※ アフィリエイト広告を利用しています
All-In-One Securityは、セキュリティ&ファイアウォールの機能を拡張できるWordPressプラグインです。
多くの機能を1つにまとめたオールインワン型のプラグインです。
WordPressに高度なセキュリティ機能を拡張できます。無料で多くの機能を利用できます。
注意点としては、このプラグインは「導入の難易度が高め」です。専門知識がある人向けです。
ちなみに、日本の大手レンタルサーバー会社でもセキュリティ対策として採用されています。
(さくらのレンタルサーバ:初期インストールのプラグイン)
セキュリティ強化のプラグインとして運用実績が長く、利用者も多く、信頼性が高いプラグインです。
WordPressのセキュリティを強化したい方は活用しましょう。
はじめに
広告
このプラグインが優れていること
- WordPressに高度なセキュリティ&ファイアウォール機能を拡張できる。
- WordPressの「ユーザー」のセキュリティを強化する機能を拡張できる。
- WordPressの「データベース・ファイル」のセキュリティを強化する機能を拡張できる。
- 総当たり攻撃の対策機能を拡張できる(ブルートフォース対策)
- スパム対策の機能を拡張できる。
- 脆弱性スキャンの機能を拡張できる。
- 2要素認証の機能を拡張できる(2段階認証)
- セキュリティ強化のプラグインとして信頼性が高い。
- 更に高度な機能が有料版として提供される。
管理画面の見本
All-In-One Securityは、多くのセキュリティ機能を1つにまとめたオールインワン型のプラグインです。
管理画面の設定だけで、高度なセキュリティ機能を利用できます。
信頼性
プラグインが定期的にアップデートされており、安定的に保守が行われています。
サポートフォーラムでも担当者が質問に回答しています。
プラグインの保守は適切に行われているようです。
確認日:2025.02.14
確認できた内容
- 定期的なアップデートの実績
- サポートフォーラム評判
- プラグインの評価
- プラグインの利用者数
- 有料版のプラグインあり
重要
初めての方へ
このプラグインは「導入の難易度が高め」です。
専門知識がある人向けのプラグインです。
初心者の方は、WordPress運用の専門知識がある方から助言を受けた上で利用して下さい。
プラグインの設定を間違うと、WordPressの管理画面にログインできなくなる可能性があります。
管理画面の説明を読んでも意味がわからない場合は、その機能を利用しない方がよいです。
管理画面に接続できない可能性あり
総当たり攻撃から防御するための「ログインのホワイトリスト」機能は利用しない方が安全です。この機能は「固定IPアドレス」を利用している環境向けに用意された機能です。
設定を間違うと、あなたが利用しているIPアドレス(動的)がプラグインから接続拒否される可能性があります。
もし、設定を間違って接続拒否された場合は、該当機能の画面にある説明を読んで設定ファイルを変更して機能を解除する必要があります。
インストール方法
広告
WordPressの管理画面から検索してインストールして下さい。
もしくは「wordpress.org」からダウンロードし、アップロードしてインストールして下さい。
- WordPress管理画面 > プラグイン > 新規追加 >「All-In-One Security」で検索
- 「wordpress.org」からダウンロードする
All-In-One Security (AIOS) は、WordPress 用に特別に設計された包括的で使いやすいセキュリティ プラグインで、Web サイトを保護します。
プラグインの使い方
このプラグインの大部分は日本語化されています。(全てではない)
セキュリティ機能を利用する場合は、プラグインの管理画面の説明をよく読んで利用して下さい。
このプラグインには多数の機能が搭載されています。
全ての機能を利用する必要はありません。
必要な機能のみを有効化して利用して下さい。
このプラグインは非常に多くの機能があります。
全ての機能を説明しきれないので、主な機能のみを紹介しています。
メニュー
このプラグインの管理画面は下記の場所にあります。
WordPress管理画面 > WP セキュリティ
