All In One WP Security & Firewall セキュリティ対策プラグイン 設定方法と使い方読み終わるまで 7 分

ワードプレス(WordPress)のセキュリティ対策プラグイン All In One WP Security & Firewall(All In One Security)の設定方法と使い方を解説します。

All In One WP Security & Firewall で実現できること

All In One WP Security & Firewall (All In One Security)は略してAIOSとも言い、無料版と有料版があります。

有用版は2段階認証を細かく設定できたり、マルウェアのスキャン機能や国別IPアドレスブロック機能を使用できます。

無料版でもスマホアプリを利用した2段階認証機能を使えたり、Webサイト(ブログ)記事内のテキストをコピー禁止にすることもできるので、機能に不足はありません。

WordPressのセキュリティ対策用プラググインの中では評価が最も高く、9割程のユーザが5つ星(満点)をつけています。

元々は英語の説明文を日本語に訳しているので、設定画面は少々難解な説明文になっている箇所もあり、やや上級者向けの機能も存在します。

Webサイトのバックアップや移行に使うUpdraftPlusやデータベース最適化に使うWP-Optimizeなどのプラグインも提供している、Updraft WP Software LtdというITサービス会社が手掛けているので信頼性は高いです。

All In One WP Security & Firewall の主な機能

All In One WP Security & Firewall 無料版の主な機能は次の通りです。

これらの機能の詳細と設定方法は後述しています。

All In One WP Security & Firewall のサポートページ

All In One WP Security & Firewall の公式サイトにはサポートページがあり、設定する時に参考になる情報が載っています。すべて英語ですが日本語に翻訳すれば理解できる内容です。

All In One WP Security & Firewall の各機能の説明サイトのリンクです↓
https://aiosplugin.com/documentation/

All In One WP Security & Firewall のインストール方法

All In One WP Security & Firewall プラグインをWordPressにインストールする方法を解説します。

WoredPressのダッシュボード(管理者画面)の新規プラグイン追加画面

1. WordPressのダッシュボード(管理者画面)の「プラグイン」をクリックします
2. 「新規プラグインを追加」をクリックします
3. 検索ボックスに”All In One WP Security & Firewall ”と入力すると下に検索結果が表示されます
4. ”All-In-One Security (AIOS) – Security and Firewall”の「今すぐインストール」ボタンをクリックします

“All In One WP Security & Firewall ”のインストール完了画面

↑All In One WP Security & Firewall のインストールが完了すると有効化ボタンが表示されるのでクリックします。

“All In One WP Security & Firewall “を有効化すると表示されるプラグイン画面

↑プラグイン名は”All In One WP Security”と表示されます。
これでAll In One WP Security & Firewall のインストールと有効化は完了です。

All In One WP Security & Firewall の設定

All In One WP Security & Firewall プラグインを有効化するとダッシュボード(管理画面)の設定の中に「WP セキュリティ」が表示されます↓

All In One WP Security & Firewall プラグインのダッシュボード(管理画面)

All In One WP Security & Firewall プラグインの設定画面はダッシュボード(管理画面)の設定の中の「WP セキュリティ」をクリックします。

