All-In-One Security (AIOS) 設定

All-In-One Security (AIOS) 変更履歴

All-In-One Securityは、WordPressサイトのセキュリティを強化するために注目されるプラグインの一つであり、複数のセキュリティ対策が統合された非常に便利なツールです。特に初心者でも簡単に設定が可能で、必要な機能を追加することで、サイト全体のセキュリティを向上させることができます。

このプラグインは、ログインページに特化した保護機能を提供し、不正アクセスからの防止に力を入れています。例えば、ログイン試行を制限するロックアウト機能や、脆弱なパスワードに対する警告など、さまざまな対策が施されています。また、ファイアウォールの仕組みが組み込まれており、Web攻撃に対しても自動的に対応することができます。

さらに、サイトのスキャン機能では、ファイルの変更や不正な入力をチェックし、異常を検出することで、ユーザーに迅速な対応を促します。万が一問題が発生した際には、活動ログの保存機能により、以前の状態に戻すためのバックアップを簡単に取得することも可能です。

機能が非常に豊富で強力な反面、設定を詰め込みすぎると自分自身がログインできなくなったり、サイトの表示が崩れたりするリスクがあります。
設定を行う際は、万が一に備えて必ずバックアップ（特に.htaccessファイル）を取ってから進めてください。

ログインセキュリティ
1. ユーザーセキュリティ → ログインロックアウト → ログインロックダウン設定
2. ブルートフォース攻撃 → ログインページの名前を変更
ファイアウォール
ユーザーとファイルセキュリティ
1. ユーザーセキュリティ → ユーザーアカウント → ユーザー番号無効化
2. 設定 → WPバージョン情報
スパム対策
1. スパム防止 → コメントスパム → スパムコメント検出

ログインセキュリティ

WordPressに対する攻撃の大部分が「管理画面のログイン」を狙ったものであるため、ログインセキュリティは必須です。

ユーザーセキュリティ → ログインロックアウト → ログインロックダウン設定

ログインロックダウン機能を有効化:ON
最大ログイン試行回数:3
最大ロックアウト時間:60

ブルートフォース攻撃 → ログインページの名前を変更

ログインページの名前変更機能を有効化:On
ログインページ URL:推測されにくい任意の文字列。

デフォルトの wp-login.php を隠すことで、Botからの攻撃を劇的に減らせます。変更したURLは絶対にブックマークして忘れないようにしてください。

ファイアウォール

悪意のあるリクエストをサーバーの根本で弾く設定です。

ファイウォール → PHP ルール → セキュリティ強化

XML-RPC へのアクセスを完全にブロック: On
XML-RPC のピンバック機能を無効化:Jetpackやスマホアプリから記事を投稿しない場合はOn、使う予定があるならOff

ファイウォール → PHP ルール → オンラインのボットの設定

偽のGoogleボットをブロック： ON
多くの偽ボットは、単なる情報収集ではなく、攻撃の準備段階としてサイトをスキャンしています。これを弾く事でセキュリティリスクを回避できます。

PHP ルール → 6G ファイアウォールルール

6G ファイアウォール保護を有効化:On
「6G ファイアウォール（6G Firewall）」は、主に WordPress などの CMS で利用される軽量かつ強力なセキュリティルールセットを指します。これを有効化する最大の理由は、「サーバーに負担をかけずに、悪意のある攻撃を入り口でシャットアウトするため」です。

ファイウォール → .htaccess rules → 基本的なファイアウォール設定

基本的なファイアウォール保護を有効化： ON
自動ボットによる「手当たり次第の攻撃」の大部分をカットできます。また、無駄なリクエストを処理しなくて済むため、サイトの応答速度が安定します。

ユーザーとファイルセキュリティ

WordPressへの攻撃の大部分はログイン画面を狙ったものであるため、入り口の防御を固めます。

ユーザーセキュリティ → ユーザーアカウント → ユーザー番号無効化

ユーザー列挙を無効化: On
WordPressはデフォルトの状態だと、特定のURLを叩くことで登録されているユーザー名（ログインID）が簡単に特定できてしまいます。これを防ぐための設定です。

設定 → WPバージョン情報

WP generator メタ情報の削除： On
デフォルトの WordPress は、HTML のソースコード内にタグを自動で出力します。これを削除する事で、ハッカーに対して自分のサイトの弱点を教えない様にすることが出来ます。

スパム対策

スパムボットが投稿するコメントやフォーム送信には、多くの場合、悪意のあるサイト（詐欺サイトやウイルス配布サイト）へのリンクが含まれています。これを防ぐことで、サイトの「信頼性」と「SEO」を守る事が出来ます。
また、スパムボットは、1分間に数百件という猛烈な勢いでコメントやユーザー登録を試みることがあるので、これを防ぎサーバー負荷とデータベースの肥大化しないようにします。

スパム防止 → コメントスパム → スパムコメント検出

コメントを投稿するスパムボットを検出: On
コメントスパム検出に Cookie を使用： Off
検出されたスパムコメントは: スパムとしてマーク
スパムコメントをゴミ箱に移動: 14日後