XO Security プラグイン

概要

ログイン関連のセキュリティを強化するプラグインです。

主な特徴

  • .htaccess ファイルを作成したり、書き込みをしません。Nginx でも動作します。
  • 各機能は ON/OFF することができ、同じ機能を持つプラグインとも併用可能です。
  • 外部サービスを一切使用していないので、安心・安全・軽量です。

主な機能

  • ログイン ログを記録します。XML-RPC のログイン ログも記録します。
  • ログイン試行を制限(ブルート フォース アタック対策)します。XML-RPC のログイン試行も制限します。
  • ログイン アラート(ログイン時のメール送信)。
  • ログイン ページを変更(WordPress マルチサイトのサブドメイン型は未対応)します。
  • ログインできる言語を制限します。
  • ログインページに CAPTCHA を追加します。
  • コメントフォームに CAPTCHA を追加します。
  • wp-admin へのアクセスをブロックします。
  • メールアドレスによるログインを無効化します。
  • ログイン時のエラーメッセージを汎用的(詳細を表示しない)に変更します。
  • REST API を無効化します。
  • 作成者アーカイブページを無効化します。”http://(サイトURL)/?author=1” で表示される管理者アーカイブページの URL より管理者のユーザー名を取得されてしまうのを防ぎます。
  • コメント著者クラスを無効化します。コメントリストに追加されるコメント著者クラス “comment-author-xxx”(xxx はユーザー名)を取り除きます。ユーザー名を取得されてしまうのを防ぎます。
  • XML-RPC の無効化(ブルート フォース アタック対策)します。
  • XML-RPC ピンバックの無効化(DDoS 攻撃対策)します。
  • WordPress マルチサイト対応(一部制限)。

インストール

  1. WordPress 管理画面->[プラグイン]->[新規追加] メニューより、[プラグインを追加] ページを開きます。
  2. 検索ボックスに、”XO Security” と入力し検索します。
  3. XO Security が見つかったら、[今すぐインストール] をクリックします。
  4. インストールが完了したら “プラグインを有効化” をクリックします。

WordPress 公式ディレクトリ

XO Security

スクリーンショット

ログインログxo-security-screenshot-1

設定状況ページ

ログイン設定ページ

説明

プラグインを有効にすると、管理画面のメニューに [設定]->[XO Security] メニューと、[ユーザー]->[ログインログ] が追加されます。[XO Security] メニューより表示される XO Security 設定ページでは、XO Security プラグインのオプションを設定します。[ログインログ] メニューより表示されるログインログ一覧ページでは、ログインのログの一覧を見ることができます。

詳細な説明は、各ページの ヘルプ(画面上部の [ヘルプ] タブ)を参照してください。

定数

下記の定数を指定できます。wp-config.php に記述してください。

XO_SECURITY_UA_WHITE_LIST

ログインを許可する UserAgent の文字列(ホワイトリスト)を指定します。

複数指定する場合はカンマで区切ってください。

例:

define('XO_SECURITY_UA_WHITE_LIST', 'keyword');

XO_SECURITY_UA_BLACK_LIST

ログインをブロックする UserAgent の文字列(ブラックリスト)を指定します。

複数指定する場合はカンマで区切ってください。

例:

define('XO_SECURITY_UA_BLACK_LIST', 'XML_RPC,PEAR');

XO_SECURITY_LANGUAGE_WHITE_LIST

ログインを許可するブラウザの言語設定(ホワイトリスト)を指定します。

複数指定する場合はカンマで区切ってください。

日本語の場合のみを許可する場合の例:

define('XO_SECURITY_LANGUAGE_WHITE_LIST', 'ja');

FAQ

CAPTCHA が表示されない。

CAPTCHA を使用する場合、mbstring および GD ライブラリがインストールされている必要があります。

更新履歴

v2.1.3

  • 管理画面のダッシュボードの表示が遅くなる場合がある不具合を修正しました。 (mocchii 氏に感謝)

v2.1.0

  • サイト情報を表示する機能を追加しました。
  • REST API をルート単位で有効無効を設定できるようにしました。

v2.0.0

  • ログイン時のエラーメッセージを汎用的(詳細を表示しない)に変更するオプションを追加しました。
  • メールアドレスによるログインを無効化するオプションを追加しました。
  • REST API の無効化の除外項目に WP を追加しました。また、ログイン時は REST API を常に無効化しないようにしました。

v1.9.0

  • コメントフォームに CAPTCHA を追加しました。

v1.8.0

  • REST API の無効化の除外項目に WooCommerce を追加しました。
  • ログインページに CAPTCHA を追加しました。

v1.7.0

  • REST API の無効化を除外する設定を追加しました。
  • 必須の WordPress バージョンを 4.6 へ変更しました。

v1.6.0

  • プロキシサーバー経由では、HTTP_X_FORWARDED_FOR より IP アドレスを取得するように変更しました。
  • 言語設定によるログイン制限を追加しました。

v1.5.3

  • クロスサイトスクリプティング (XSS) の脆弱性を修正しました。 (Thanks to pluginvulnerabilities.com)

v1.5.0

  • WordPress マルチサイトに対応しました。

v1.4.0

  • ダッシュボード ウィジェットを追加しました。

v1.3.0

  • ログイン アラートに管理者のみオプションを追加しました。

v1.2.0

  • ログイン アラート機能を追加しました。

v1.1.0

  • REST API を無効にするオプションを追加しました。
  • REST API URL の名前を変更できるようにしました。
  • UserAgent ホワイトリストとブラックリストの設定を設定ページから定数(define)で指定するように変更しました。

v1.0.0

  • 最初のリリース