XO Security(バージョン 4.1.1 )の初期設定の方法を各項目ごとにまとめました。
XO Securityの初期設定
XO Securityの初期設定についてまとめました。
このブログで設定している内容を記載しています。
XO Securityは、設定ステータスのチェック数が多いほど、セキュリティも強固です。
ログイン
試行回数制限:12時間(好みで設定)
リトライ回数:4回(デフォルトのまま、好みで変更)
制限なしにすると総当たり攻撃(ブルートフォースアタック)された時に、1秒毎にログイン施行されます。
ログインフォーム
CAPTCHA:ひらがな
ログイン時の手間が増えますが、二段認証よりは簡単です。
コメント
CAPTCHA:ひらがな
コメント入力フォームに、ひらがなのCAPTCHAを表示させます。
XML-RPC
XML-RPCを利用していない人は、両方オンにします。
XML-RPCは、総当たり攻撃(ブルートフォースアタック)を無効化できます。
XML-RPCを使って、アプリなどから投稿している場合はオンすると投稿できなくなります。
ログイン施行回数制限を設定しておけば、オフでも防ぐことができます。
XML-RPCピンバックは、DDoS攻撃を無効化します。
REST API
変更なし
ユーザー名隠しは、後述する秘匿でauthor名を変更しているので、バレても問題なし。
秘匿
ユーザー名
投稿者スラッグ:オン
プロフィール設定で、author名を変更する
ここを変更しておけば、REST API設定でユーザー名隠しをしなくてもログインIDはバレない
WordPressバージョン
バージョン情報の削除:オン
WordPressのバージョンごとの脆弱性を狙って攻撃されることがあります。
オンにしておくことで、HTML内に記載されているWordPressのバージョンを隠すせます。
WordPressテーマ「SWELL」は、SWELLの初期設定でWordPressのバージョン削除が設定されているので、XO Securityでの設定は不要。
環境
ログインログ
自動削除:30日以内
削除しないとログファイルがたまります。
不正ログインの確認は、ユーザー>ログインログで確認できます。
XO Securityの設定は以上です。
お疲れさまでした!