説明
最高評価の WordPress セキュリティとファイアウォールプラグイン
All-in-One Security (AIOS) は、UpdraftPlus を提供している信頼できるチームによる WordPress セキュリティプラグインです。
WordPress サイトを安全に保つための多くの機能が詰め込まれているため、「All-In-One」と呼ばれています。
主な内容:
ログイン時のセキュリティ機能 により、ボットの侵入を防ぎます。設定した回数ログインに失敗したユーザーのアカウントをロックしたり、2要素認証を利用したりといったことが可能です。
ファイルおよびデータベースのセキュリティ で通常運用外で発生したファイルの変更を通知します。重要なファイルへのアクセスをブロックし、ファイルやフォルダーをスキャンしてセキュリティリスクのある権限設定がないかを確認します。
ファイアウォール Perishable Press が提供する PHP、.htaccess、6G ファイアウォールルールを利用できます。偽の Google ボットなどを検知してブロックします !
スパム対策 迷惑なスパムコメントを防止し、サーバーへの不要な負荷を軽減します。設定したスパムコメント数を超えた IP アドレスを自動的かつ永久的にブロックします。
監査ログ WordPress サイトで発生したイベントを確認します。プラグインやテーマの追加・削除・更新などの変更履歴を追跡できます。
All-In-One Security が選ばれる理由
AIOS は100万以上のインストール数があり、ユーザー評価は5段階中4.7とほぼ満点です。
初心者から専門家まで、あらゆるレベルのユーザーに最適な AIOS は、すべての機能を論理的かつ明確に説明し、ガイドします。セキュリティ機能は、初級、中級、上級の3段階に分けられており、各ステップを進めるごとにセキュリティスコアが上昇します。機能をオンにするたびに、保護レベルが向上するのを実感してください !
ソフトウェア開発者の大規模なサポートチームがおり、難しいご質問にも対応できる体制とスキルがあります。
WordPress プラグインディレクトリのサポートチケットを毎日確認しており、多くのお問い合わせに 24 時間以内に返答しています。
サイトを安全にするための細かいオプションが豊富な優れたプラグインです。長年使っており満足しています。設定で小さな問題があった際も、無料ユーザーでしたがすぐにサポートしてもらえました。おすすめです。
さらに安全性とセキュリティを高めるには、AIOS Premium にアップグレードしてください。
セキュリティ面で非常に強力でありながら、非常にコスト競争力の高い価格設定になっています。
ログインセキュリティ
2要素認証 (2FA) – 特定のロールに 2要素認証 (2FA) を必須にできます。Google Authenticator、Microsoft Authenticator、Authy などに対応。
‘admin’ ユーザー名の検出と管理 – デフォルトの ‘admin’ を検出し、変更を促して総当たり攻撃から守ります。
ログイン名と表示名の一致を検出・修正 – 表示名がログイン名と同じケースを検出し、セキュリティ改善の案内を表示します。
ユーザー列挙の防止 – ユーザー名などの情報が漏れる URL への不正アクセスをブロックします。
ログイン試行の制御 – 失敗回数を制限して総当たり攻撃を防止。試行回数やロックアウト時間などを設定できます。
強制ログアウト – 指定時間後にユーザーを自動ログアウトし、放置セッションを閉じて不正アクセスリスクを減らします。
新規登録の手動承認 – 新規ユーザー登録を確認・承認し、スパムや偽登録を防ぎます。
WordPress ソルトの強化 – ソルトに 64 文字を追加し、週次でローテーション。データベースが漏洩してもパスワード解析を事実上不可能にします。
プラグインサポート
- All-In-One Security プラグインについて質問や問題があればサポートフォーラムに投稿してください。プレミアムのお客様は https://teamupdraft.com/all-in-one-security/ から直接チームに問い合わせできます。
アクティブセッションの監視・管理 – ログインしているべきでないユーザーがいる場合、ログアウトさせるかブラックリストに追加できます。
スパム防止
ボットからのスパムをブロック – ボットによるスパムコメントを自動ブロックし、サーバー負荷を減らしてユーザー体験を向上させます。
スパム IP の監視 – スパムコメントを残した IP を監視し、コメント数に応じてブロック対象を設定できます。
ファイル / データベース セキュリティ
ファイル権限のスキャンと修正 – 不安全なファイル権限をスキャンし、ワンクリックで修正して重要ファイル・フォルダを保護します。
PHP ファイル編集の無効化 – ダッシュボードから PHP ファイル (プラグインやテーマ) の編集を無効にします。攻撃者がコード実行に利用しやすいため、まず無効化が推奨されます。
