「All In One WP Securityをインストールしたけど、設定項目が多すぎてどこから手をつければいいかわからない」「セキュリティスコアって何?どうすれば上がるの?」と感じていませんか?
All In One WP Security & Firewall(以下、AIOS)は、セキュリティスコアでサイトの安全度を「見える化」してくれる総合型WordPressセキュリティプラグインです。無料で使える機能が豊富で、世界中で100万以上のサイトに導入されています。
この記事では、AIOSのインストールから重要な設定まで、スクリーンショットをまじえて順番にわかりやすく解説します。
よこやま良平ITエンジニアとして20年以上WordPressに携わってきたよこやま良平です。多数のサイト復旧を手がけてきたわたしが、AIOSの設定を初心者でも迷わないよう丁寍に解説します。
- All In One WP Securityとは何か・何ができるか
- インストールと初期設定の手順
- セキュリティスコアを上げる設定方法
- ユーザーアカウント・ログイン保護の設定方法
- ファイアウォールの設定方法
こんなお悩みはありませんか?
- ある朝、サイトを開いたら真っ白画面になっていた
- 管理画面にログインできなくなって手が止まった
- 身に覚えのない記事やページが勝手に増えていた
- プラグインを更新したらサイト全体が崩れてしまった
- 以前バックアップを取ったか自分でも覚えていない
累計1,000件以上のWordPressトラブル対応の経験から、「壊れる前に備える」ためのチェックリストを1冊にまとめました。
ログイン・本体・バックアップ・サーバー・運用の5分野を、50項目で「危険度・確認方法・対処法」まで解説しています。
セキュリティプラグイン・WordPressの教科書も含めた3大特典を、
今なら無料で受け取れます。
All In One WP Securityとは?特徴と主な機能
All In One WP Security & Firewall(AIOS)は、WordPressのセキュリティ対策を総合的に管理できる無料プラグインです。設定の難しさに応じて「基本」「中級」「上級」に分類されており、初心者でも段階的に設定できるよう設計されています。
最大の特徴は「セキュリティスコア」機能です。設定を有効にするごとにスコアが上がり、サイトの安全度が視覚的にわかります。何をどれだけ設定すればいいかがひと目でわかるため、初心者でも安心して使えます。
- セキュリティスコア:設定の完了度を0~500点でスコア化して可視化
- ユーザーアカウント保護:ユーザー名の安全性チェック・表示名変更の推奨
- ログインロック:ブルートフォース攻撃対策のログイン失敗回数制限
- ログインページURL変更:デフォルトのログインURLを変更して攻撃を防ぐ
- CAPTCHA(画像認証):ログインページへのbot攻撃を防止
- ファイアウォール:.htaccessベースの基本的なファイアウォール機能
- ファイル変更検出:WordPressのコアファイルへの不正な変更を検出
- データベースセキュリティ:テーブルプレフィックスの変更でSQLインジェクションを防ぐ
- スパムコメント防止:スパムボットからのコメントをブロック
- マルウェアスキャン:有料版(Premium)のみで利用可能
- 二段階認証(2FA):有料版(Premium)のみで利用可能
- 国別ブロック:有料版(Premium)のみで利用可能
- 個人ブログや小規模サイトは無料版で十分な基本保護が得られる
AIOSの無料版にはマルウェアのスキャン・検出機能はありません。感染を検出したい場合はWordfenceなどスキャン機能付きのプラグインを別途導入してください。
All In One WP Securityのインストール手順
AIOSはWordPress公式ディレクトリで配布されているため、管理画面から直接インストールできます。
- WordPress管理画面 →「プラグイン」→「新規プラグインを追加」を開く
- 検索欄に「All In One WP Security」と入力する
- 「All In One WP Security & Firewall」を見つけて「今すぐインストール」をクリックする
- インストール完了後、「有効化」をクリックする
AIOSの設定画面の見方
有効化が完了すると、管理画面の左メニューに「WP Security」という項目が追加されます。
- ダッシュボード:セキュリティスコアとサイト全体の状況を表示
- ユーザーアカウント:ユーザー名・パスワードの安全性チェック
- ユーザーログイン:ログインロック・ログイン試行のログ確認
- ユーザー登録:新規ユーザー登録の手動承認設定
- データベースセキュリティ:テーブルプレフィックスの変更
- ファイルシステムセキュリティ:重要ファイルのパーミッション確認
- ファイアウォール:.htaccessベースのファイアウォール設定
