ワードプレス(WordPress)のセキュリティ対策プラグイン All In One WP Security & Firewall(All In One Security)の設定方法と使い方を解説します。
- All In One WP Security & Firewall の使い方と詳細な設定方法がわかります
- All In One WP Security & Firewall で実現できること
- All In One WP Security & Firewall のインストール方法
- All In One WP Security & Firewall の設定
- おすすめの設定
- 実際にAll In One WP Security & Firewall を使った感想とメリットデメリット
- まとめ
All In One WP Security & Firewall で実現できること
All In One WP Security & Firewall (All In One Security)は略してAIOSとも言い、無料版と有料版があります。
有用版は2段階認証を細かく設定できたり、マルウェアのスキャン機能や国別IPアドレスブロック機能を使用できます。
無料版でもスマホアプリを利用した2段階認証機能を使えたり、Webサイト(ブログ)記事内のテキストをコピー禁止にすることもできるので、機能に不足はありません。
WordPressのセキュリティ対策用プラググインの中では評価が最も高く、9割程のユーザが5つ星(満点)をつけてます。
元々は英語の説明文を日本語に訳しているので、設定画面は少々難解な説明文になっている箇所もあり、やや上級者向けの機能も存在します。
Webサイトのバックアップや移行に使うUpdraftPlusやデータベース最適化に使うWP-Optimizeなどのプラグインも提供している、Updraft WP Software LtdというITサービス会社が手掛けているので信頼性は高いです。
All In One WP Security & Firewall の主な機能
All In One WP Security & Firewall 無料版の主な機能は次の通りです。
- ログインURL変更:ログインURLの末尾をランダムな数値または任意の文字列に変更
- 2段階認証:認証アプリを使ったワンタイムパスワードでログイン
- WAF:サイバー攻撃やXMLRPCを使った悪意あるアクセスからWebサイトを保護
- コンテンツ保護:コンテンツのコピーや「iFrame」を介してコンテンツを複製を防止
これらの機能の詳細と設定方法は後述しています。
All In One WP Security & Firewall のサポートページ
All In One WP Security & Firewall の公式サイトにはサポートページがあり、設定する時に参考になる情報が載っています。すべて英語ですが日本語に翻訳すれば理解できる内容です。
All In One WP Security & Firewall の各機能の説明サイトのリンクです↓
https://aiosplugin.com/documentation/
All In One WP Security & Firewall のインストール方法
All In One WP Security & Firewall プラグインをWordPressにインストールする方法を解説します。
- WordPressのダッシュボード(管理者画面)の「プラグイン」をクリックします
- 「新規プラグインを追加」をクリックします
- 検索ボックスに”All In One WP Security & Firewall ”と入力すると下に検索結果が表示されます
- ”All-In-One Security (AIOS) – Security and Firewall”の「今すぐインストール」ボタンをクリックします
↑All In One WP Security & Firewall のインストールが完了すると有効化ボタンが表示されるのでクリックします。
↑プラグイン名は”All In One WP Security”と表示されます。
これでAll In One WP Security & Firewall のインストールと有効化は完了です。
All In One WP Security & Firewall の設定
