AIOS は初期状態では何も保護機能が働きません。設定で必要な機能を有効にする必要があります。
それぞれの項目を有効にしたときの影響と、推奨設定のまとめです。
一覧
| 項目 | 状況 | ユーザーへの主な影響、備考 |
|---|---|---|
| WP Generator メタ情報の削除 | ◎ | |
| 2要素認証 | △ | ログイン時、スマホアプリ(Google Authenticator 等)でワンタイムパスワードを確認し、入力する必要がある。 |
| 管理者ユーザー名の変更 | ◎ | |
| ログイン名と表示名が同じアカウント修正 | ○ | |
| ユーザー番号無効化 | ○ | |
| Enforce strong password | ○ | 脆弱なパスワードを登録できなくなる。 |
| ログインロックダウン機能を有効化 | ◎ | ログイン画面でパスワード入力を3回間違えると5分間ログインできなくなる。 |
| Login Lockdown IP ホワイトリストを有効化 | - | |
| ユーザーの強制ログアウトを有効化 | △ | ログイン後60分経つと自動ログアウトされる。時間は設定で変更可能。 |
| 新規登録の手動承認を有効にする | △ | 誰でもユーザー登録できる設定のとき、管理者が承認するまでユーザー登録が保留にされる。 |
| Enable salt postfix | ○ | 機能の有効・無効を切り替えるときに一度全員ログアウトされる。 |
| HTTP authentication | Enable for WordPress dashboard | - | 管理画面を開くとき本来のユーザー認証とは別にユーザー名、パスワードの入力を求められる。 |
| HTTP authentication | Enable for frontend | - | 訪問者がWebサイトを開くときユーザー名、パスワードの入力を求められる。 |
| HIBP | Enforce on profile update | ○ | ユーザープロフィール更新時、安全でないパスワード(ハッカーが真っ先に試すパスワード)を登録できなくなる。具体的には、123456、password、admin、誕生日、簡単な英単語の組み合わせ等が登録できなくなる。 |
| HIBP | Enforce on password reset | ○ | パスワードリセット時、安全でないパスワード(ハッカーが真っ先に試すパスワード)を登録できなくなる。 |
| アプリケーションパスワードを無効化 | △ | WordPress公式モバイルアプリ等、REST APIを認証に利用するアプリが利用できなくなる。 |
| データベースの接頭辞設定 | ◎ | |
| ファイルパーミッションスキャン | ◎ | |
| Delete readme.html, license.txt, and wp-config-sample.php | ○ | |
| 画像の直リンクを防止する | × | CDNを利用している場合、正規ユーザーに画像が正しく配信されないことがある。 |
| PHP ファイル編集機能を無効化 | ◎ | |
| コピープロテクションを有効にする | × | 訪問者が右クリック、テキスト選択、コピーが行えなくなる。 |
| iFrame プロテクションを有効にする | ○ | |
| XML-RPC へのアクセスを完全にブロック | △ | WordPress公式モバイルアプリ、トラックバック、ピンバック等、XML-RPCを利用するアプリやサービスが利用できなくなる。不正アクセス試行のログを大幅に減らせるため、これらを利用しないのであれば有効化を強く推奨。 |
| XML-RPC のピンバック機能を無効化 | △ | XML-RPC を利用するピンバック機能が利用できなくなる。 |
| Disable RSS and ATOM feeds | × | RSSリーダーを利用している読者が、サイトの最新の更新情報を受け取れなくなる。 |
| プロキシ経由のコメント投稿を禁止 | △ | 企業内からアクセスしたとき、コメント投稿ができなくなる。 |
| 不正なクエリー文字列を拒否 | △ | トラッキングツールなど、一部の正規機能やプラグインが正常に機能しなくなることがある。 |
| 高度な文字列フィルターを有効化 | △ | プログラム(HTMLやJavaScript)を含めた内容のコメント投稿ができなくなる。 |
| 6G ファイアウォール保護を有効化 | ○ | ごくまれに、特定の地域からのアクセスや、特定のツールの機能が使えなくなることがある。 |
| 未認証の REST リクエストを禁止 | △ | 外部のRSSフィードリーダーや、特定のJavaScriptウィジェットがREST APIからデータを取得している場合、それらが正常に機能しなくなる。 |
| 偽の Googlebots をブロック | ○ | |
| 空白の user-agent と referer を持つ POST リクエストの禁止 | △ | 一部の外部連携サービス、APIクライアント、モバイルアプリが正常に機能しなくなることがある。 |
| 基本的なファイアウォール保護を有効化 | ◎ | |
| debug.log ファイルへのアクセスをブロック | ○ | |
| インデックスビューを無効化 | ○ | |
| IP またはユーザーエージェントのブラックリストを有効化 | - | |
| PHPベースのファイアウォール | ◎ | |
| Upgrade unsafe HTTP calls | ○ | |
| ログインページの名前変更機能を有効化 | ◎ | ログインページのURLが変更される。例 https://www.example.com/wp-admin/ → https://www.example.com/ua6zrs |
| Cookie ベースのブルートフォース攻撃対策を有効化 | △ | 初回ログイン時、ログインページのURLに追加のパラメータが必要になる。例 https://www.example.com/wp-admin/?d9xwpl=1 |
| CAPTCHA | △ | ログインやコメントをする際、画像内の文字を読み取ったり、特定の画像を選択したりといった追加の操作が必要になる。 |
| IP ホワイトリストを有効化 | - | |
| 404 検出の設定 | ○ | 無料版は404の記録のみで攻撃のブロックは手動で行う必要がある。リンク切れの把握には有用。 |
| ログインフォームのハニーポットを有効化 | ○ | |
| ユーザー登録ページでハニーポット機能を有効化する | ○ | |
| Detect spambots posting comments | ○ | |
| Use cookies to detect comment spam | ○ | |
| スパムコメントの IP を自動ブロック | △ | 共有Wi-Fi、学校、企業、VPNサービスなど、同じIPアドレスを多くの人が共有している場合、誤ブロックされることがある。ブロックされると管理者が解除するまでコメントが投稿できなくなる。 |
| 自動ファイル変更検知スキャンを有効化する | ○ |
項目名をクリックすると設定を有効にしたときの具体的な影響(AI 生成)を確認できます。設定項目に付与されている解説文や、AI の回答を参考にして、私の考えで「主な影響」を記載しています。内容に誤りや抜けが含まれる可能性があります。
「状況」列の記号の意味
| 状況 | 説明 | おすすめ |
|---|---|---|
| ◎ | 重要な機能(最低限のセキュリティレベルを達成するのに必要) | 全部有効化。 |
| ○ | セキュリティ強化に有用で、ほぼデメリットがないもの | バックアップを取った上で全部有効化。 |
| △ | セキュリティ強化に有用だが、デメリットがあるもの | バックアップを取った上でできるだけ有効化。迷うものはひとまず有効化し、運用してみて不具合があったときに見直し。 |
| × | セキュリティ強化にあまり有用でないもの | 無効化。 |
| - | 例外設定等 | 必要なときに設定。 |
運用の注意点
- 新しいプラグインや外部サービスを導入したとき、機能が正常に動作しないときは、影響のありそうな機能を無効化して様子を見ます。
- 中級・上級の設定は利用環境によっては不具合が起きる可能性があります。有効にする前に念のためバックアップを取っておきましょう。
把握している不具合
- Contact Form 7 で送信ボタンを押したとき、クルクルマークのまま送信できない。
- 「未認証の REST リクエストを禁止」を有効にした場合に発生する。
- 「Whitelist REST routes」の「contact-form-7」にチェックを入れれば回避できる。