• HOME
  • All In One WP Securityでセキュリティを強化する方法

2026年5月20日

  • シェア
  • ツイート

    • 2026年5月20日

    All In One WP Securityでセキュリティを強化する方法

    はじめに

    All In One WP Security & Firewallは無料で使えるWordPressセキュリティプラグインです。ログイン試行回数制限・ファイアウォール・ファイル変更検知・スパムコメント対策など多数の機能をスコアで可視化しながら設定できます。

    症状・原因

    • WordPressへの不正ログイン試行を防ぎたい
    • セキュリティ設定を体系的に行いたい
    • ブルートフォース攻撃からサイトを守りたい
    • ファイアウォールルールを有効化したい

    解決手順

    ステップ1:プラグインをインストールする

    # インストールと有効化
wp plugin install all-in-one-wp-security-and-firewall --activate

# 確認
wp plugin list --search=all-in-one-wp-security --format=table

    ステップ2:ユーザーアカウントのセキュリティを設定する

    WP Security → ユーザーアカウント:

「ユーザー名」タブ:
→「管理者ユーザー名をチェック」
  → admin ユーザーが存在する場合は別名に変更
→「表示名」: ログインIDと異なる表示名を使用

「パスワード」タブ:
→「パスワード強度ツール」: パスワード強度を確認
→ 複雑なパスワード(12文字以上・記号含む)を推奨

    ステップ3:ログインセキュリティを設定する

    WP Security → ユーザーログイン:

「ログインロックダウン」タブ:
→「ログインロックダウン機能を有効化」: ON
→ 最大ログイン試行回数: 5
→ ログイン再試行タイムスロット(分): 5
→ ロックアウト時間(分): 60
→「ロックアウト時に即座にエラーメッセージを表示」: OFF
→「変更を保存」

「ログインCAPTCHA」タブ:
→「ログインページにCAPTCHAを有効化」: ON(スパムbot対策)

「ログインホワイトリスト」タブ:
→「ログイン IP ホワイトリスト機能を有効にする」: 固定IPがある場合のみ

    ステップ4:ファイアウォールを設定する

    WP Security → ファイアウォール:

「基本ファイアウォールルール」タブ:
→「基本ファイアウォール保護を有効化」: ON
  (.htaccess にルールを追加)
→「XMLRPC へのアクセスをブロック」: ON
  (XMLRPC攻撃を防止)
→「WordPress pingbacksをブロック」: ON
→「デバッグログファイルへのアクセスをブロック」: ON

「追加ファイアウォールルール」タブ:
→「ディレクトリブラウジングを無効化」: ON
→「HTTPトレースをブロック」: ON
→「プロキシコメントの投稿をブロック」: ON

    ステップ5:ブルートフォース攻撃対策を設定する

    WP Security → ブルートフォース:

「ログインページ名を変更」タブ:
→「ログインページ名変更機能を有効にする」: ON
→ ログインページスラッグ: my-secret-login
  (/wp-admin の代わりに /my-secret-login でアクセス)

「蜜壺」タブ:
→「ログインフォームに蜜壺を有効にする」: ON
  (botが隠しフィールドを入力するとブロック)

    ステップ6:WP-CLIでセキュリティ状態を確認する

    # ロックアウトされたIPリストを確認
wp option get aios_security_data --format=json 2>/dev/null || \
wp eval "global \$wpdb; \$table = \$wpdb->prefix . 'aiowps_login_lockout'; \
  print_r(\$wpdb->get_results(\"SELECT * FROM {\$table} ORDER BY lock_date DESC LIMIT 10\"));"

# ファイアウォール設定を確認
wp option get aio_wp_security_configs --format=json | python -m json.tool 2>/dev/null

# admin ユーザーの存在確認
wp user list --role=administrator --fields=ID,user_login,user_email --format=table

# ログイン試行ログ確認
wp eval "global \$wpdb; echo \$wpdb->get_var(\"SELECT COUNT(*) FROM {\$wpdb->prefix}aiowps_failed_logins\");"

    ステップ7:ファイル変更検知を設定する

    WP Security → ファイルシステムセキュリティ:

「ファイル変更の検知」タブ:
→「ファイル変更検知スキャンを有効化」: ON
→ スキャン間隔: 毎日
→ 変更が検出されたらメールで通知: ON

「wp-config.php アクセス」タブ:
→「wp-config.php ファイルへのアクセスを禁止する」: ON

「WP ファイル編集を無効にする」タブ:
→「テーマおよびプラグインのファイル編集を無効化」: ON

    注意事項

    • ログインページ名変更後はブックマークを更新してください。新しいURLを忘れると管理画面にアクセスできなくなります
    • ファイアウォールルールは .htaccess を変更します。Apache環境のみ対応です(Nginxは手動設定が必要)
    • ロックアウトされた場合はデータベースで aiowps_login_lockout テーブルのレコードを削除してください

    まとめ

    All In One WP Securityはログインロックダウン・ファイアウォール・ブルートフォース対策を無料で設定できます。ログインページURLの変更と蜜壺機能を組み合わせることで自動攻撃を大幅に減らせます。

    Post Views: 35

    お気軽にご相談ください

    お見積りへ お問い合わせへ
    閉じる