ダッシュボード
ダッシュボードで重要な情報を確認できるようになっています。
ダッシュボード
下記のような機能が用意されています。
| ダッシュボード | 現在の設定や重要な情報を一覧で確認できます。 |
|---|---|
| ロックアウトしたIPアドレス | ロックアウト(遮断)したIPアドレスが一覧表示されます。 |
| 永久ブロックリスト | 永久にブロックしたIPアドレスが一覧表示されます。 |
| 監査ログ | WordPressが処理した全てのイベントを確認できます。 不審な行動をしているユーザーを発見するのに役立ちます。 |
| デバッグログ | デバックのログが表示されます。 |
設定
全体に影響する設定などを反映できます。
設定
下記のような機能が用意されています。
| 一般設定 | 機能を無効化したり、設定をリセットできます。 |
|---|---|
| .htaccess ファイル | Webサーバーを制御するファイルのバックアップと復元ができます。 |
| wp-config.php ファイル | WordPressの設定ファイルのバックアップと復元ができます。 |
| プラグインの設定を削除 | プラグインのアンインストール時にテーブルや設定内容を削除するかの有無を選べます。 |
| WPバージョン情報 | WordPressのバージョンのメタタグをヘッダーから削除できます。 |
| インポート/エクスポート | 設定のエクスポートとインポートができます。 |
| 高度な設定 | IPアドレスに関する高度な設定です。 |
| 2要素認証 | 2要素認証を利用できる権限などを設定できます。 |
ユーザーセキュリティ
WordPressの「ユーザー」に関するセキュリティを強化できます。
ユーザー関連の様々な設定を変更できます。
ユーザーセキュリティ
下記のような機能が用意されています。
| ユーザーアカウント | WordPressのユーザーに関連するセキュリティを強化する機能です。 |
|---|---|
| ログイン ロックアウト | 短期間にログイン失敗を繰り返したIPアドレスの監視・ブロックができます。 |
| 強制ログアウト | ログインしてからの有効期限を設定して、有効期限を過ぎると強制的にログアウトします。 |
| ログイン中のユーザー | 現在ログインしているユーザーを確認できます。 |
| 手動承認 | 新規ユーザー登録を手動承認制に変更できます。 |
| Salt | 高度な機能です。 ユーザーのパスワードが保存される際に、パスワードと秘密のフレーズを組み合わせて生成することで、セキュリティを向上させます。 |
| HTTP認証 | サイトを非公開にしたい場合に、フロントエンドと管理画面に認証をかけて非公開にできます。 |
| 追加設定 | アプリケーションパスワードの機能を無効化できます。 |
データベースセキュリティ
データベースの保護に役立つ機能です。
データベースセキュリティ
| データベース接頭辞 | データベースのテーブル接頭辞(prefix)を変更することで、テーブル接頭辞が推測されにくくなります。 「SQLインジェクション」や「悪意のある自動実行コード」を利用した特定のテーブルに対する攻撃から保護できます。 |
|---|
ファイルのセキュリティ
サーバ上のファイルを保護するセキュリティ機能を利用できます。
ファイルのセキュリティ
下記のような機能が用意されています。
| ファイル・パーミッション | ファイルのパーミッション(権限)をスキャンして問題がないか検証します。 |
|---|---|
| ファイル保護 | サーバー上のファイルを保護する機能です。 |
| ホストシステムログ | システムログを表示する機能です。 |
| コピー・プロテクション | PC端末での「右クリック」「テキスト選択」「コピー」の機能を無効化します。 |
| フレーム | 「frame」「iframe」を利用してコンテンツが表示されるのを防止する機能です。 |
ファイアウォール
ファイアウォールの設定を調整できます。
ファイアウォールはセキュリティ機能を集めた防火壁みたいなものです。
ファイアウォール
下記のような機能が用意されています。
| PHPルール | WordPressとPHPに関連するセキュリティ機能を有効化します。 |
