WordPressサイトを運用していると、外部からの不正アクセスや脆弱性への対策が欠かせません。中でも多くのユーザーが見落としがちなのが、WordPress内部のセキュリティ対策です。
セキュリティプラグインを導入する際に気をつけないといけないのが、
セキュリティプラグインなのに脆弱性があるというケースです。
今回は、私たちが開発・提供しているコード診断ツール「WP Security Linter」にて実際に診断を行い、安全性100%という高評価を獲得したプラグイン「XO Security」をご紹介します。
XO Security
コード診断で“安全性100%”を記録
XO Security をWP Security Linterでコードベースから静的解析したところ、XSS(クロスサイトスクリプティング)やCSRF(クロスサイトリクエストフォージェリ)、SQLインジェクション、PHP8非推奨関数の使用など、主要なセキュリティ観点で脆弱性が一切検出されませんでした。
多くのプラグインが一見安全に見えても、コードレベルではセキュリティリスクが潜んでいることが少なくない中で、XO Securityは極めて優秀な設計がされていると評価できます。
XO Security の主な機能
機能 | 詳細 |
|---|---|
| ログインログ記録 | ログインログを記録します。 |
| ログイン試行回数制限 | ログイン失敗を繰り返す接続元をブロックします。 |
| ログインページの変更 | ログインページの名前を変更します。 |
| ログイン ID の種類 | ログイン ID をユーザー名またはメールアドレスのどちらかに制限します。 |
| ログイン言語制限 | ログインできる言語を制限します。 |
| ログインエラーメッセージ | ログインエラーメッセージを簡略化します。 |
| 2要素認証 | 時間ベースのワンタイムパスワード (TOTP) による認証を追加します。 |
| ログイン CAPTCHA | ログインページに CAPTCHA を追加します。 |
| ログインアラート | ログイン時にメールを送信します。 |
| コメント CAPTCHA | コメントフォームに CAPTCHA を追加します。 |
| コメントスパム保護 | コメントをスパムから保護します。 |
| コメントボット保護 | コメントをボットから保護します。 |
| XML-RPC の無効化 | XML-RPC を無効にします。 |
| XML-RPC ピンバックの無効化 | XML-RPC ピンバック機能を無効にします。 |
| REST API の無効化 | REST API を無効にします。 |
| 投稿者スラッグの編集 | 投稿者スラッグを編集できます。 |
| 投稿者ベースの編集 | 投稿者ベースを編集できます。 |
| 投稿者アーカイブの無効化 | 投稿者アーカイブページを無効にします。 |
| コメント投稿者クラスの削除 | コメントリストのタグに追加されるユーザー名を含むクラスを削除します。 |
| oEmbed ユーザー名の削除 | oEmbed レスポンスデータからユーザー名を削除します。 |
| RSS/Atom フィードの無効化 | RSS/Atom フィードを無効にします。 |
| バージョン情報の削除 | generator メタタグおよびリンクやスクリプトタグなどの WordPress バージョンを削除します。 |
| readme.html の削除 | WordPress コアの readme.html ファイルを削除します。 |
実用的で的確なセキュリティ機能ばかりです。特に、REST APIやXML-RPCの無効化、ログインURL変更などは、WAF(Web Application Firewall)では防ぎきれない内部操作に対する防御になります。
※確認無しでREST APIを無効化できないのできをつけてください。
高機能ながら軽量&安定
XO Security は、非常に軽量に作られており、他のセキュリティ系プラグインと比較しても処理の負荷が非常に小さいのが特長です。管理画面のUIもシンプルで、直感的に設定が可能です。
また、日本人開発者によって丁寧に設計されているため、日本語の情報やサポートも豊富で安心して利用できます。
まとめ:本当に“安全”なセキュリティ対策を
WordPressのセキュリティ対策というと、WAFやマルウェアスキャンにばかり注目が集まりがちですが、実際に乗っ取りや改ざんが起こる原因の多くは、「内部の脆弱性」や「ログイン経路の甘さ」です。
その意味で、XO Security は非常に信頼できるプラグインです。ぜひ導入をおすすめしたいプラグインです。
Leave a Reply