All In One WP Security & Firewall の設定項目

All In One WP Security & Firewall には下記の12項目あります。
※一部の項目名は日本語に翻訳しています。

• ダッシュボード：
  ∟ ダッシュボード：セキュリティ強度、重要な機能の設定状況を表示
  ∟ ロックされたIPアドレス：ロックダウン機能によって一時的にロックされているIPアドレスのリスト
  ∟ 永久ブロックリスト：永久にブロックしたすべてのIPアドレスのリスト
  ∟ 監査ログ：
  ∟ デバックログ：
  ∟ プレミアムアップグレード：有料版の案内
• 設定：
  ∟ 一般設定：データベースや.htaccessのバックアップ、ファイアウォールの全無効化、設定リセットなど
  ∟ .htaccessファイル：.htaccessファイルのバックアップと復元
  ∟ wp-config.phpファイル：wp-config.phpファイルのバックアップと復元
  ∟ プラグイン設定削除：プラグインを削除するときに設定情報を削除するか否か
  ∟ WPバージョン情報：ワードプレスのバージョン情報の削除設定
  ∟ インポート/エクスポート：別のサイトの設定をインポートしたり、エクスポートして移植できる
  ∟ 高度な設定：IPアドレス検出設定
  ∟ 2要素認証：2段階認証を使用するユーザーを選択、XMLRPCに適用するか否か等
• ユーザーのセキュリティ：
  ∟ ユーザーアカウント：WordPressユーザーのセキュリティ設定と状況を表示
  ∟ ログインのロックアウト：ログイン時のロックダウン設定
  ∟ 強制ログアウト：強制ユーザーログアウト設定
  ∟ ログインしているユーザー：ログインユーザを表示
  ∟ 手動承認：新規登録ユーザーの手動承認
  ∟ Salt：すべてのユーザーのログイン情報に追加コード(Salts)を追加し、攻撃者のパスワード解読を困難にする
  ∟ 追加の設定：アプリケーションパスワードを無効化
• データベースセキュリティ：
  ∟ データベースの接頭辞：テーブル接頭辞をランダムな6文字で生成
  ∟ データベースのバックアップ：手動とスケジュールバックアップ設定※UpdraftPlusプラグインが必要
• ファイルセキュリティ：
  ∟ ファイル権限：WordPressディレクトリとファイルの権限状況のスキャン結果を表示
  ∟ ファイル保護：WordPressファイルの保護
  ∟ ホストシステムログ：エラーや警告のログを表示
  ∟ コピープロテクション：Webサイト(ブログ)上での右クリックからのコピーを禁止
  ∟ フレーム：他のサイト上に frame または iframe を使ったサイト上のコンテンツが表示されるのを防止
• ファイアウォール：
  ∟ PHPルール：XMLRPCとピンバック無効化
  ∟ .htaccessルール：.htaceessファイルやデバックログ、ディレクトリ内容一覧表示へのアクセス拒否
  ∟ 6G ファイアウォール ルール：6G セキュリティファイアウォール保護メカニズムの有効化
  ∟ オンラインのボット：Googleボットのなりすましをブロック
  ∟ ブラックリスト：特定のIPアドレスまたは範囲を拒否
  ∟ WP REST API：REST API へのアクセスをブロック
  ∟ 高度な設定：ファイアウォールのダウングレード、IPアドレスの許可リスト
• 総当たり攻撃：
  ∟ ログインページの名称を変更：ログインURLを変更
  ∟ Cookieベースの総当たり攻撃の防止：ブルートフォース攻撃対策を有効化
  ∟ CAPTCHA設定：ログインページやフォームにCAPTCHAフォームを追加
  ∟ ログインのホワイトリスト：特定の IPアドレスまたは範囲にのみ、ログインページにアクセスを許可
  ∟ 404検出：404または Not Found エラー発生時の設定
  ∟ ハニーポット：ボットか人間の判定機能を設定
• スパム防止：
  ∟ コメントスパム：スパムコメントの設定
  ∟ コメントスパムのIPモニタリング：スパムコメントのIPアドレスの自動ブロック
• スキャナー：
  ∟ ファイル変更検出：ハッカーによるファイル変更時にメールで通知
  ∟ マルウェアスキャン：有料版のみの機能
• ツール：
  ∟ パスワードツール：パスワード強度判定
  ∟ WHOIS検索：IPアドレスまたはドメイン名の所有者を検索
  ∟ カスタム.htaccessルール：独自の .htaccessルールと指示文を適用
  ∟ 訪問者ロックアウト：メンテナンスモード設定
• 2要素認証：
  2段階認証の有効化と設定用QRコードを表示
• プレミアムアップグレード：
  有料版の案内
  

設定画面は基本的には日本語ですが、詳細説明は英語になっている箇所もあります。
なので、以降はすべて日本語に翻訳した画像です。
※画像の設定は全てデフォルトの状態です。

ダッシュボード

All In One WP Security & Firewall のダッシュボード画面

↑このダッシュボード画面からはセキュリティ強度やログイン時のロックアウト機能やファイアウォール設定ができます。

ロックされたIPアドレス

All In One WP Security & Firewall ダッシュボード ロックされたIPアドレス画面

↑ログインに失敗して現在ロックされているIPアドレスが表示されます。
履歴ではないので今現在ロック中のみが表示されます。

永久ブロックリスト

All In One WP Security & Firewall ダッシュボード 永久ブロックリスト画面

↑アクセス拒否したIPアドレスが確認できます。

監査ログ

All In One WP Security & Firewall ダッシュボード 監査ログ画面

↑成功不成功に関わらずログイン試行された履歴が表示されます。

デバックログ

All In One WP Security & Firewall ダッシュボード デバックログ画面

↑デバックログが表示されます。

プレミアムアップグレード

All In One WP Security & Firewall ダッシュボード プレミアムアップグレード画面

↑有料版と無料版の機能比較画面が表示されるだけです。

設定

設定には下記の8項目あります。

• 一般設定
• .htaccessファイル
• wp-config.phpファイル
• プラグイン設定削除
• WPバージョン情報
• インポート/エクスポート
• 高度な設定
• 2要素認証