|---|---|
| .htaccess ルール | Webサーバーの動作を制御するファイルを利用した機能を有効化できます。 |
| 6Gファイアウォール ルール | 最新の6Gファイアウォール保護機能を有効化できます。 |
| オンラインのボット | 自動化されたボットをブロックする機能です。 |
| ブロック&許可リスト | IPアドレスとユーザーエージェントを利用して拒否・許可のリストを管理できます。 |
| 高度な設定 | ファイアウォールの初期設定ができます。 |
「PHPルール」にある、高度な文字フィルター(String filtering)の機能を利用すると、URLのパラメーターに日本語文字があると閲覧禁止の403エラーが発生するようです。
具体例としては、投稿のタグ(スラッグ)に日本語文字が含まれると403エラーが発生しました。
プラグインのバージョン(v5.3.8)
総当たり攻撃
総当たり攻撃(ブルートフォース)の対策として用意されている機能です。
総当たり攻撃
下記のような機能が用意されています。
| ログインページの名称を変更 | WordPressのログインページを「独自のURL」に変更する機能です。 |
|---|---|
| Cookieベースの 総当たり攻撃の防止 |
総当たり攻撃の防止機能です。 これは高度な機能です。無理に利用する必要はありません。 わかる人のみ利用して下さい。 |
| CAPTCHA設定 | ログインページやフォームに「CAPTCHA」を追加できます。 「CAPTCHA」を利用すると、総当たり攻撃の防止に役立ちます。 |
| ログインのホワイトリスト | 許可したIPアドレス以外をアクセス拒否する機能です。 固定IPアドレス利用者以外はこの機能を利用しないで下さい。 一般家庭で利用される動的IPアドレスの場合、IPアドレスが変わるとアクセス拒否される可能性があります。 |
| 404検出 | 存在しないページにアクセスした場合の「404エラー」を自動検出・記録する機能です。不審なアクセスを発見するのに役立ちます。 |
| ハニーポット | 自動化されたボットを自動検出するための機能です。 |
スパム防止
コメントスパム(迷惑コメント)をブロックしたり、記録できる機能です。
| コメントスパム | 自動化されたボットによるコメントスパムを検出する機能です。 |
|---|---|
| コメントスパムのIPモニタリング | 検出したコメントスパムをブロックしたり、記録する機能です。 |
スキャナー
脆弱性のスキャンができる機能です。
| ファイル変更検出 | サーバー上のファイルの変更を自動検出する機能です。 |
|---|---|
| マルウェアスキャン | 有料版では、悪意のある実行プログラムが動作していないかを自動検出できる機能があります。 |
ツール
下記のツールを利用できます。
| パスワードツール | パスワードの強度を確認できます。 |
|---|---|
| WHOIS検索 | IPアドレスまたはドメインのWHOIS検索ができます。 |
| カスタム .htaccess ルール | Webサーバーの動作を制御するファイルのルールを編集できます。 |
| 訪問者ロックアウト | サイトのフロントエンドを「メンテナンスモード」に切り替えることができる。 |
2要素認証
2要素認証(2段階認証)の機能を利用できます。
| 2要素認証 | WordPressの管理画面へのログインに2要素認証(2段階認証)を追加できます。 Google認証システム(Google Authenticator)などと連携することで、スマートフォンを利用して2要素認証を利用できます。 |
|---|
まとめ
広告
All-In-One Securityは、セキュリティ&ファイアウォールの機能を拡張できるWordPressプラグインです。
多くの機能を1つにまとめたオールインワン型のプラグインです。
WordPressに高度なセキュリティ機能を拡張できます。無料で多くの機能を利用できます。
注意点としては、このプラグインは「導入の難易度が高め」です。専門知識がある人向けです。
セキュリティ強化のプラグインとして運用実績が長く、利用者も多く、信頼性が高いプラグインです。
WordPressのセキュリティを強化したい方は活用しましょう。
