「WordPressのセキュリティ対策、何から手をつけていいか分からない…」「SiteGuardを入れているけど、本当にこれで十分なのかな?」
Webサイトを運営していると、そんな不安がよぎる瞬間、ありませんか?専門的で難しそうなイメージのあるセキュリティ対策は、つい後回しにしてしまいがち。しかし、その「まあ、大丈夫だろう」という油断が、ある日突然、取り返しのつかない事態を招くかもしれません。
もし、無料で、初心者でも分かりやすく、それでいてプロ級のセキュリティ設定が可能なプラグインがあるとしたら、試してみたいと思いませんか?
それが、今回ご紹介する「All In One WP Security & Firewall」(以下、AIOS)です。世界中で100万以上ものサイトで利用されているこのプラグインは、あなたのWordPressサイトを鉄壁の要塞へと変えるための、強力な武器となります。設定項目が多いことから敬遠されがちですが、ポイントさえ押さえれば、驚くほど簡単にサイトの安全性を飛躍的に高めることができるのです。
AIOSの導入から、数ある機能の中から「これだけは絶対に設定すべき!」という必須項目、そして一歩進んだ活用法まで、どこよりも分かりやすく丁寧に解説していきます。
なぜ今、All In One WP Securityなのか?
WordPressのセキュリティプラグインといえば、日本では「SiteGuard WP Plugin」が有名です。確かに、設定項目が少なく日本語で分かりやすいのが魅力ですが、その手軽さゆえに、本当に必要な設定が網羅できているかというと、疑問が残るケースも少なくありません。
一方、AIOSは、WordPressのあらゆるセキュリティリスクを総合的にカバーできるように設計されています。その最大の特徴は、ダッシュボードに表示される「セキュリティ強度メーター」です。
設定を一つ有効にするごとに、このメーターのスコアが上がっていき、サイトの安全性が今どのレベルにあるのかを視覚的に把握できます。まるでゲーム感覚で、楽しみながらセキュリティを強化していけるのが、AIOSの優れた点なのです。
AIOSが備える主要機能
AIOSは、WordPressのセキュリティを守るために必要な機能を、体系的に分類して提供しています。各機能は「基本」「中級」「上級」の3段階に分けられており、初心者の方でも自分のレベルに合わせて段階的に設定を進めていくことができます。
| 機能カテゴリ | 主な機能 |
|---|---|
| ユーザーアカウント | adminユーザー名の変更、パスワード強度設定、ユーザー列挙の防止 |
| ユーザーログイン | ログイン試行回数制限(ブルートフォース攻撃対策)、ログイン画面URL変更、強制ログアウト |
| データベース | データベース接頭辞の変更、自動バックアップ |
| ファイルシステム | ファイルパーミッションのチェック、PHPファイル編集の無効化、重要ファイルの保護 |
| ファイアウォール | 不正アクセスのブロック、悪意のあるクエリの拒否、6Gブラックリスト |
| スパム対策 | コメントスパムのブロック、IPアドレスの監視 |
| スキャン機能 | ファイル変更検知、マルウェアスキャン |
これらの機能を組み合わせることで、ログイン画面への攻撃、データベースへの不正アクセス、ファイルの改ざん、スパム攻撃など、あらゆる脅威からサイトを多層的に守ることができます。
AIOSと他のセキュリティプラグインを徹底比較
「結局、どのセキュリティプラグインを選べばいいの?」という疑問をお持ちの方のために、代表的なプラグインとAIOSを比較してみましょう。
| プラグイン名 | 日本語対応 | 無料版の機能 | 設定の難易度 | サーバー負荷 | 特徴 |
|---|---|---|---|---|---|
| All In One WP Security | △ | ◎ | 中 | 軽い | 完全無料で全機能が使える。設定項目が多いが体系的に整理されている。 |
| Wordfence Security | △ | ○ | 中〜高 | やや重い | リアルタイムトラフィック監視が強力。有料版が充実しているが、無料版でも十分。 |
| Sucuri Security | △ | △ | 低 | 軽い | マルウェアスキャンに定評。クラウドWAFは有料(高額)。 |
| SiteGuard WP Plugin | ◎ | ○ | 低 | 軽い | 日本語で分かりやすい。設定項目が少なく手軽だが、カバー範囲はやや狭い。 |
この表から分かるように、AIOSは「完全無料でありながら、高度な設定まで可能」という点で、コストパフォーマンスに優れています。日本語対応が△となっているのは、管理画面が英語表示であるためですが、設定項目自体は直感的で、この記事の手順に従えば問題なく設定できます。