一般設定

All In One WP Security & Firewall 設定の一般設定画面

↑すべてのセキュリティ機能を停止したり、設定をリセットして初期設定の戻すことができます。

.htaccessファイル

All In One WP Security & Firewall 設定の.htaccessファイル画面

↑.htaccessファイルのバックアップと復元ができます。

wp-config.phpファイル

All In One WP Security & Firewall 設定のwp-config.phpファイル画面

↑wp-config.phpファイルのバックアップと復元ができます。

プラグイン設定削除

All In One WP Security & Firewall 設定のプラグイン設定削除画面

↑プラグインを削除するときに設定情報を保持または削除を選択できます。
再度同じプラグインを利用することが予めわかっている場合は設定を削除しないで保持することもできます。

WPバージョン情報

All In One WP Security & Firewall 設定のWPバージョン情報画面

↑この画面からWebサイト(ブログ)で稼働しているWordPressバージョンの情報を削除することができます。

インポート/エクスポート

All In One WP Security & Firewall 設定のインポート/エクスポート画面

↑違うWebサイト(ブログ)でも同じプラグインを使っていて設定を丸ごとコピーしたい場合はエクスポートしてファイルに書き出し、書き出した設定(ファイル)をインポートできます。

高度な設定

All In One WP Security & Firewall 設定の高度な設定画面

↑この設定は上級者向けなのでデフォルトで大丈夫です。

2要素認証

All In One WP Security & Firewall 設定の2要素認証画面

↑この画面から2段階認証を設定する役割を選択できます。

ユーザーのセキュリティ

ユーザーのセキュリティには下記の6項目あります。

• ユーザーアカウント
• ログインのロックアウト
• 強制ログアウト
• ログインしているユーザー
• 手動承認
• 追加の設定

ユーザーアカウント

All In One WP Security & Firewall ユーザーのセキュリティのユーザーアカウント画面

↑ユーザーアカウントのセキュリティ要件をチェックし、結果を表示してくれます。

ログインのロックアウト

All In One WP Security & Firewall ユーザーのセキュリティのログインのロックアウト画面

↑ログイン時の失敗の許容回数や、ロックアウト時間(接続拒否時間)などを設定できます。

強制ログアウト

All In One WP Security & Firewall ユーザーのセキュリティの強制ログアウト画面

↑時間経過で強制ログアウトする設定ができますが、ログイン中でも強制的に再ログインしないといけなくなるので、デフォルトの無効のままがおすすめです。

ログインしているユーザー

All In One WP Security & Firewall ユーザーのセキュリティのログインしているユーザー画面

↑管理者以外で現在ログインしているユーザーが表示されます。

手動承認

All In One WP Security & Firewall ユーザーのセキュリティの手動承認画面

↑WordPressの登録フォームからアカウント作成できるようになっている場合は、手動で登録を承認する設定にすることができます。

Salt

All In One WP Security & Firewall ユーザーのセキュリティのSalt画面

↑データベースに侵入し情報を盗み出してもパスワードを暗号化し、解読困難にする仕組み(ソルト接尾辞)を有効にすることができます。

追加の設定

All In One WP Security & Firewall ユーザーのセキュリティの追加の設定画面

WordPress 5.6以降で導入されたアプリケーション パスワード機能を無効にすることができます。

データベースセキュリティ

データベースセキュリティには下記の2項目あります。

• データベース接頭辞
• データベースのバックアップ

データベース接頭辞

