WordPressのセキュリティを手軽に強化できる「All In One WP Security」の使い方

「WordPressのセキュリティを強化したいけど、専門的な知識はない。」

そんな方におすすめなのが、「All In One WP Security」というプラグイン。幅広いセキュリティ機能が揃っており、初心者でも安心して使えます。

当記事では、機能概要と使い方をご紹介します。

「All In One WP Security」の機能概要

「All In One WP Security」は、WordPressのセキュリティを総合的に強化できるプラグインです。主な機能は次の通り。

• バージョンやユーザー名をサイト上から隠せる
• データベースの接頭辞の変更
• ファイルの変更を自動検知
• ファイアウォールの設定
• ログインページのURL変更
• スパム対策
• 2要素認証

できることは豊富ですが、実際の設定箇所は限られているので、初心者でも使いやすいです。

プラグインのインストール

管理画面から「AIOS」を検索するか、下のボタンからもダウンロード可能です。プラグインファイルを wp-content/pluginsディレクトリにアップした後、管理画面から有効化してください。

All In One WP Security

プラグインのインストール方法は、こちらで詳しく解説しています。

All In One WP Securityの使い方

プラグインを有効化したら、管理画面に「AIOS」という項目が追加されます。

設定がいろいろありますが、ポイントを絞ってご紹介します。

• ダッシュボード
• 設定（★おすすめ）
• ユーザーセキュリティ（★おすすめ）
• データベースセキュリティ
• ファイルのセキュリティ
• ファイアウォール（★おすすめ）
• 総当たり攻撃対策（★おすすめ）
• スパム防止（★おすすめ）
• スキャナー
• ツール
• 2要素認証

ひとまず「（★おすすめ）」とあるものだけ設定するのもアリです。

ダッシュボード

ダッシュボードから見ていきましょう。

All In One WP Securityの管理画面のトップページです。

インストール直後は特にすることはありませんが、上部に「PHPベースのファイアウォール」に関するメッセージが表示されますので、「今すぐ設定」ボタンを押しておきましょう。

下の方にスクロールすると、セキュリティ機能のステータスやログイン中のユーザーを確認できます。

赤い丸が未設定の機能です。クリックするとその設定項目に移動できます。

設定（★おすすめ）

一部のセキュリティ機能を無効化したり、WordPressの動作を制御する大事なファイル（「.htaccess」や「wp-config.php」）のバックアップ・復元が可能です。

ここで設定しておくとおすすめなのは、「WP バージョン情報」のタブです。

「WP Generator メタ情報の削除」のスイッチをONにして、「Save settings」を押せば完了です。

この設定により、WordPressのバージョン情報を非公開にできます。バージョン情報が漏れていると、ハッカーの攻撃対象になりやすいので、そのリスクを軽減する効果があります。

ユーザーセキュリティ（★おすすめ）

ここでは、ユーザー名に関するセキュリティ設定が行えます。

• ユーザー名が脆弱な「admin」になっていないか
• ログイン名と表示名が同じになっていないか
• ユーザー番号の無効化

などを確認できます。

設定が必要な場合は、それぞれ赤枠箇所を操作すればOKです。

サイト上にログイン名を表示しないように設定できますし、「あなたのサイトのURL/?author=1」にアクセスしてもユーザー情報は表示されなくなります。

データベースセキュリティ

データベースの接頭辞を変更して、セキュリティを強化する機能です。

WordPressサイトの情報は、データベースに保存されているのですが、各情報は細かいテーブル（箱のようなもの）に分かれています。テーブルの名前の初期値は以下のような感じです。

• wp_posts
• wp_users
• wp_options

この「wp_」の部分が接頭辞で、そこを変更して不正アクセスを防止するという機能です。

ファイルのセキュリティ

サーバーにある各種ファイルのアクセス権限を変更できます。

上記のように「アクション不要」と出ていれば、操作不要です。

その他、「File protection」のタブでは、WordPressインストール時に自動生成される不要なファイルを削除できます。

また、直リンクを防止したり、PHPファイルを管理画面から編集できないようにするスイッチも用意されています。

すべて有効化しておいて、不便があれば元に戻すでいいと思います。

ファイアウォール（★おすすめ）

悪意のある第三者からのアクセスを遮断するファイアウォールの設定です。

「.htaccess rules」のタブで「基本的なファイアウォール保護を有効化」のスイッチをONにすればOKです。

ひとまず高度な設定はスキップして、基本的な設定のみを行うだけで十分です。

総当たり攻撃対策（★おすすめ）

総当たり攻撃（Brute force）の対策を設定できます。

そこで用意されているのが、ログインページのURLを変更するという対策です。

任意の文字列を入れて、ログインページのURLを変更できます。自分で忘れないようにメモを残しておきましょう。複数人で運営しているサイトなら共有も必須ですね。

また、設定がかんたんなので、「ハニーポット」も設定しておくといいでしょう。

「ハニーポット」タブを開いて、以下の2箇所のスイッチをONにします。

最後に「Save settings」を押せばOKです。

スパム防止（★おすすめ）

スパムボットからのコメントを防止する機能です。

以下のようにすべて有効化しておいて問題ありません。

スキャナー

手動でテーマファイルをスキャンする機能です。

いつどのファイルが変更されたか検知できます。下記箇所を有効化すると、ファイルに変更があったときに自動で検知してくれます。

メールアドレスを登録しておけば、通知も送ってくれます。

ツール

ここでは、パスワードの強度を確認できます。

たとえば、パスワード生成ツールなどで生成した「JQBHuA2HYgDh」をいれてみると、下記のように表示されます。

「このパスワードを破るには、約36537年2か月かかります！」と表示されるので、安全性は高いです。

2要素認証

2要素認証をかんたんに設定できます。ログインする際に、紐づいたスマホでコードを確認しないとログインできないように制限する機能です。

下記箇所で「有効化」にチェックを入れて「変更を保存」し、お手元のスマホでQRコードを読み込んでください。

スマホで以下のような設定項目が表示されますので、サイトのユーザー名とパスワードを登録して保存しておきます。

ここまでの設定で、WordPressの管理画面にログインする際、スマホで確認したコードを入力しないとログインできなくなります。

2要素認証を使いたいだけなら、こんなプラグインもあります。

まとめ

WordPressのセキュリティを手軽に強化できる「All In One WP Security」についてご紹介しました。

初心者でも安心して使えるセキュリティ対策プラグインです。できることも多いですが、設定はシンプルなので迷うことも少ないでしょう。

ログインURLの変更、ユーザー名やバージョン情報の非公開、ファイアウォールなど、基本的な対策をまとめて行えます。

セキュリティレベルを総合的にアップできるので、ぜひ導入してみてください。

All In One WP Security

セキュリティ関連の記事

乗っ取りや改ざんの原因や対策については下記記事を参考にご覧ください。

サイトの安全性を高める基本的な対策は以下でご紹介しています（すぐ対応できるものばかりです）。

アクセスログの確認など、より本格的なセキュリティ対策ができる以下のプラグインもおすすめです。