- スパム対策:コメントスパム防止の設定
セキュリティスコアの見方と目標値
AIOSのダッシュボードには「セキュリティスコア」が大きく表示されます。現在の設定状況に応じて0~500点でスコアが表示され、各設定を有効にするごとに点数が加算されます。
- 0~99点(赤):危険な状態。すぐに設定を確認する
- 100~199点(オレンジ):基本的な設定が不足している
- 200~299点(黄):平均的なセキュリティ状態
- 300点以上(緑):良好なセキュリティ状態。まずここを目標にする
この記事の設定をすべて完了することで、300点以上を達成できます。まずは300点超えを目標に設定を進めましょう。
ユーザーアカウントの設定
管理画面の「WP Security」→「ユーザーアカウント」から設定します。WordPressの管理者ユーザー名に関するセキュリティを強化します。
管理者ユーザー名の確認
WordPressインストール時にユーザー名を「admin」にしてしまっている場合、攻撃者にとって最も狙われやすい状態です。AIOSはユーザー名が「admin」かどうかを自動でチェックし、変更を推奨してくれます。
- 「WP Security」→「ユーザーアカウント」→「WPユーザー名」タブを開く
- 「admin」または推測されやすいユーザー名を使っている場合は「新しいユーザー名の変更」から変更する
- 変更後は必ず新しいユーザー名でログインできることを確認する
表示名の設定
WordPressは記事の投稿者名や著者ページでユーザー名が表示されることがあります。ユーザー名と表示名が同じだと、ユーザー名が外部に漏れてしまいます。表示名をニックネームなどに変更しておきましょう。
ユーザーログインの設定
「WP Security」→「ユーザーログイン」から設定します。ログインに関するセキュリティ強化を行います。
ログインロックダウンの設定
一定回数以上ログインに失敗したIPアドレスを自動的にブロックする機能です。ブルートフォース攻撃(総当たり攻撃)を防ぐ最重要設定のひとつです。
- ログインロックダウン機能を有効化:チェックをオンにする
- 最大ログイン試行回数:3回(少なすぎると自分が誤ってロックされやすい)
- ログイン試行タイムアウト期間(分):5分
- ロックアウト時間の長さ(時間):24時間(攻撃者を長くブロックする)
- ロックアウト時に管理者にメール通知:チェックをオンにする
ログインページURLの変更
WordPressのデフォルトのログインURLは「サイトURL/wp-admin/」または「サイトURL/wp-login.php」です。これを別のURLに変更することで、攻撃者がログインページを見つけにくくなります。
- 「ユーザーログイン」→「ログインページ」タブを開く
- 「ログインページURL変更を有効化」にチェックを入れる
- 新しいログインスラッグ(例:
my-login-2026)を入力する - 「設定を保存」をクリックする
- 新しいURL(例:
https://あなたのサイト/my-login-2026)をすぐにブックマークする
ログインURLを変更すると、以前のURL(/wp-admin/)からはアクセスできなくなります。変更後の新しいURLをすぐにブックマークしてください。URLを忘れた場合は、FTPでAIOSプラグインフォルダをリネームして無効化することで元のURL(/wp-login.php)が復活します。
CAPTCHA(画像認証)の設定
ログインページにCAPTCHAを追加することで、自動ツール(ボット)によるログイン攻撃を大幅に減らせます。
- 「ユーザーログイン」→「CAPTCHA設定」タブを開く
- 「ログインフォームにCAPTCHAを有効化」にチェックを入れる
- 「設定を保存」をクリックする
データベースセキュリティの設定
「WP Security」→「データベースセキュリティ」から設定します。WordPressのデータベーステーブル名のプレフィックス(接頭辞)を変更することで、SQLインジェクション攻撃を防ことができます。
WordPressのデフォルトのプレフィックスは「wp_」です。攻撃者はこのデフォルト値を知っているため、変更することでセキュリティが向上します。
プレフィックス変更はデータベースに直接変更を加える高度な操作です。必ず事前にデータベースのバックアップを取ってから実行してください。UpdraftPlusなどのバックアッププラグインで完全バックアップを行ってから設定しましょう。
ファイルシステムセキュリティの設定
「WP Security」→「ファイルシステムセキュリティ」から設定します。WordPressの重要ファイルのパーミッション(アクセス権限)を確認・修正します。
パーミッションが適切でないと、不正なアクセスでファイルが改ざんされるリスクがあります。AIOSは各ファイルのパーミッションが推奨値かどうかを自動チェックしてくれます。
- 「ファイルシステムセキュリティ」→「ファイルパーミッション」タブを開く
