このプラグインを見つけたとき、「え?いろいろとWordPressサイトのセキュリティ対策については知ってるつもりだったけど、こんな対策もあるの?」とその項目の多さにびっくりしました。
しかもほとんどの機能が無料。これにもびっくりしました。
WordPressは世界中でたくさんの方が使われているサイト作成ツール。比較的簡単に使用することができるので便利なのですが、当然同じ仕組みで動いていますので、ハッカー(情報を収集したり不正利用したりする人)やクラッカー(サイトを壊す人)などの標的になりやすいという欠点があります。
それを補うためにいろいろな方がセキュリティアップのためのプラグインを開発し、リリースしています。私もプラグインの紹介記事をたくさん書いていますので、それなりにいろいろなプラグインの違いなども把握しているつもりではいます。そんな中でも今回紹介する「All In One WP Security & Firewall」は本当にいろいろな方面からのセキュリティ懸念を払しょくできそうなプラグインで、恐らくこれをやっておけばちょっとやそっとじゃ不正行為されそうにないと実感できるプラグインです。
【All In One WP Security & Firewall】プラグインの用途や機能
このプラグインで設定できるセキュリティ項目を、公式ページの内容や、テストした内容を総合して列記すると
- ユーザーアカウントのセキュリティ
- ユーザーログインセキュリティ
- ユーザー登録セキュリティ
- データベースのセキュリティ
- ファイルシステムのセキュリティ
- HTACCESSおよびWP-CONFIG.PHPファイルのバックアップと復元
- ブラックリスト機能
- ファイアウォール機能
- ブルートフォースログイン攻撃防止
- セキュリティスキャナー
- コメントスパムセキュリティ
- フロントエンドのテキストコピー保護
ざっとこんな機能が詰まっています。
多くのセキュリティプラグインはそのプラグインの中で機能設定を保存し、サイトにアクセスがあってからそれらの設定を適用するものがほとんどで、一旦アクセスされてからの動作となるためサーバーへ高負荷がかかることがあったり、設定を誤ると解除するのに苦労したりします。
が、プラグインでは「サイトにアクセスする前に防げるものは防ぐようになっている」こと。ちょっと難しい話をすれば.htaccessファイル上に追記すれば防げる対策はファイルを直接編集して機能させるようになっているので、サーバー負荷を最小限にできる点、設定トラブルが少ない点が優れていると思います。
この紹介記事を最後に編集したときの環境・バージョンなど
プラグインは製作者によって日々更新されていくため、この紹介記事が最新バージョンのものであるとは限りません。参考までにこの記事の最終更新日時点におけるテスト環境、プラグインバージョン、プラグイン導入時の留意点などを記載しておきます。
プラグインを使用(試用)したテスト環境
- テストサーバー:カラフルボックス
- WordPressのバージョン:5.4.1
- PHPのバージョン:7.3.11
- テーマ:HABONE(オリジナルテーマ)
- プラグインのバージョン:本記事で紹介しているバージョン4.4.3/最新バージョン 5.4.1
- 公式サイト(wordpress.org上):https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
- 公式サイト(作者サイト):
本記事を参考にWordPressサイトへプラグインの導入を検討される方へ
WordPressは古くから無料で配布されているサイト作成ツール(CMS)で、随時改良が加えられており、さまざまなバージョンが存在します。
さらにWordPressを動かすためのプログラムであるPHP、サイトのデータを保存しておくためのデータベースについても様々なバージョンがあります。
そしてWordPress本体同様にプラグインについてもさまざまなバージョンが存在します。
本記事を参考にプラグインの導入をお考えの方は、以下に留意の上でインストールするようにしてください。
- テスト環境での動作に基づいた紹介記事ですので、すべての環境で正常に動作するかどうかは不明です
※本記事の内容についてはページ内に記載しているプラグインバージョンのものになります。現在のバージョンと異なる場合、機能や日本語対応の状況などが異なる場合があります。
※また、テスト環境、テストしたプラグインバージョン等の表示が本文内にない場合、ページタイトル下にある最終更新日当時の情報となりますので、現在のバージョンでは全く違う機能となっているかも知れません。 - プラグインに無料版と有料版(Pro版)がある場合、特に記載がなければ無料版の情報のみを紹介しています
- このページでプラグインを使用する際に必要なショートコードやコードなどは、コピーして使用することができますが、環境によっては記号などが文字化けすることがあります。コピーしたのに動作しない場合は特に「”」「’」などの記号を入力し直してみてください。
- プラグイン本体の動作不具合や質問などは公式サイトのフォーラムなどで行ってください(ここでは質問にお答えすることはできません)
【All In One WP Security & Firewall】プラグインの設定画面や表示の日本語化と翻訳
当サイトで私が翻訳した【All In One WP Security & Firewall】プラグインの日本語化ファイルを提供しています。翻訳ファイルについての詳しい説明は以下のページをご覧ください。
※翻訳することで設定が容易になり、重要な項目の設定漏れも少なくなりますから日本語化をお勧めします。特にこのプラグインについては設定項目が非常に多いこと、機能についての説明文が多いこと、設定を誤ると自身がアクセス拒否されてしまったり、サイトが機能しなくなるギリギリの機能も持っていることから、翻訳しての設定をおすすめします。
【All In One WP Security & Firewall】プラグインのインストールと設定
インストール方法
インストールはプラグインの新規追加でプラグイン名を入力して検索してインストールするか、WordPressのプラグイン公式配布ページからダウンロード後、管理画面からアップロードインストールしてください(プラグインの公式ページは本ページ内記載のリンクをクリック、もしくは、WordPress公式サイトで検索してください)。
WordPressを使い始めて間もない方(初心者の方)は、より詳細なプラグインのインストール手順や、インストール時に起こる問題などへの対処方法をまとめた【WordPress】プラグインのインストール&追加方法とエラー対処の方法も併せてご覧ください。
基本的な設定方法や使い方
設定項目がたくさんあり、それぞれの設定が結構重要な事柄を含んでいることから、その設定をすることでどんなセキュリティ対策ができるのか?また、設定を誤るとどんなトラブルが発生するのかが細かく解説されています。前述しましたが、英語に明るい方でなければ日本語化された方が無難かと思います。
以下公式ページに掲載されている特徴と設定についての動画です(英語)
ポチップ
ポチップ