インストールと有効化
まずは、AIOSをあなたのWordPressに導入しましょう。
- WordPressの管理画面から「プラグイン」→「新規追加」をクリックします。
- 右上の検索窓に「All In One WP Security」と入力します。
- 「All-In-One Security (AIOS) – Security and Firewall」が表示されたら、「今すぐインストール」をクリックし、続けて「有効化」をクリックします。
これで準備は完了です。管理画面のサイドバーに「WPセキュリティ」という項目が追加されているはずです。
セキュリティメーターの見方と目標スコア
AIOSをインストールして最初に目にするのが、ダッシュボードに大きく表示される「Security Strength Meter」(セキュリティ強度メーター)です。このメーターは、現在のサイトのセキュリティレベルを0〜100のスコアで表示してくれます。
初期状態では、スコアは非常に低い状態(20〜30程度)からスタートします。しかし、心配する必要はありません。これから紹介する設定を一つずつ実行していくことで、スコアはどんどん上昇していきます。
目標スコアの目安
- 50点以上:最低限のセキュリティ対策ができている状態。基本的な攻撃には耐えられます。
- 70点以上:かなり堅牢な状態。一般的なサイトであれば、このレベルで十分と言えます。
- 90点以上:プロレベルのセキュリティ。企業サイトや会員制サイトなど、より高いセキュリティが求められるサイトの目標値です。
まずは、70点を目指して設定を進めていきましょう。
これだけは押さえたい!必須の初期設定7選
AIOSには膨大な設定項目がありますが、すべてを一度に設定する必要はありません。ここでは、特に優先度が高く、最低限これだけは設定しておきたいという7つの項目を厳選して紹介します。設定前には、万が一に備えてサイトのバックアップを取っておくことを強くお勧めします。
1. ログインページのURLを変更する
WordPressのログインページは、デフォルトでは wp-login.php です。これは世界中の攻撃者が知っている共通の「玄関」であり、ブルートフォース攻撃(総当たり攻撃)の格好の的となります。この玄関の場所を、自分だけが知っている秘密の場所に変更しましょう。
- 設定場所:WPセキュリティ → ブルートフォース → ログインページの名称変更
- 設定方法:「ログインページURLを変更」にチェックを入れ、
loginやadminなどを避け、推測されにくい文字列(例:my_secret_gate_123)を入力して保存します。
【超重要】 変更したURLは、必ずブックマークするか、パスワード管理ツールなどにメモしておきましょう。忘れてしまうと、自分もログインできなくなります。万が一忘れてしまった場合は、FTPでサーバーに接続し、プラグインのフォルダ名を変更して一時的に無効化することで、元のログインページに戻すことができます。
2. ログイン試行回数を制限する(ログインロックダウン)
ログインに何度も失敗するユーザーを、一時的にアクセス禁止にする機能です。これにより、プログラムによる機械的な総当たり攻撃を効果的に防ぎます。
- 設定場所:WPセキュリティ → ユーザーログイン → ログインロックダウン
- 設定方法:「ログインロックダウン機能を有効化」にチェックを入れ、以下のように設定します。
- 最大ログイン試行回数:3〜5回(推奨は3回)
- リトライ時間:5分
- ロックアウト時間:60分
- 「ロックアウトされた場合にメールで通知」にもチェックを入れておくと、攻撃を検知できて便利です。
この設定により、5分以内に3回ログインに失敗したIPアドレスは、60分間ログインページにアクセスできなくなります。正規のユーザーであれば3回以内にログインできるはずですから、この制限で困ることはほとんどありません。
3. 「admin」ユーザー名を変更する
WordPressをインストールした際、ユーザー名を「admin」のままにしていませんか?これもログインページのURLと同様、攻撃者にとって最初の標的となります。もし「admin」を使っている場合は、必ず変更しましょう。
- 設定場所:WPセキュリティ → ユーザーアカウント
- 設定方法:AIOSが自動で「admin」ユーザーを検出し、変更を促してくれます。新しいユーザー名を入力し、変更を実行してください。
ユーザー名は、メールアドレスや本名、サイト名など、推測されやすいものは避け、ランダムな文字列にすることをお勧めします。
4. ファイル編集機能を無効化する
万が一、攻撃者に管理者権限でログインされてしまった場合、管理画面からテーマやプラグインのPHPファイルを直接編集され、バックドアを仕込まれる可能性があります。この機能を無効化し、改ざんのリスクを減らしましょう。