機密ファイルの保護 – readme.html など WordPress の情報が分かるファイルへのアクセスを防ぎます。
ファイル変更スキャナー – システム上のファイル変更を検知して通知。通常運用で変わるファイル・フォルダは除外できます。
画像のホットリンク防止 – 他サイトからの画像の直リンク表示を防ぎ、サーバーの帯域を保護します。
安全なデータベースバックアップ – AIOS から UpdraftPlus でデータベースをバックアップ。デフォルトの ‘wp_’ プレフィックスを変更してデータベースを隠せます。
ファイアウォール
.htaccess ファイアウォールルール – .htaccess と wp-config.php へのアクセスを拒否。サーバー署名を無効にし、ファイルアップロードサイズを設定可能な上限に制限します。
debug.log へのアクセスをブロックし、index.php がない場合に Apache がディレクトリ一覧を表示しないようにします。
PHP ファイアウォールルール – XML-RPC の既知の脆弱性悪用を防ぎ、RSS/Atom フィードを無効にして XSS 攻撃を避けます。
偽の Googlebot とボットの POST をブロック – 偽の Googlebot をブロックし、user-agent と referrer が空の IP をブロックしてボットの POST を止めます。
6G ファイアウォールルール – Perishable Press の柔軟なブラックリストルールで、サイトへの悪意のある URL リクエストを減らします。
その他 – IP 範囲とユーザーエージェントのブラックリスト (およびホワイトリスト) を設定し、未ログインの REST API アクセスを無効にして不正アクセスをブロックできます。
2要素認証 拡張 [プレミアム]
2要素認証 は無料プラグインに含まれています。次のような場合は Premium へ:
一定期間後に 2要素認証 (2FA) を必須に – アカウントが指定日数に達した管理者などに 2要素認証 (2FA) を義務付けます。
2要素認証 (2FA) の要求頻度 – ログインのたびではなく、信頼済みデバイスでは一定日数ごとに 2要素認証 (2FA) を要求するように設定できます。
デザインレイアウトのカスタマイズ – 2要素認証 (2FA) のデザインをサイトのレイアウトやブランドに合わせて調整できます。
緊急コード – 2要素認証 (2FA) デバイスを紛失した場合に、1回限りの緊急コードでアクセスを回復できます。
WordPress マルチサイト対応 – WordPress マルチサイトとサブサイトで 2要素認証 (2FA) を一貫して利用できる互換性を確保します。
ログインフォームとの連携 – 2要素認証 (2FA) を WooCommerce、Affiliates-WP、Elementor Pro、bbPress、’Theme My Login’ など各種ログインフォームに追加のコードなしで連携できます。
Smart 404 ブロック [プレミアム]
404 エラーに基づく IP ブロック – スクリプトやボットで URL を probe するハッカーを、残された 404 エラーから検出します。
Smart 404 設定 – IP アドレスがブロックされる前に許可する 404 イベントの最大数を設定します。404 イベントが発生する時間枠を指定します (例: 10 分間に 10 件のエラー)。
Smart 404 URL 文字列によるブロック – 404 イベントに特定の URL 文字列が含まれる場合、その IP アドレスを即座にブロックします。
Smart 404 ホワイトリスト – 404 イベントにより特定の IP アドレスが恒久ブロックされないようにします。
国別ブロック [プレミアム]
サイト全体または特定のページ・投稿へのトラフィックをブロック – EC サイトで、配送や税の都合で特定の国への販売をブロックしたい場合に便利です。
ブロック国からの一部ユーザーをホワイトリスト化 – ブロック対象国に含まれる IP アドレスや IP 範囲もホワイトリストに登録できます。
マルウェアスキャン [プレミアム]
自動マルウェアスキャン – 最新のマルウェア、トロイの木馬、スパイウェアを検出して保護します。
検索エンジンによるブラックリスト登録を通知 – 悪意のあるコードによる検索エンジンのブラックリスト登録を監視します。
応答時間の監視 – サイトの応答時間を記録し、パフォーマンスの問題を特定して対処できます。
稼働時間の監視 – 5 分ごとにサイトの稼働状況を確認し、サイトやサーバーがダウンしたらすぐに通知します。
アドバイスとマルウェア除去 – マルウェア除去のアドバイスやサポートが必要ですか ? 実務経験豊富なサイバーセキュリティの専門家チームがサポートします。