- 各ファイルのパーミッションが推奨値かどうかを確認する
- 「推奨値に設定」ボタンが表示された場合はクリックして修正する
PHPファイル編集の無効化
WordPressの管理画面から直接PHPファイルを編集できる機能を無効化します。攻撃者が管理画面に侵入した際に、この機能を使ってマルウェアを仕込まれるリスクを防います。
「ファイルシステムセキュリティ」→「WordPressファイル編集」タブで「WordPressダッシュボードからPHPファイルの編集を無効化」にチェックを入れて保存します。
ファイアウォールの設定
「WP Security」→「ファイアウォール」から設定します。AIOSのファイアウォールは.htaccessファイルを書き換えることで動作する基本的なファイアウォールです。
基本ファイアウォールルールの有効化
- 「ファイアウォール」→「基本ファイアウォールルール」タブを開く
- 「基本ファイアウォール保護を有効化」にチェックを入れる
- 「XMLRPC機能を完全にブロック」または「XMLRPC経由のWordPress Pingbackを無効化」にチェックを入れる(Jetpackを使っていない場合は完全ブロック推奨)
- 「設定を保存」をクリックする
追加ファイアウォールルールの設定
「ファイアウォール」→「追加ファイアウォールルール」タブでは、より細かいセキュリティルールを設定できます。以下の項目を有効にすることをおすすめします。
- インデックスファイルへの直接アクセスを禁止:有効にする
- WordPressのバージョン情報を削除:有効にする
- コメントを通じたWP-JSON API経由のユーザー名の列挙を無効化:有効にする
スパム対策の設定
コメントを許可しているサイトは、スパムボットによる大量のコメント投稿に悩まされることがあります。AIOSのスパム対策機能でこれを防ぎましょう。
- 「WP Security」→「スパム対策」を開く
- 「コメントスパム対策」タブで「コメントフォームにCAPTCHAを有効化」にチェックを入れる
- 「スパムIPと非人間コメントをブロック」にチェックを入れる
- 「設定を保存」をクリックする
設定後のセキュリティスコア確認
この記事で紹介した設定をすべて完了したら、AIOSのダッシュボードでセキュリティスコアを確認しましょう。スコアが300点以上になっていれば、基本的なセキュリティ対策が完了しています。
- 管理者ユーザー名が「admin」でないことを確認した
- 表示名がユーザー名と異なるニックネームになっている
- ログインロックダウンを有効にした
- ログインページURLを変更してブックマークした
- ログインCAPTCHAを有効にした
- 基本ファイアウォールを有効にした
- PHPファイル編集を無効にした
- セキュリティスコアが300点以上になっている
AIOSと他のプラグインの組み合わせ
AIOSは総合型プラグインですが、無料版にはマルウェアスキャン機能がありません。より完全なセキュリティ対策のために以下の組み合わせをおすすめします。
- 総合セキュリティ管理:All In One WP Security(メイン)
- マルウェアスキャン:Wordfence Security(スキャン専用に無料版を活用)
- 定期バックアップ:UpdraftPlus(万が一の復旧に必須)
All In One WP Securityの使い方まとめ
All In One WP Securityは、セキュリティスコアでサイトの安全度を見える化しながら、段階的に設定を強化できる初心者にやさしいプラグインです。
- 管理画面からAIOSをインストール・有効化する
- ユーザーアカウントを確認・修正する(admin以外のユーザー名、表示名の設定)
- ログインロックダウンを有効にする
- ログインURLを変更してブックマークする
- ログインCAPTCHAを有効にする
- 基本ファイアウォールを有効にする
- PHPファイル編集を無効にする
- ダッシュボードでセキュリティスコアが300点以上になっているか確認する
マルウェアのスキャンが必要な場合はWordfenceと組み合わせ、定期バックアップにはUpdraftPlusを活用することで、万全のセキュリティ体制を整えられます。
ホームページの乗っ取りが自分で解決できない時は
ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。
- ホームページが乗っ取られた・改ざんされた
- 管理画面にログインできなくなった
- 変なサイトにリダイレクトされている
- Googleに危険なサイトと表示されている
- 自分で復旧しようとしたが直らない
- WordPressを復旧・修正したい
- 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
- 90日間再感染保証・動作保証で安心
- 初期費用・調査費用0円で安心