All In One WP Security & Firewall プラグインを有効化するとダッシュボード(管理画面)の設定の中に「WP セキュリティ」が表示されます↓
All In One WP Security & Firewall プラグインの設定画面はダッシュボード(管理画面)の設定の中の「WP セキュリティ」をクリックします。
All In One WP Security & Firewall の設定項目
All In One WP Security & Firewall には下記の12項目あります。
※一部の項目名は日本語に翻訳しています。
- ダッシュボード:
∟ ダッシュボード:セキュリティ強度、重要な機能の設定状況を表示
∟ ロックされたIPアドレス:ロックダウン機能によって一時的にロックされているIPアドレスのリスト
∟ 永久ブロックリスト:永久にブロックしたすべてのIPアドレスのリスト
∟ 監査ログ:
∟ デバックログ:
∟ プレミアムアップグレード:有料版の案内 - 設定:
∟ 一般設定:データベースや.htaccessのバックアップ、ファイアウォールの全無効化、設定リセットなど
∟ .htaccessファイル:.htaccessファイルのバックアップと復元
∟ wp-config.phpファイル:wp-config.phpファイルのバックアップと復元
∟ プラグイン設定削除:プラグインを削除するときに設定情報を削除するか否か
∟ WPバージョン情報:ワードプレスのバージョン情報の削除設定
∟ インポート/エクスポート:別のサイトの設定をインポートしたり、エクスポートして移植できる
∟ 高度な設定:IPアドレス検出設定
∟ 2要素認証:2段階認証を使用するユーザーを選択、XMLRPCに適用するか否か等 - ユーザーのセキュリティ:
∟ ユーザーアカウント:WordPressユーザーのセキュリティ設定と状況を表示
∟ ログインのロックアウト:ログイン時のロックダウン設定
∟ 強制ログアウト:強制ユーザーログアウト設定
∟ ログインしているユーザー:ログインユーザを表示
∟ 手動承認:新規登録ユーザーの手動承認
∟ Salt:すべてのユーザーのログイン情報に追加コード(Salts)を追加し、攻撃者のパスワード解読を困難にする
∟ 追加の設定:アプリケーションパスワードを無効化 - データベースセキュリティ:
∟ データベースの接頭辞:テーブル接頭辞をランダムな6文字で生成
∟ データベースのバックアップ:手動とスケジュールバックアップ設定※UpdraftPlusプラグインが必要 - ファイルセキュリティ:
∟ ファイル権限:WordPressディレクトリとファイルの権限状況のスキャン結果を表示
∟ ファイル保護:WordPressファイルの保護
∟ ホストシステムログ:エラーや警告のログを表示
∟ コピープロテクション:Webサイト(ブログ)上での右クリックからのコピーを禁止
∟ フレーム:他のサイト上に frame または iframe を使ったサイト上のコンテンツが表示されるのを防止 - ファイアウォール:
∟ PHPルール:XMLRPCとピンバック無効化
∟ .htaccessルール:.htaceessファイルやデバックログ、ディレクトリ内容一覧表示へのアクセス拒否
∟ 6G ファイアウォール ルール:6G セキュリティファイアウォール保護メカニズムの有効化
∟ オンラインのボット:Googleボットのなりすましをブロック
∟ ブラックリスト:特定のIPアドレスまたは範囲を拒否
∟ WP REST API:REST API へのアクセスをブロック
∟ 高度な設定:ファイアウォールのダウングレード、IPアドレスの許可リスト - 総当たり攻撃:
∟ ログインページの名称を変更:ログインURLを変更
∟ Cookieベースの総当たり攻撃の防止:ブルートフォース攻撃対策を有効化
∟ CAPTCHA設定:ログインページやフォームにCAPTCHAフォームを追加
∟ ログインのホワイトリスト:特定の IPアドレスまたは範囲にのみ、ログインページにアクセスを許可
∟ 404検出:404または Not Found エラー発生時の設定
∟ ハニーポット:ボットか人間の判定機能を設定 - スパム防止:
∟ コメントスパム:スパムコメントの設定
∟ コメントスパムのIPモニタリング:スパムコメントのIPアドレスの自動ブロック - スキャナー:
∟ ファイル変更検出:ハッカーによるファイル変更時にメールで通知