異常時の通知 – サイトに問題があると通知を受け取り、エスカレートする前に対処できます。
プラグインサポート
All-In-One Securityプラグインに関する質問や問題がある場合は、サポートフォーラムに投稿してください。
プレミアムユーザーの方は、https://teamupdraft.com/all-in-one-security から直接サポートチームに問い合わせることができます。
開発情報
- もしあなたが開発者で、このプラグインに追加のフックやフィルターが必要な場合は、私たちに知らせてください。
翻訳
- All-In-One Security プラグインはどの言語にも翻訳できます。
現在利用可能な翻訳:
- 英語
- ドイツ語
- スペイン語
- フランス語
- ハンガリー語
- イタリア語
- スウェーデン語
- ロシア語
- 中国語
- ポルトガル語(ブラジル)
- ペルシア語
プライバシーポリシー
このプラグインは、総当たりログイン攻撃や悪意のある活動の軽減などのセキュリティ目的で IP アドレスを収集する場合があります。
収集した情報はサーバーに保存されます。第三者やリモートサーバーには送信されません。
使い方
プラグインを有効化したら設定メニューに移動し、指示に従ってください。
使い方
プラグインを有効化したら設定メニューに移動し、指示に従ってください。
スクリーンショット
機能一覧。
ブロック
このプラグインは1個のブロックを提供します。
- Twofactor User Settings
インストール
WordPress サイトのセキュリティ強化を始めるには:
- WordPress管理画面の「プラグイン 新規追加」から all-in-one-wp-security.zip ファイルをアップロードしてください。
- WordPress の「プラグイン」メニューからプラグインを有効化してください
- 「AIOS」メニューの「設定」セクションに移動し、プラグインのセキュリティ機能を有効にしてください。
FAQ
-
All-In-One Security (AIOS) のサポートはどのように受けられますか ?
-
無料版の AIOS をご利用のお客様は、このページからサポートを受けることができます。上部のタブから「サポート」を選択し、トピックを投稿してください。平日のサポートリクエストには、すべて24時間以内にご返答することを目標としております。
-
All-In-One Security は他プラグインと互換性がありますか ?
-
はい。AIOS は多くの人気 WordPress プラグインと問題なく連携します。
-
All-in-One Security は定期的に更新されますか ?
-
はい。WordPress のセキュリティは日々進化しています。AIOS も新機能や修正を定期的に取り込んでいるため、必要な間は新しい保護技術の恩恵を受け続けられます。
-
All-In-One Security はサイトを遅くしますか ?
-
いいえ。
-
最終的なご判断はお任せします。無料版の「AIOS」には、Web アプリケーションファイアウォール、2要素認証を含む包括的なログインセキュリティツール、そして WordPress で推奨される最新のセキュリティ対策や技術がすべて搭載されています。
ただし、ビジネス用の Web サイトや、事業内容・自己紹介を掲載するサイトであれば、プレミアム版の「AIOS Premium」を推奨しています。年間70ドルからのプランをご用意しております。 -
AIOS Premium は WordPress サイトをマルウェアスキャンしつつ、応答時間と稼働時間を監視し、問題があれば 24 時間以内に通知します。AIOS Premium のお客様は、メールによるチケットサポート (WP サポートフォーラムではなく) も利用できます。
追加のセキュリティツールには、国別ブロック、Smart 404 エラーブロック、高度な 2要素認証 (2FA) が含まれます。
詳細は All-In-One Security のウェブサイト をご覧ください。
詳細は All-In-One Security のウェブサイト をご覧ください。 -
ウェブショップで希望のサブスクリプションを購入し、購入完了後にプラグインのダウンロードリンクがメールで送られます。「マイアカウント」ページからもリンクにアクセスできます。
ZIP をダウンロードしたら、管理画面の プラグイン 新規追加 プラグインのアップロード からインストールして有効化してください。
プレミアムは無料版の拡張なので、無料版はインストール・有効のままにしてください。サイトをライセンスに接続するため AIOS のユーザー名とパスワードの入力が求められ、プラグインが更新を受け取れるようになります。 -
はい。プレミアム版をインストールする前に、無料版をインストールして有効化している必要があります。プレミアム版は無料版が必須のアドオンです。
-
All-In-One Security はマルチサイトで動作しますか ?
