対処すれば必ず復旧できます。
まずは、よくある原因を確認しておきましょう。
✔︎よくある原因3つ
- 変更後のログインURLを忘れてしまった
- 入力ミスを繰り返してロックがかかってしまった
- セキュリティプラグインの競合による不具合
それぞれの対処法を解説していきます。
①:「変更後のログインURLを忘れてしまった場合」の対処法
サーバーでの操作が必要になりますので、僕が使っている「ConoHa WING」のやり方を解説していきます。
カメちゃん難しそうに聞こえますが、実際の画面の画像を使って解説していきますので大丈夫ですよ!
それでは、プラグインの名前を変更する方法を解説していきます。
✅「ログインURLを忘れてしまった場合」の対処法
CocoHa WINGのログイン画面を開いたら、「メールアドレス」と「パスワード」を入力して、「ログイン」をクリックしましょう。

左メニューから「サイト管理」→「ファイルマネージャー」をクリックします。

続いて、左メニューから「public_html」→「サイト名」→「wp-content」→「plugins」の順にクリックしていきましょう。

続いて、「XO-Security」の上のマウスカーソルを持っていき、右クリックします。

「リネーム」をクリックして、「XO-Security-off」など、なんでもいいので名前を変更します。

ログインした後、ファイルマネージャーから「変更した名前(今回はXO-Security-off)」→「XO-Security」に戻します。

WordPress管理画面から「インストール済みプラグイン」をクリックして、XO Securityを「有効化」したら完了です。

今後同じトラブルを防ぐために、必ず「設定」→「XO Security」→「ログインページの変更」に表示されているURLをメモかブックマークしておいてください。
②入力ミスを繰り返してロックがかかってしまった場合
ログインの試行回数制限で設定した回数を超えると、一定時間ログインがブロックされます。
設定したブロック時間が経過すると自動で解除されますので、落ち着いて待ちましょう。
この記事でおすすめした「1時間の間に3回」に設定している場合は、1時間待つとロックが自動で解除されます。
解除されたら正しいURLでログインしてみましょう。
③:セキュリティプラグインの競合による不具合
XO Security以外に、「SiteGuard」などのセキュリティプラグインを入れている場合、プラグイン同士が競合してログインできなくなることがあります。
他のセキュリティプラグインを無効化すると不具合が解消されることが多いので、XO Security以外は無効化しておきましょう。
まとめ:XO Securityでセキュリティを強化しよう
今回は、XO Securityの設定方法を解説しました。
✅この記事でやった設定
- ログインページのURL変更
- ログインIDの種類の変更
- 試行回数制限の設定
- ブロック時・失敗時の応答遅延の設定
- ログインエラーメッセージの簡略化
- コメントのスパム対策
- XML-RPCの無効化
- REST APIのユーザー情報の無効化
- 秘匿設定(ユーザー名・バージョン情報の削除など)
XO Securityの設定が完了したら、WordPressのセキュリティ対策はひとまずOKです。
その他のおすすめプラグインの設定方法は、こちらの記事で解説しています⬇️