All In One WP Security & Firewall データベースセキュリティのデータベース接頭辞画面

↑データベースのwp_で始まるテーブル名の先頭を変更し、ハッカーから特定されなくする機能を有効にすることができます。

データベースのバックアップ

All In One WP Security & Firewall データベースセキュリティのデータベースのバックアップ画面

↑データベースの手動バックアップと、自動スケジュールバックアップを設定できます。

ファイルセキュリティ

ファイルセキュリティには下記の5項目あります。

• ファイル権限
• ファイル保護
• ホストシステムログ
• コピープロテクション
• フレーム

ファイル権限

All In One WP Security & Firewall ファイルセキュリティのファイル権限画面

↑WordPress内のディレクトリとファイルの権限をスキャンし、結果を表示します。

ファイル保護

All In One WP Security & Firewall ファイルセキュリティのファイル保護画面

↑WordPressファイルへのアクセス防止やサイト内画像の直リンクを防止したり、PHPファイルの編集機能を無効化できます。

ホストシステムログ

All In One WP Security & Firewall ファイルセキュリティのホストシステムログ画面

↑エラーログを表示できます。

コピープロテクション

All In One WP Security & Firewall ファイルセキュリティのコピープロテクション画面

↑Webサイト内で右クリックからのテキストコピーを禁止することができます。

フレーム

All In One WP Security & Firewall ファイルセキュリティのフレーム画面

↑frameまたはiframeを通じてサイトコンテンツが他のサイトに表示されないようにすることができます。

ファイアウォール

ファイアウォールは下記の7つの項目に分かれています。

• PHPルール
• .htaccessルール
• 6G ファイアウォール ルール
• オンラインのボット
• ブラックリスト
• WP REST API
• 高度な設定

PHPルール

All In One WP Security & Firewall ファイアウォールのPHPルール画面

↑XMLRPCとピンバック無効化、プロキシ経由のコメント投稿を禁止したりできます。

.htaccessルール

All In One WP Security & Firewall ファイアウォールの.htaccessルール画面

↑.htaceessファイルやデバックログ、ディレクトリ内容一覧表示のアクセスを拒否する設定ができます。

6G ファイアウォール ルール

All In One WP Security & Firewall ファイアウォールの6G ファイアウォール ルール画面

↑6Gセキュリティファイアウォール保護メカニズムの有効にできます。

オンラインのボット

All In One WP Security & Firewall ファイアウォールのオンラインのボット画面

↑Googleボットのなりすましをブロックできます。

ブラックリスト

All In One WP Security & Firewall ファイアウォールのブラックリスト画面

↑この画面から特定のIPアドレスまたは範囲を拒否する設定ができます。

WP REST API

All In One WP Security & Firewall ファイアウォールのWP REST API画面

↑REST API へのアクセスをブロックする設定ができます。
他のプラグイン (Contact Form 7 など) を使用している場合は機能しなくなるので、当設定は有効化しないことをおすすめします。

高度な設定

All In One WP Security & Firewall ファイアウォールの高度な設定画面

↑ファイアウォールのダウングレードやIPアドレスの許可リストを編集できます。

総当たり攻撃

総当たり攻撃は下記の6つの項目に分かれています。

• ログインページの名称を変更
• Cookieベースの総当たり攻撃の防止
• CAPTCHA設定
• ログインのホワイトリスト
• 404検出
• ハニーポット