- 設定場所:WPセキュリティ → ファイルセキュリティ → ファイル編集
- 設定方法:「Disable ability to edit PHP files」にチェックを入れ、設定を保存します。
この設定を有効にすると、管理画面の「外観」→「テーマエディター」や「プラグイン」→「プラグインエディター」からファイルを編集できなくなります。通常のサイト運営では、これらの機能を使うことはほとんどありませんので、安心して無効化してください。
5. XML-RPCを無効化する
XML-RPCは、外部のアプリケーションからWordPressを操作するための機能ですが、現在ではあまり使われず、ブルートフォース攻撃やDDoS攻撃の踏み台にされることが多い、代表的なセキュリティホールとなっています。特別な理由がない限り、無効化しましょう。
- 設定場所:WPセキュリティ → ファイアウォール → 基本ファイアウォールルール
- 設定方法:「XML-RPCへのアクセスを完全にブロック」にチェックを入れ、設定を保存します。
【注意】 もし、スマートフォンアプリからWordPressを更新したり、Jetpackプラグインを使っている場合は、XML-RPCが必要になることがあります。その場合は、「XML-RPCへのアクセスを完全にブロック」ではなく、「XML-RPCのピンバック機能を無効化」のみにチェックを入れてください。
6. WordPressのバージョン情報を隠す
WordPressのバージョン情報が外部から分かると、そのバージョン特有の脆弱性を狙った攻撃を受けやすくなります。不要な情報は隠しておきましょう。
- 設定場所:WPセキュリティ → 設定 → WPバージョン情報
- 設定方法:「WP Generatorメタ情報の削除」にチェックを入れ、設定を保存します。
この設定により、サイトのHTMLソースコードから <meta name="generator" content="WordPress X.X.X"> という記述が削除され、WordPressのバージョンが外部から見えなくなります。
7. 強力なファイアウォールを有効にする(6G Blacklist)
AIOSには、既知の悪意のあるアクセスパターンをまとめた「6Gブラックリスト」という強力なファイアウォールルールが用意されています。これを有効にするだけで、多くの攻撃を未然に防ぐことができます。
- 設定場所:WPセキュリティ → ファイアウォール → 6Gブラックリスト/ファイアウォールルール
- 設定方法:「6Gファイアウォール保護を有効化」にチェックを入れ、設定を保存します。
【注意】 ごく稀に、この設定がサイトの特定の機能と干渉する場合があります。特に、パーマリンク設定が「投稿名」になっていて、URLに日本語が含まれるページがある場合、403エラーが発生することがあります。設定後にサイトの表示やフォームの動作などに問題がないか、必ず確認してください。
一歩進んだセキュリティ設定
上記の基本設定が完了したら、さらにサイトを堅牢にするための設定にも挑戦してみましょう。
データベースの接頭辞を変更する
WordPressのデータベーステーブルは、デフォルトでは wp_ という接頭辞が付いています(例:wp_posts、wp_users)。これを変更することで、SQLインジェクション攻撃のリスクを低減できます。
- 設定場所:WPセキュリティ → データベースセキュリティ → データベース接頭辞の変更
- 設定方法:「データベースのテーブル接頭語を新しく生成」にチェックを入れると、ランダムな6文字の文字列が自動生成されます。あるいは、任意の文字列を入力することもできます。「データベース接頭辞を変更」ボタンをクリックして実行します。
【重要】 この操作は、データベースの構造を直接変更する非常に重要な作業です。必ず事前にデータベースのバックアップを取得してから実行してください。
二要素認証を導入する
パスワードに加えて、スマートフォンアプリなどで生成されるワンタイムパスワードを要求することで、不正ログインをほぼ完璧に防ぎます。管理者アカウントにはぜひ設定したい機能です。
- 設定場所:WPセキュリティ → 二要素認証
- 設定方法:「二要素認証を有効化」にチェックを入れ、QRコードをGoogle Authenticatorなどのアプリでスキャンします。以降、ログイン時にはパスワードに加えて、アプリに表示される6桁のコードの入力が必要になります。
ファイル変更検知を有効にする
サイト内のファイルが変更された際に、メールで通知してくれます。身に覚えのない変更を即座に察知できるため、改ざんの早期発見に繋がります。