∟ マルウェアスキャン:有料版のみの機能 - ツール:
∟ パスワードツール:パスワード強度判定
∟ WHOIS検索:IPアドレスまたはドメイン名の所有者を検索
∟ カスタム.htaccessルール:独自の .htaccessルールと指示文を適用
∟ 訪問者ロックアウト:メンテナンスモード設定 - 2要素認証:
2段階認証の有効化と設定用QRコードを表示 - プレミアムアップグレード:
有料版の案内
設定画面は基本的には日本語ですが、詳細説明は英語になっている箇所もあります。
なので、以降はすべて日本語に翻訳した画像です。
※画像の設定は全てデフォルトの状態です。
ダッシュボード
↑このダッシュボード画面からはセキュリティ強度やログイン時のロックアウト機能やファイアウォール設定ができます。
ロックされたIPアドレス
↑ログインに失敗して現在ロックされているIPアドレスが表示されます。
履歴ではないので今現在ロック中のみが表示されます。
永久ブロックリスト
↑アクセス拒否したIPアドレスが確認できます。
監査ログ
↑成功不成功に関わらずログイン試行された履歴が表示されます。
デバックログ
↑デバックログが表示されます。
プレミアムアップグレード
↑有料版と無料版の機能比較画面が表示されるだけです。
設定
設定には下記の8項目あります。
- 一般設定
- .htaccessファイル
- wp-config.phpファイル
- プラグイン設定削除
- WPバージョン情報
- インポート/エクスポート
- 高度な設定
- 2要素認証
一般設定
↑すべてのセキュリティ機能を停止したり、設定をリセットして初期設定の戻すことができます。
.htaccessファイル
↑.htaccessファイルのバックアップと復元ができます。
wp-config.phpファイル
↑wp-config.phpファイルのバックアップと復元ができます。
プラグイン設定削除
↑プラグインを削除するときに設定情報を保持または削除を選択できます。
再度同じプラグインを利用することが予めわかっている場合は設定を削除しないで保持することもできます。
WPバージョン情報
↑この画面からWebサイト(ブログ)で稼働しているWordPressバージョンの情報を削除することができます。
インポート/エクスポート
↑違うWebサイト(ブログ)でも同じプラグインを使っていて設定を丸ごとコピーしたい場合はエクスポートしてファイルに書き出し、書き出した設定(ファイル)をインポートできます。
高度な設定
↑この設定は上級者向けなのでデフォルトで大丈夫です。
2要素認証
↑この画面から2段階認証を設定する役割を選択できます。
ユーザーのセキュリティ
ユーザーのセキュリティには下記の6項目あります。
- ユーザーアカウント
- ログインのロックアウト
- 強制ログアウト
- ログインしているユーザー
- 手動承認
- 追加の設定
ユーザーアカウント
↑ユーザーアカウントのセキュリティ要件をチェックし、結果を表示してくれます。
ログインのロックアウト
↑ログイン時の失敗の許容回数や、ロックアウト時間(接続拒否時間)などを設定できます。
強制ログアウト
↑時間経過で強制ログアウトする設定ができますが、ログイン中でも強制的に再ログインしないといけなくなるので、デフォルトの無効のままがおすすめです。
ログインしているユーザー
↑管理者以外で現在ログインしているユーザーが表示されます。
手動承認
↑WordPressの登録フォームからアカウント作成できるようになっている場合は、手動で登録を承認する設定にすることができます。
Salt
↑データベースに侵入し情報を盗み出してもパスワードを暗号化し、解読困難にする仕組み(ソルト接尾辞)を有効にすることができます。
追加の設定
WordPress 5.6以降で導入されたアプリケーション パスワード機能を無効にすることができます。
データベースセキュリティ
データベースセキュリティには下記の2項目あります。
- データベース接頭辞
- データベースのバックアップ
データベース接頭辞
↑データベースのwp_で始まるテーブル名の先頭を変更し、ハッカーから特定されなくする機能を有効にすることができます。
データベースのバックアップ
↑データベースの手動バックアップと、自動スケジュールバックアップを設定できます。
ファイルセキュリティ
ファイルセキュリティには下記の5項目あります。
- ファイル権限
- ファイル保護
- ホストシステムログ
