XO Security プラグイン

概要

ログイン関連のセキュリティを強化するプラグインです。

主な特徴

  • .htaccess ファイルを作成したり書き込みしません。Nginx でも動作します。
  • 各機能は ON/OFF することができ、同じ機能を持つプラグインとも併用可能です。
  • 外部サービスを一切使用していないので安心・安全・軽量です。

主な機能

  • ログイン ログの記録
  • ログイン試行の制限(ブルート フォース アタック対策)
  • ログイン アラート(ログイン時のメール送信)
  • ログイン ページの変更(WordPress マルチサイトのサブドメイン型は未対応)
  • ログインできる言語を制限
  • ログインページに CAPTCHA を追加
  • コメントフォームに CAPTCHA を追加
  • wp-admin へのアクセスをブロック
  • ログイン失敗時のメッセージを変更
  • REST API の無効化
  • 作成者アーカイブページを無効化(”http://(サイトURL)/?author=1” で表示される管理者アーカイブページの URL より管理者のユーザー名を取得されてしまうのを防ぎます)
  • コメント著者クラスの無効化(コメントリストに追加されるコメント著者クラス “comment-author-xxx”(xxx はユーザー名)を取り除きます。ユーザー名を取得されてしまうのを防ぎます)
  • XML-RPC の無効化(ブルート フォース アタック対策)
  • XML-RPC ピンバックの無効化(DDoS 攻撃対策)
  • WordPress マルチサイト対応(一部制限あり)

インストール

  1. WordPress 管理画面->[プラグイン]->[新規追加] メニューより、[プラグインを追加] ページを開きます。
  2. 検索ボックスに、”XO Security” と入力し検索します。
  3. XO Security が見つかったら、[今すぐインストール] をクリックします。
  4. インストールが完了したら “プラグインを有効化” をクリックします。

スクリーンショット

ログインログxo-security-screenshot-1

設定状況ページ

ログイン設定ページ

説明

プラグインを有効にすると、管理画面のメニューに [設定]->[XO Security] メニューと、[ユーザー]->[ログインログ] が追加されます。[XO Security] メニューより表示される XO Security 設定ページでは、XO Security プラグインのオプションを設定します。[ログインログ] メニューより表示されるログインログ一覧ページでは、ログインのログの一覧を見ることができます。

詳細な説明は、各ページの ヘルプ(画面上部の [ヘルプ] タブ)を参照してください。

定数

下記の定数を指定できます。wp-config.php に記述してください。

XO_SECURITY_UA_WHITE_LIST

UserAgent ホワイトリストです。

複数指定する場合はカンマで区切ってください。

例)

define('XO_SECURITY_UA_WHITE_LIST', 'keyword');

XO_SECURITY_UA_BLACK_LIST

UserAgent ブラックリストです。

複数指定する場合はカンマで区切ってください。

例)

define('XO_SECURITY_UA_BLACK_LIST', 'XML_RPC,PEAR');

XO_SECURITY_LANGUAGE_WHITE_LIST

言語設定ホワイトリストです。

複数指定する場合はカンマで区切ってください。

例)

define('XO_SECURITY_LANGUAGE_WHITE_LIST', 'ja');

FAQ

CAPTCHA が表示されない。

CAPTCHA を使用する場合、mbstring および GD ライブラリがインストールされている必要があります。

更新履歴

v1.9.0

  • コメントフォームに CAPTCHA を追加しました。

v1.8.0

  • REST API の無効の除外項目に WooCommerce を追加しました。
  • ログインページに CAPTCHA を追加しました。

v1.7.0

  • REST API の無効化を除外する設定を追加しました。
  • 必須の WordPress バージョンを 4.6 へ変更しました。

v1.6.0

  • プロキシサーバー経由では、HTTP_X_FORWARDED_FOR より IP アドレスを取得するように変更しました。
  • 言語設定によるログイン制限を追加しました。

v1.5.0

  • WordPress マルチサイトに対応しました。

v1.4.0

  • ダッシュボード ウィジェットを追加しました。

v1.3.0

  • ログイン アラートに管理者のみオプションを追加しました。

v1.2.0

  • ログイン アラート機能を追加しました。

v1.1.0

  • REST API を無効にするオプションを追加しました。
  • REST API URL の名前を変更できるようにしました。
  • UserAgent ホワイトリストとブラックリストの設定を設定ページから定数(define)で指定するように変更しました。

v1.0.0

  • 最初のリリース