簡単でもガッチリ守る！All In One WP Security ＆ Firewallの設定【4選】

2020年4月19日2026年4月13日

簡単でもガッチリ守る！初心者の方でもできるプラグインでの簡単セキュリティ対策について書いています。大切なサイトやブログを守るために使用するプラグインは「All In One WP Security ＆ Firewall」です。とりあえず、ここだけ抑えておけば安心の設定方法【4選】を、画像付きで分かりやすく説明しています。

All In One WP Security ＆ Firewallとは？

All In One WP Security ＆ Firewall（公式略：AIOWPS）とは、WordPressのプラグインの一つで、総合的なセキュリティ対策機能を備えています。WordPressは利用者が多いため、攻撃の対象となることが多いのも事実です。様々な攻撃から大切なサイトを守るために、All In One WP Security ＆ Firewall は効果を発揮します。

詳しい情報は、以下のWordPress.orgから得られます。

インストール方法

ダッシュボードの左メニューから、プラグイン＞新規追加を選択し、「All In One WP Security ＆ Firewall」と検索してください。

「今すぐインストール」をクリックし、有効化しましょう。

すぐに左メニューに「WP Security」が追加されます。

画像のように、設定項目や設定ページはすべて英語表記です。ただ、各ページでマウスを右クリックし、ブラウザの「日本語に翻訳」機能を使えば、特に問題なく設定できますのでご安心ください。

おすすめの設定【4選】

とにかく多機能なため、設定項目の多さだけをみても難しさを感じてしまうかもしれません。攻撃方法も様々なので、”この攻撃にはこれ”といった具合に対応していけば、どんどん設定項目が増えるのも分かりますが・・・。

最も良いのは、できるだけ外側で攻撃をシャットアウトすることです。”お城の中ではなく、城壁の中に入らせない”ということです。

攻撃方法も日々変化していくので、”完全なセキュリティ対策”というものは存在しませんが、基本的な部分をしっかり設定しておけば、ほとんどの攻撃を外側でブロックできます。この観点でおすすめするAll In One WP Security ＆ Firewallの簡単設定【4選】を、以下で説明します。

1．User login

login lockdown（ログインロック設定）

ログインを何度か失敗した場合、そのユーザー（IPアドレス）を一時的にログインできなくする機能です。

Enable Login Lockdown Feature：
この機能をONにするため、チェックを入れる。

Max Login Attempts：3
Login Retry Time Period (min)：5
Time Length of Lockout (min)：60
上図のような設定をすると、5分以内に3回ログインを失敗した場合、そのユーザーは60分間ログインが禁止される。

Notify By Email：
チェックしてメールアドレスを入力しておけば、誰かがログインロックされた時に、その情報がメールで届く。

最後に「save settings」をクリックして、変更を保存する。

2．Firewall

basic Firewall Rules（基本的なファイヤーウォールのルール設定）

様々な種類のファイヤーウォールの基本的ルール設定をここで行います。

Enable Basic Firewall Protection：
基本的なファイヤーウォールの設定をONにするため、チェックを入れる。

Completely Block Access To XMLRPC：（赤囲み）
チェックを入れるなら、XML-RPCへのアクセスを完全にブロックする。Jetpackやモバイルからの編集なども不可となる。Jetpackを使用しておらず外部投稿もしていないなら、こちらを選択するほうが強力。

Disable Pingback Functionality From XMLRPC：（黄囲み）
XML-RPCからのピンバック機能を無効にする。Jetpackの使用やモバイルからの外部投稿などをしているならこちらを選択する。

最後に「save Basic Firewall settings」をクリックして、変更を保存する。

6G Blacklist Firewall Rules（6Gファイヤーウォールのルール設定）

この機能を使用すると、海外で有名なPerishable Pressが作成したファイアウォールのセキュリティ保護ルールをONにできます。

Enable 6G Firewall Protection：
この機能をONにするため、チェックを入れる。（6Gを選べば5G機能も付随）

最後に「save 5G/6G Firewall settings」をクリックして、変更を保存する。

3．Brute Force

ここでは、ブルートフォースアタック（総当たり攻撃や辞書攻撃など）からサイトを守る設定ができます。

Rename Login Page（ログインページのURL変更）

ログインページのURLはデフォルトで、（サイトのURL）/wp-login.php になっています。この部分をリネームして、正規ユーザー以外がログイン画面に入れないようにします。

オレンジの枠中には、「この機能は、サイトで正しく機能しない場合、管理者からロックアウトされる可能性があります。この機能をアクティブにする前に、このメッセージを読む必要があります」と書かれています。メッセージの内容を確認するとともに、もしもの時に備えてバックアップを取っておきましょう。

Enable Rename Login Page Feature：
この機能をONにするため、チェックを入れる。

Login Page URL：
枠内に新しいログインURLを入力する

最後に「save settings」をクリックして、変更を保存する。

設定が終わると、以下のような画面が表示されます。

赤囲み部分で、変更された現在のログインURLを確認できます。

Login Captcha（キャプチャ設定）

ログイン時のキャプチャ設定ができます。この設定により、自動プログラムによってログイン画面を突破しようとする攻撃をブロックできます。

簡単に設定できるのは「Login Form Captcha Setting」です。

Enable Captcha On Login Page：
この機能をONにするために、チェックを入れる。こうすることにより、ログイン画面に簡単な計算式の答えが求められるため、攻撃用の自動プログラムはブロックされます。

最後に、最下部にある「Save Settings」をクリックし、変更を保存します。

4．Miscellaneous

この部分では、Miscellaneous（その他）のセキュリティ設定ができます。その他ですが、重要な設定があります。

Users Enumeration（ユーザー情報を隠す）

この機能により、（サイトのURL）/?author=1 などにアクセスし、ユーザー情報を抜き出すことを禁止できます。アクセスしようとした場合にエラーが出力されます。

Disable Users Enumeration：
この機能をONにするため、チェックを入れる。

最後に「Save Settings」をクリックします。

WP REST API（RESTリクエストの制限）

この機能を有効にすることで、ユーザーがログインしている場合のみ、RESTリクエストの処理が行われます。無許可のリクエストはブロックされます。（サイトのURL）/wp-json/wp/v2/users にアクセスしてユーザー情報抜き取ろうとする攻撃をブロックできます。

オレンジの枠内には、「REST APIが登録されているプラグイン（Contact form 7など）を使用している場合、ログインしていない時、プラグインが使用するRESTリクエストもブロックするので注意してください」という説明が出ています。ただ、ログイン中は正常に使用できるようですので、ユーザー情報抜き出しをブロックするメリットを優先します。

Disallow Unauthorized REST Requests：
この機能をONにするため、チェックを入れる。

最後に「Save Settings」をクリックして変更を保存します。