- コピープロテクション
- フレーム
ファイル権限
↑WordPress内のディレクトリとファイルの権限をスキャンし、結果を表示します。
ファイル保護
↑WordPressファイルへのアクセス防止やサイト内画像の直リンクを防止したり、PHPファイルの編集機能を無効化できます。
ホストシステムログ
↑エラーログを表示できます。
コピープロテクション
↑Webサイト内で右クリックからのテキストコピーを禁止することができます。
フレーム
↑frameまたはiframeを通じてサイトコンテンツが他のサイトに表示されないようにすることができます。
ファイアウォール
ファイアウォールは下記の7つの項目に分かれています。
- PHPルール
- .htaccessルール
- 6G ファイアウォール ルール
- オンラインのボット
- ブラックリスト
- WP REST API
- 高度な設定
PHPルール
↑XMLRPCとピンバック無効化、プロキシ経由のコメント投稿を禁止したりできます。
.htaccessルール
↑.htaceessファイルやデバックログ、ディレクトリ内容一覧表示のアクセスを拒否する設定ができます。
6G ファイアウォール ルール
↑6Gセキュリティファイアウォール保護メカニズムの有効にできます。
オンラインのボット
↑Googleボットのなりすましをブロックできます。
ブラックリスト
↑この画面から特定のIPアドレスまたは範囲を拒否する設定ができます。
WP REST API
↑REST API へのアクセスをブロックする設定ができます。
他のプラグイン (Contact Form 7 など) を使用している場合は機能しなくなるので、当設定は有効化しないことをおすすめします。
高度な設定
↑ファイアウォールのダウングレードやIPアドレスの許可リストを編集できます。
総当たり攻撃
総当たり攻撃は下記の6つの項目に分かれています。
- ログインページの名称を変更
- Cookieベースの総当たり攻撃の防止
- CAPTCHA設定
- ログインのホワイトリスト
- 404検出
- ハニーポット
ログインページの名称を変更
↑ログインURLを任意の文字列に変更できます。
Cookieベースの総当たり攻撃の防止
↑ブルートフォース攻撃対策を設定できます。
CAPTCHA設定
↑ログインページやフォームにキャプチャフォームを追加できます。
ログインのホワイトリスト
↑特定の IPアドレスまたは範囲にのみ、ログインページにアクセスを許可する設定ができます。
404検出
↑404または Not Found エラー発生時にアクセスIPをブロックする設定ができます。
ハニーポット
↑人間には可視化できない入力フィールドに入力があった場合はボットと判定し、ログイン拒否する設定ができます。
スパム防止
スパム防止は下記の2つの項目に分かれています。
- コメントスパム
- コメントスパムのIPモニタリング
コメントスパム
↑スパムコメントの設定ができます。
コメントスパムのIPモニタリング
↑スパムコメント元のIPアドレスの自動ブロック設定が出来ます。
スキャナー
スキャナーは下記の2つの項目に分かれています。
- ファイル変更検出
- マルウェアスキャン
ファイル変更検出
↑ハッカーによるファイル改ざん時にメールで通知することができます。
マルウェアスキャン
↑マルウェアスキャンは有料版だけの機能なので無料版では利用できません。
ツール
ツールは下記の3つの項目に分かれています。
- パスワードツール
- WHOIS検索
- カスタム.htaccessルール
- 訪問者ロックアウト
パスワードツール
WHOIS検索
↑IPアドレスまたはドメイン名の所有者を検索できます。
カスタム.htaccessルール
↑独自の .htaccessルールと指示文を適用できます。
訪問者ロックアウト
↑すべての利用者のアクセスを同じ画面にするメンテナンスモード設定ができます。
2要素認証
↑2要素認証(2段階認証)用のQRコードが表示されています。
利用できる要素は、スマホまたはPCにインストールして利用する2段階認証(2要素認証)用のトークンソフトウェアのみです。
Googleが開発した2段階認証(2要素認証)を行うトークンソフトウェアのGoogle Authenticatorがおすすめです。
メールや生体認証などには対応していません。
