All-In-One Security(AIOS)v5.4.3 ファイアウォール設定方法【最新版UI完全対応】
WordPressサイトを守るうえで最も重要なのがファイアウォール設定です。
この記事では、人気の無料セキュリティプラグイン
All-In-One Security(AIOS)v5.4.3の最新UI構成に基づき、
初心者でも安全に設定できる方法を徹底的に解説します。
Contents
All-In-One Security (AIOS) とは?
All-In-One Security(旧:All In One WP Security & Firewall)は、
WordPressを総合的に防御できる無料のセキュリティプラグインです。
主な機能
- ファイアウォール(不正アクセス遮断)
- ログイン試行回数制限
- コメントスパム防止
- データベース保護
- ファイル変更検出
プラグインを有効化するだけでも一定の保護効果がありますが、
**ファイアウォール設定を行うことで「攻撃を未然に防ぐ」**ことが可能になります。
👉 関連記事:All-In-One Security (AIOS) でログインURLを変更する方法
ファイアウォール設定画面の構成(v5.4.3)
AIOS v5.4.3のファイアウォールは、旧バージョンとは大きく異なり、
以下のようにモジュールごとに分類されています。
| タブ名 | 主な役割 |
|---|---|
| PHP rules | PHP実行やAPIアクセスなどアプリ層の防御 |
| .htaccess rules | サーバーレベルのアクセス制御 |
| 6G firewall rules | 高度なHTTPリクエスト防御(統合予定) |
| オンラインのボット | 悪質ボットのブロック(統合予定) |
| Block & allow lists | IP/ユーザーエージェント単位で制御 |
| 高度な設定 | ファイアウォールエンジンやHTTPS設定 |
PHP rules(アプリ層の防御)
🔸 Security enhancements(セキュリティ強化)
| 項目 | 内容 | 推奨設定 |
|---|---|---|
| XML-RPC へのアクセスを完全にブロック | 外部からの攻撃・投稿API遮断 | ✅ 有効化 |
| XML-RPC のピンバック機能を無効化 | ピンバックDoS攻撃防止 | ✅ 有効化 |
💡 Jetpackなどを使用している場合は「ピンバック無効化」のみON推奨。
🔸 Feed control(フィード制御)
| 項目 | 内容 | 推奨設定 |
|---|---|---|
| Disable RSS and ATOM feeds | RSS/ATOMフィードを停止 | △(必要に応じて) |
RSS配信を利用していないサイトではONにしてOKです。
🔸 Comment protection(コメント保護)
| 項目 | 内容 | 推奨設定 |
|---|---|---|
| プロキシ経由のコメント投稿を禁止 | スパム投稿対策 | ✅ 有効化 |
🔸 URL security(URLセキュリティ)
| 項目 | 内容 | 推奨設定 |
|---|---|---|
| 不正なクエリー文字列を拒否 | 攻撃的URLパターンの遮断 | ✅ 有効化 |
🔸 String filtering(文字列フィルター)
| 項目 | 内容 | 推奨設定 |
|---|---|---|
| 高度な文字列フィルターを有効化 | XSSやSQLインジェクション防止 | ✅ 有効化 |
💡 危険な文字列を自動で除去して安全化します。
🔸 nG firewall rules(6Gファイアウォール)
| 項目 | 内容 | 推奨設定 |
|---|---|---|
| 6G ファイアウォール保護を有効化 | Jeff Starr氏の6Gルールで防御 | ✅ 有効化 |
一部環境(Nginx)では完全に反映されないことがあります。
Apacheサーバーでは.htaccessに自動適用されます。
🌐 WP REST API(外部アクセス制御)
🔍 目的
WordPressのREST APIを通じてデータが外部から取得・操作されるのを防ぐ設定です。
攻撃者による情報漏えいやスキャンを防止します。
✅ 設定項目と推奨設定
| 項目 | 内容 | 推奨設定 |
|---|---|---|
| 未認証の REST リクエストを禁止 | ログインしていないユーザーのRESTアクセスを遮断 | ✅ 有効化 |
| User roles allowed access when logged in | REST API利用を許可する権限 | 管理者(Administrator)のみ |
| Whitelist REST routes | 特定のルートのみ許可(例:フォーム送信など) | 必要に応じて入力(例:/wp-json/contact-form-7/v1/contact-forms/) |
💡 REST APIを利用するプラグイン(Contact Form 7・WooCommerceなど)が停止した場合は、
該当ルートをWhitelistに追加して対処します。
⚠️ すべてのRESTリクエストを遮断すると、Gutenbergエディタやプラグインが動作しなくなる場合があります。
まずは「未認証のRESTリクエストを禁止」だけONにするのが安全です。
🔸 オンラインのボットの設定(Bot設定)