- 設定場所:WPセキュリティ → スキャナー → ファイル変更検知
- 設定方法:「ファイル変更検知を有効化」にチェックを入れ、通知を受け取るメールアドレスを設定します。初回スキャン時には、現在のファイル状態がベースラインとして記録されます。
設定後の確認方法とトラブルシューティング
設定が完了したら、必ずサイトが正常に動作しているかを確認しましょう。
確認すべきポイント
- ログアウトして、再度ログインできるか:特にログインページのURLを変更した場合は、新しいURLでログインできることを確認します。
- サイトのすべてのページが正常に表示されるか:トップページだけでなく、固定ページ、投稿ページ、カテゴリーページなど、各種ページを確認します。
- お問い合わせフォームが正常に送信できるか:Contact Form 7などのフォームプラグインを使っている場合は、実際にテスト送信してみます。
- 管理画面の各機能が正常に動作するか:投稿の編集、メディアのアップロードなど、普段使う機能を一通り試してみます。
よくあるトラブルと解決方法
トラブル1:ログインページのURLを忘れてしまった
- 解決方法:FTPソフトでサーバーに接続し、
/wp-content/plugins/フォルダ内のall-in-one-wp-security-and-firewallフォルダの名前を、例えばall-in-one-wp-security-and-firewall_disabledなどに変更します。これでプラグインが一時的に無効化され、元のwp-login.phpでログインできるようになります。ログイン後、フォルダ名を元に戻してプラグインを再度有効化し、今度は忘れないようにURLをメモしておきましょう。
トラブル2:特定のページで403エラーが表示される
- 原因:6Gファイアウォールや「高度な文字列フィルター」が、正常なアクセスを誤って攻撃と判断している可能性があります。
- 解決方法:WPセキュリティ → ファイアウォール → 6Gブラックリスト/ファイアウォールルールで、「6Gファイアウォール保護を有効化」のチェックを一旦外して、問題が解決するか確認します。解決した場合は、6Gファイアウォールが原因です。どうしても6Gを使いたい場合は、特定のURLをホワイトリストに追加する必要があります。
トラブル3:自分のIPアドレスがロックアウトされてしまった
- 原因:ログイン試行回数制限の設定が厳しすぎるか、誤ったパスワードを何度も入力してしまった。
- 解決方法:設定したロックアウト時間(例:60分)が経過すれば、自動的に解除されます。すぐにログインしたい場合は、FTPでサーバーに接続し、
/wp-content/plugins/all-in-one-wp-security-and-firewall/フォルダ内の設定ファイルを編集するか、プラグインを一時的に無効化します。
設定はゴールじゃない、安心を手に入れるためのスタート
All In One WP Security & Firewallを導入し、今回紹介した設定を行うことで、あなたのサイトのセキュリティレベルは格段に向上したはずです。セキュリティメーターのスコアも、きっと70点以上に達しているでしょう。もう、漠然とした不安に悩まされる必要はありません。
しかし、忘れてはならないのは、セキュリティ対策は「一度やったら終わり」ではないということです。新たな脆弱性は日々発見されており、攻撃者は常にその隙を狙っています。
セキュリティを維持するための3つの習慣
- WordPress本体、プラグイン、テーマは常に最新の状態に保つ:更新通知が来たら、できるだけ早くアップデートしましょう。
- パスワードは複雑で推測されにくいものにする:定期的に変更することも重要です。
- 定期的にサイトのバックアップを取る:万が一の事態に備え、復旧できる体制を整えておきましょう。
こうした基本的な運用を継続することが、AIOSによる防御力を最大限に活かす鍵となります。AIOSという頼れる”門番”を手に入れた今こそ、安心してコンテンツ制作やビジネスに集中できる環境が整ったのです。
「うちのサイト、今どのくらい安全なんだろう?」
もし、この記事を読んで改めて自サイトのセキュリティが気になった方は、専門のサービスで現状をチェックしてみるのも良いでしょう。最近では、サイトのURLを入力するだけで、わずか30秒ほどで基本的な安全性を無料で診断できるサービスもあります。暗号化(SSL)の設定状況や既知の脆弱性を持つプラグインの利用状況、情報漏えいのリスクなど、気になるポイントを手軽に確認できます。
WordPressセキュリティ診断 https://rescue-wordpress.com/
問題が起きてからでは手遅れです。プロの力を借りてサイトの「健康診断」を受け、盤石なセキュリティ体制を築いていきましょう。