All In One WP Security & Firewall

All In One WP Security & Firewallは、WordPressのセキュリティ対策の設定を一元管理できるプラグインです。

このプラグインは高度なセキュリティ対策の機能が1つのプラグインにまとめられています。プラグインの管理画面は英語表記ですが、非常に多機能でありながら使いやすいプラグインです。

WordPressをセキュリティ対策を何もせずに運用していると、様々な危険に晒されたままの状態になり、非常に危険です。このプラグインを活用して外部からの攻撃に対し、自分のWebサイトを防衛しましょう。

はじめに

このプラグインで出来るセキュリティ対策

  1. プラグインのダッシュボードでセキュリティ対策の状態がひと目で確認できる。
  2. WordPressの管理者ユーザーのユーザーネームを簡単に変更できる。(adminユーザーを利用しないための機能)
  3. ログイン画面のログイン試行回数を制限できる。一定回数ログインに失敗すると管理画面をロックできる。
  4. ログイン画面のブルート・フォースアタック(総当り攻撃)の対策機能あり。ログイン画面のURLを変更できる。
  5. データベースの接頭辞(Prefix)の変更ができる。
  6. データベースの自動バックアップ及び手動バックアップができる。
  7. サーバー上のディレクトリやファイルパーミッションに異常がないかを監視できる。
  8. WP管理画面でテーマのテンプレートを編集不可にできる。(メニュー非表示)
  9. WordPressのインストール関連ファイルに対してアクセス不可にできる。(readme.html、license.txt、wp-config-sample.php)
  10. ブラックリスト管理機能あり。(BAN、ユーザーエージェント)
  11. 簡易的なファイアーウォール機能あり。
  12. コメントスパム対策の投稿認証(Captcha)の機能あり。
  13. コメントスパム対策のSpambotブロック機能あり。
  14. ファイル変更の自動検出機能あり。
  15. Webサイトのメンテナンス中にサイト訪問者に対してメッセージを表示する機能あり。
  16. Webサイト上での「右クリック」「テキスト選択」「コピー」を禁止できる。(※抜け穴が沢山あるので気休め程度の機能です)

※ 機能が多いので省略しますが、上記以外にも沢山の機能があります。

利用イメージ(英語)

インストール方法

管理画面から検索してインストールして下さい。もしくは、WordPress.org からダウンロードし、アップロードしてインストールして下さい。

  1. WordPress管理画面 > プラグイン > 新規追加 >「All In One WP Security & Firewall」で検索
  2. WordPress.org からダウンロード

使用上の注意点

このプラグインをいきなり本番サーバーのWordPressにインストールしないで下さい。

レンタルサーバーの環境によっては、500エラー(Internal Server Error)が発生する場合があります。 このプラグインは「.htaccess」のファイルに変更を加えます。それが原因でエラーが発生する場合があるのでご注意下さい。特殊な設定になっているレンタルサーバーの環境ではエラーが発生するかもしれません。例えば、wpXレンタルサーバーの環境では Additional Firewall Rules の設定で500エラーが発生しました。ご注意下さい。

500エラーが発生した場合は、FTPソフトでサーバーにログインし、プラグインのディレクトリを別のディレクトリ名に変更してプラグインを強制的停止した上で、「.htaccess」のファイルに記述されているプラグインの設定を手動で削除して下さい。そうすれば復旧できます。

プラグインの設定

このプラグインは機能が非常に多いので、重要な機能に絞って説明します。

管理画面の場所

このプラグインの管理画面は下記の場所にあります。

WordPress管理画面 > WP Security

メニュー

Dashbord(ダッシュボード)

プラグインのダッシュボードにセキュリティ状態を表す情報が表示されています。メーターの数値は高くしなければならないという訳ではありませんが、適用できるセキュリティ設定は可能な限り利用しましょう。

ダッシュボード

Login Lockdown(ログイン試行回数制限)

下記設定(初期設定)の場合、5分の間に3回ログインに失敗すると60分間ロックアウトするという意味です。そのユーザーをログイン拒否します。

ログイン試行回数制限

Database Security(DBのセキュリティ設定)

データーベースの接頭辞(Prefix)の変更、データベースのバックアップの設定ができます。

DB Prefix(DB接頭辞の変更)

DB接頭辞の変更

DB Backup(DBバックアップ)

下記設定(初期設定)の場合、4週間ごとにバックアップを実行して、バックアップファイルを2つ保持するという意味です。

DBバックアップ

Blacklist Manager(ブラックリスト管理)

IPアドレスやユーザーエージェントの情報を指定し、接続拒否を行うことができます。主に Bot や迷惑なコメントを投稿するユーザーを拒否する際に利用する機能です。

ブラックリスト管理

Firewall(ファイアーウォール)

簡易的なファイアーウォールの機能が利用できます。基本的には Basic Firewall Rules の設定のみの利用でも問題ありません。

上部にあるタブを切り替えれば高度な設定ができますが、サーバー環境によってはエラーが発生する場合があるので、使用するには注意が必要です。本番環境以外のテストサーバーなどで試してから利用して下さい。

ファイアーウォール

他にも沢山機能があります

このプラグインは多機能なので、全ての機能は紹介しきれません。詳しくは実際にインストールして試して下さい。

まとめ

All In One WP Security & Firewallは、WordPressのセキュリティ対策の設定を一元管理できるプラグインです。

WordPressをセキュリティ対策を何もせずに運用していると、様々な危険に晒されたままの状態になり非常に危険です。このプラグインを活用して、外部からの攻撃に対し、自分のWebサイトを防衛しましょう。

スポンサーリンク