| 項目 | 内容 | 推奨設定 |
|---|---|---|
| 偽の Googlebots をブロック | クローラー偽装Botを遮断 | ✅ 有効化 |
| 空白の user-agent と referer を持つ POST リクエストの禁止 | 不審なアクセスのブロック | ✅ 有効化 |
.htaccess rules(サーバーレベルの防御)
🔸 基本的なファイアウォール設定
| 項目 | 内容 | 推奨設定 |
|---|---|---|
| 基本的なファイアウォール保護を有効化 | 基本的なアクセス制御ルール | ✅ 有効化 |
| 最大ファイルアップロードサイズ (MB) | アップロードサイズ制限 | 任意(10〜20MB目安) |
🔸 Block debug log
| 項目 | 内容 | 推奨設定 |
|---|---|---|
| debug.log ファイルへのアクセスをブロック | エラーログ情報の漏えい防止 | ✅ 有効化 |
🔸 Listing directory content
| 項目 | 内容 | 推奨設定 |
|---|---|---|
| インデックスビューを無効化 | ディレクトリ一覧の表示を禁止 | ✅ 有効化 |
6G firewall rules(旧設定ページ)
このページは「nG firewall rules」に統合予定です。
将来的に削除されるため、設定はPHP rules → nG firewall rulesで行いましょう。
オンラインのボット(旧設定ページ)
こちらも「PHP rules → オンラインのボット設定」に統合済みです。
古い「オンラインのボット」タブは将来的に削除されます。
Block & allow lists(アクセス制御)
🔸 ブラックリスト設定
| 項目 | 内容 | 推奨設定 |
|---|---|---|
| IP またはユーザーエージェントのブラックリストを有効化 | 特定の攻撃元を遮断 | ✅ 有効化 |
| IP アドレスを入力 | 例:123.45.67.89 | |
| ユーザーエージェントを入力 | 例:BadBot |
🔸 許可リスト(ホワイトリスト)
| 項目 | 内容 | 推奨設定 |
|---|---|---|
| IPアドレスを入力 | 管理者などの固定IPを許可 |
高度な設定(Advanced Settings)
🔍 目的
ファイアウォールエンジンの切り替えやHTTPS強制化など、
AIOS全体の挙動を管理するセクションです。
✅ 設定項目と推奨設定
| 項目 | 内容 | 推奨設定 |
|---|---|---|
| Firewall setup(ファイアウォール設定) | nG Firewallの稼働設定 | ✅ 通常は変更不要 |
| ファイアウォール:「Downgrade firewall」ボタン | 旧エンジンへの切り替え(非推奨) | ❌ 押さない |
| Upgrade unsafe HTTP calls | HTTP通信をHTTPSへ自動変換 | ✅ Enable |
| URL exceptions | 除外したいURL(Webhook・外部APIなど)を指定 | 必要に応じて設定 |
💡 「Downgrade firewall」は旧版互換用の機能です。
通常は触らず、現行のnG Firewallのままで運用しましょう。
「URL exceptions」は、決済APIやWebhookなどで通信が遮断された場合のみ使用します。
設定のコツ
- まずは「.htaccess rules」「PHP rules」「nG firewall rules」だけON。
- 問題がなければ「WP REST API」「オンラインのボット」「Block & allow lists」を追加。
- 不具合が出たら
.htaccessをリネームしてリセット。
トラブル発生時の対処法
ファイアウォール設定後に「画面が真っ白」「管理画面に入れない」場合は:
- FTPで
.htaccessを一時的にリネーム(例:.htaccess_bak) - サイトに再アクセスして復旧を確認
- 該当項目をOFFにして再保存
🔗 関連記事
- All-In-One Security (AIOS) でログインURLを変更する方法
- WordPressのfunctions.phpの使い方と注意点
- WordPress条件分岐タグの基本まとめ【初心者向け】
✅ まとめ:AIOSで多層防御を構築しよう
| 分類 | 内容 | 難易度 | 推奨度 |
|---|---|---|---|
| .htaccess rules | サーバーレベルの防御 | ★☆☆ | ◎ |
| PHP rules | PHP実行・文字列・API防御 | ★★☆ | ◎ |
| nG firewall rules | 高度なリクエスト遮断 | ★★☆ | ◎ |
| Block & allow lists | IP/UAの制御 | ★☆☆ | ○ |
| 高度な設定 | HTTPS・全体管理 | ★★☆ | ◎ |
💬 まとめ一言
All-In-One Security(AIOS)v5.4.3のファイアウォールは、
「サーバー」「PHP」「WordPressコア」の3層を同時に守る設計になっています。
新UIでは設定項目が細かく分かれていますが、
重要な箇所だけを段階的に有効化すれば、初心者でも安全に高レベルな防御を構築可能です。