ログインページの名称を変更

All In One WP Security & Firewall 総当たり攻撃のログインページの名称を変更画面

↑ログインURLを任意の文字列に変更できます。

Cookieベースの総当たり攻撃の防止

All In One WP Security & Firewall 総当たり攻撃のCookieベースの総当たり攻撃の防止画面

↑ブルートフォース攻撃対策を設定できます。

CAPTCHA設定

All In One WP Security & Firewall 総当たり攻撃のCAPTCHA設定画面

↑ログインページやフォームにキャプチャフォームを追加できます。

ログインのホワイトリスト

All In One WP Security & Firewall 総当たり攻撃のログインのホワイトリスト画面

↑特定の IPアドレスまたは範囲にのみ、ログインページにアクセスを許可する設定ができます。

404検出

All In One WP Security & Firewall 総当たり攻撃の404検出画面

↑404または Not Found エラー発生時にアクセスIPをブロックする設定ができます。

ハニーポット

All In One WP Security & Firewall 総当たり攻撃のハニーポット画面

↑人間には可視化できない入力フィールドに入力があった場合はボットと判定し、ログイン拒否する設定ができます。

スパム防止

スパム防止は下記の2つの項目に分かれています。

• コメントスパム
• コメントスパムのIPモニタリング

コメントスパム

All In One WP Security & Firewall スパム防止のコメントスパム画面

↑スパムコメントの設定ができます。

コメントスパムのIPモニタリング

All In One WP Security & Firewall スパム防止のコメントスパムのIPモニタリング画面

↑スパムコメント元のIPアドレスの自動ブロック設定が出来ます。

スキャナー

スキャナーは下記の2つの項目に分かれています。

• ファイル変更検出
• マルウェアスキャン

ファイル変更検出

All In One WP Security & Firewall スキャナーのファイル変更検出画面

↑ハッカーによるファイル改ざん時にメールで通知することができます。

マルウェアスキャン

All In One WP Security & Firewall スキャナーのマルウェアスキャン画面

↑マルウェアスキャンは有料版だけの機能なので無料版では利用できません。

ツール

ツールは下記の3つの項目に分かれています。

• パスワードツール
• WHOIS検索
• カスタム.htaccessルール
• 訪問者ロックアウト

パスワードツール

All In One WP Security & Firewall ツールのパスワードツール画面

WHOIS検索

All In One WP Security & Firewall ツールのWHOIS検索画面

↑IPアドレスまたはドメイン名の所有者を検索できます。

カスタム.htaccessルール

All In One WP Security & Firewall ツールのカスタム.htaccessルール画面

↑独自の .htaccessルールと指示文を適用できます。

訪問者ロックアウト

All In One WP Security & Firewall ツールの訪問者ロックアウト画面

↑すべての利用者のアクセスを同じ画面にするメンテナンスモード設定ができます。

2要素認証

All In One WP Security & Firewallの2要素認証画面

↑2要素認証(2段階認証)用のQRコードが表示されています。

利用できる要素は、スマホまたはPCにインストールして利用する2段階認証(2要素認証)用のトークンソフトウェアのみです。

Googleが開発した2段階認証(2要素認証)を行うトークンソフトウェアのGoogle Authenticatorがおすすめです。

メールや生体認証などには対応していません。

スマホにインストールしたGoogle Authenticatorを使った2要素認証(2段階認証)の設定手順は下記の流れになります。

1. Google Authenticatorをスマホにインストール
2. All In One WP Security & Firewallの2要素認証画面のQRコードをスマホで読み込んでGoogle Authenticatorと紐づける

設定完了後に、実際に2要素認証を使って、WordPressの管理者画面にログインする方法は下記の流れになります。

1. WordPressの管理者画面にログインする
2. Google Authenticatorに表示されたワンタイムパスワードを入力する

プレミアムアップグレード

有料版と無料版の機能比較画面が表示されます。
ダッシュボードのプレミアムアップグレード画面と全く同じなので画像は割愛します。

おすすめの設定

All In One WP Security & Firewall は出来ることが多いのですが、必須の設定はそれほど多くありません。

おすすめ設定は次のとおりです。
※以降のおすすめ設定はデフォルトから変更する箇所のみをピックアップしています。

実際にAll In One WP Security & Firewall を使った感想とメリットデメリット

実際にAll In One WP Security & Firewall を使ってみた感じたメリットとデメリットです。

All In One WP Security & Firewall のメリット

無料版でも十分な機能が備わっていて、2段階認証も使えるので、別途専用のプラグイン、Two-Factorを使わないで済みます。
それに加えて、Webサイト記事のコピーを防止できる機能も備わっているので、一石二鳥です。

WordPressの公式プラグインとしての評価が良く、同じ会社からはバックアップやデータベース最適化用のプラグインも提供されているため、技術力の高さと信頼性は、他のセキュリティ対策プラグインよりも上です。

All In One WP Security & Firewall のデメリット

上級者向けの設定がデフォルトでは無効になっているのですが、万が一それらの機能を誤ってONにしてしまった場合、利用者がWebサイト(ブログ)にアクセスできなくなったり、サイト管理者がWordPressにログインできなくなる可能性があることがデメリットです。

他の類似プラグインよりも多機能なので、設定項目数が多いこともデメリットです。

まとめ

All In One WP Security & Firewall は必要なセキュリティ対策機能がオールインワンになっており、二段階認証やコンテンツコピー防止機能まで1つのプラグインだけで賄える点が素晴らしいプラグインです。

インストールされているプラグインの数が多いと、セキュリティ脆弱性が大きくなるので、プラグインの数は少ないほどメリットがあります。

設定項目数は多いですが、具体的な機能の補足説明の記載があるので、意味を理解しながら設定できるため、不安感を感じません。

初心者から上級者まで幅広いニーズに適応するほどの柔軟性と判り易さの両方を兼ね備えたプラグインです。

もし、セキュリティ対策プラグの選定で迷っている場合はAll In One WP Security & Firewallはおすすめです。