スマホにインストールしたGoogle Authenticatorを使った2要素認証(2段階認証)の設定手順は下記の流れになります。
- Google Authenticatorをスマホにインストール
- All In One WP Security & Firewallの2要素認証画面のQRコードをスマホで読み込んでGoogle Authenticatorと紐づける
設定完了後に、実際に2要素認証を使って、WordPressの管理者画面にログインする方法は下記の流れになります。
- WordPressの管理者画面にログインする
- Google Authenticatorに表示されたワンタイムパスワードを入力する
プレミアムアップグレード
有料版と無料版の機能比較画面が表示されます。
ダッシュボードのプレミアムアップグレード画面と全く同じなので画像は割愛します。
おすすめの設定
All In One WP Security & Firewall は出来ることが多いのですが、必須の設定はそれほど多くありません。
おすすめ設定は次のとおりです。
※以降のおすすめ設定はデフォルトから変更する箇所のみをピックアップしています。
設定:
- 設定 → WPバージョン情報 →” WP Generator メタ情報の削除”をON✅
ユーザーのセキュリティ:
- ユーザーのセキュリティ → ユーザーアカウント → “ユーザー番号を無効化”をON✅
- ユーザーのセキュリティ → ログインロックアウト →” ログインロックダウン機能を有効化”をON✅
- ユーザーのセキュリティ → ログインロックアウト → “メールで通知”をON✅
- ユーザーのセキュリティ → ログインロックアウト →” 電子メールで PHP バックトレースを有効にします。”をON✅
- ユーザーのセキュリティ → 手動承認 → “新規登録の手動承認を有効にする”をON✅
- ユーザーのセキュリティ → Solt → “ソルト接尾辞を有効にする”をON✅
- ユーザーのセキュリティ → 追加の設定 → “アプリケーションパスワードを無効化”をON✅
ファイルのセキュリティ:
- ファイルのセキュリティ → ファイル保護 → “WP デフォルトのインストールファイルへのアクセスを防止”をON✅
- ファイルのセキュリティ → ファイル保護 → “readme.html と wp-config-sample.php を削除します。”をON✅
- ファイルのセキュリティ → ファイル保護 → “画像の直リンクを防止する”をON✅
- ファイルのセキュリティ → ファイル保護 → “PHP ファイル編集機能を無効化:”をON✅
- ファイルのセキュリティ → コピープロテクション → “コピープロテクションを有効にする”をON✅
- ファイルのセキュリティ → フレーム → “iFrame プロテクションを有効にする”をON✅
ファイアウォール:
- ファイアウォール → PHPルール → “XML-RPC へのアクセスを完全にブロック”をON✅
- ファイアウォール → PHPルール → “XML-RPC のピンバック機能を無効化”をON✅
- ファイアウォール → PHPルール → “RSS フィードと ATOM フィードを無効にします。”をON✅
- ファイアウォール → PHPルール → “プロキシ経由のコメント投稿を禁止”をON✅
- ファイアウォール → PHPルール → “不正なクエリー文字列を拒否”をON✅
- ファイアウォール → PHPルール → “高度な文字列フィルターを有効化”をON✅
- ファイアウォール → .htaccess ルール → “基本的なファイアウォール保護を有効化”をON✅
- ファイアウォール → .htaccess ルール → “debug.log ファイルへのアクセスをブロック”をON✅
- ファイアウォール → .htaccess ルール → “インデックスビューを無効化”をON✅
- ファイアウォール → .htaccess ルール → “TRACE と TRACKを無効化”をON✅
- ファイアウォール → 6G ファイアウォール ルール → “6G ファイアウォール保護を有効化”をON✅
- ファイアウォール → オンラインのボット → “偽の Googlebots をブロック”をON✅
- ファイアウォール → オンラインのボット → “ユーザーエージェントとリファラーが空の POST リクエストを禁止します。”をON✅
総当たり攻撃:
- 総当たり攻撃 → ログインページの名称を変更 → “ログインページの名前変更機能を有効化”をON✅
- 総当たり攻撃 → ログインページの名称を変更 → “ログインページ URL”に特定困難な任意の文字列を設定
- 総当たり攻撃 → 404検出 → “404エラー検出と IP ブロック”をON✅
- 総当たり攻撃 → ハニーポット → “ログインフォームのハニーポットを有効化
“をON✅ - 総当たり攻撃 → ハニーポット → “ユーザー登録ページでハニーポット機能を有効化する”をON✅
スパム防止:
- スパム防止 → コメントスパム → “コメントを投稿するスパムボットを検出します。”をON✅
- スパム防止 → コメントスパムのIPモニタリング→ “スパムコメントの IP を自動ブロック”をON✅
- スパム防止 → コメントスパムのIPモニタリング→ “スパムコメントの最小回数”に1を入力
上記のおすすめ設定以外の上級者向けの設定項目を有効にすると他のプラグインと干渉する可能性があるため、デフォルトのままがおすすめです。
実際にAll In One WP Security & Firewall を使った感想とメリットデメリット
実際にAll In One WP Security & Firewall を使ってみた感じたメリットとデメリットです。
All In One WP Security & Firewall のメリット
無料版でも十分な機能が備わっていて、2段階認証も使えるので、別途専用のプラグイン、Two-Factorを使わないで済みます。
それに加えて、Webサイト記事のコピーを防止できる機能も備わっているので、一石二鳥です。
WordPressの公式プラグインとしての評価が良く、同じ会社からはバックアップやデータベース最適化用のプラグインも提供されているため、技術力の高さと信頼性は、他のセキュリティ対策プラグインよりも上です。
All In One WP Security & Firewall のデメリット
上級者向けの設定がデフォルトでは無効になっているのですが、万が一それらの機能を誤ってONにしてしまった場合、利用者がWebサイト(ブログ)にアクセスできなくなったり、サイト管理者がWordPressにログインできなくなる可能性があることがデメリットです。
そういった、
強いて言えば、他の類似プラグインよりも多機能なので、設定項目数が多いこともデメリットです。
万が一、All In One WP Security & Firewallプラグインの設定ミスが原因でログインできない等の不具合が発生した場合は、サーバー内の.htaccessファイル内の# BEGIN All In One WP Securityから# END All In One WP Securityまでのコードを全て削除すれば大丈夫です
まとめ
All In One WP Security & Firewall は必要なセキュリティ対策機能がオールインワンになっており、二段階認証やコンテンツコピー防止機能まで1つのプラグインだけで賄える点が素晴らしいプラグインです。
インストールされているプラグインの数が多いと、セキュリティ脆弱性が大きくなるので、プラグインの数は少ないほどメリットがあります。
設定項目数が多いのですが、具体的な機能の補足説明の記載があるので、意味を理解しながら設定できるため、不安感を感じません。
初心者から上級者まで幅広いニーズに適応するほどの柔軟性と判り易さの両方を兼ね備えたプラグインです。
もし、セキュリティ対策プラグの選定で迷っている場合はAll In One WP Security & Firewallはおすすめです。
Wpdoctor セキュリティ対策・改ざん検出プラグイン 設定方法と使い方
Wordfence Security プラグインを削除する方法
Wordfence Security 2段階認証の設定方法と使い方
Wordfence Security セキュリティ対策プラグイン 設定方法と使い方
Solid Security セキュリティ対策プラグイン 設定方法と使い方
WP Cerber Security セキュリティ対策プラグイン 使い方と設定方法
reCAPTCHA 導入方法とContact Form 7への設定方法
SiteGuard WP Plugin セキュリティ対策プラグイン 設定方法と使い方
Akismet スパム保護プラグイン 設定方法と使い方