-
はい。AIOS Premium は WordPress マルチサイトに対応しています。ネットワーク全体に保護がかかり、ダッシュボードとオプションはマルチサイトのメインサイトで利用できます。
-
WordPress セキュリティプラグインでサイトへの攻撃をすべて防げますか ?
-
セキュリティプラグインがすべての攻撃を 100% 防げる保証はありません。未知の脆弱性や想定外の要因があり、攻撃者も対策をかいくぐる方法を探し続けているためです。All-In-One Security は既知の攻撃手法に対して有効で、対策の監視と改善を継続しています。
-
All-In-One Security はすべてのサーバー・ホストで動作しますか ?
-
AIOS は、サーバー側でセキュリティプラグインの使用が制限されていない限り、ほとんどのホスト環境と互換性があります。同様に、一部のサーバー (特に Windows / IIS プラットフォーム) では機能の一部が動作しない場合があります。「.htaccess」ファイルを使用する機能は、Windows IIS サーバーや NGINX サーバーでは適用されません (ただし、これらの保護機能をすべてのサーバーへ対応させるための開発が進められています)。
-
開発・テストサイトでプラグインの更新が必要な場合は、それぞれライセンスが必要です。
目的が終わったサイトはライセンスから切断でき、管理画面の プラグイン ページから切断すると、別のサイトに再割り当てできます。 -
All-In-One Security – Security and Firewall プラグインは GDPR やその他のプライバシー法に準拠していますか ?
-
GDPR 準拠の詳細は https://teamupdraft.com/privacy/ をご覧ください。
GDPR 準拠の詳細は https://www.teamupdraft.com/privacy?utm_source=aios-wp-dir&utm_medium=referral&utm_campaign=plugin-dir&utm_content=gdpr&utm_creative_format=faq をご覧ください。
評価
貢献者と開発者
All-In-One Security (AIOS) – Security and Firewall はオープンソースソフトウェアです。以下の人々がこのプラグインに貢献しています。
貢献者
変更履歴
5.4.7 – 27/Apr/2026
- FEATURE: Added a dashboard widget for the top 5 failed login attempts by IP & username and a chart for the number of failed logins over the last 7 days.
- FIX: WordPress 7.0 admin UI compatibility issues resolved.
- FIX: Blacklist IP and User Agent firewalls could still be active when turned off.
- FIX: Table sorting indicators not being shown on WordPress version 6.3 and above.
- FIX: “Set up IP address detection settings” button not working in setup notice.
- FIX: Bulk actions and filter missing from tables on mobile resolutions.
- FIX: Resolved an issue where HTML tags were appearing in the “Rename Login Page” description.
- FIX: 404 events no longer logged for genuine search bots (e.g. Google/Bing/Yahoo).
- FIX: Used esc_url_raw() instead of sanitize_url() to resolve the deprecation notice in WordPress 5.0.
- FIX: Fixed “ReflectionMethod::setAccessible is deprecated as of PHP 8.5” notice.
- FIX: PHP Notice on WP < 5.5.0 when installing from zip. Undefined property: Plugin_Upgrader::$new_plugin_data
- FIX: Resolved PHP warning – WPCF7_TagGenerator::add(): Use of tag generator instances older than version 2 is deprecated.
- TWEAK: Improved password strength tool readability by using zxcvbn library included in WordPress.
- TWEAK: Various text improvements/updates for better clarity and explanation of features.
- TWEAK: Updated the Googlebot IP range API URL.
- TWEAK: Updated the UI for the security points breakdown widget
- TWEAK: Hash HTTP Authentication password.
- TWEAK: Add a notice for PHP 7.3 and below end of support.
5.4.6 – 27/Jan/2026
- 修正: null に対する get_user_otp_algorithm() 呼び出しによる PHP 致命的エラーを修正
- 修正: 他プラグインのオンボーディングウィザード経由で AIOS をインストールした際の設定ページへのリダイレクトを防止
5.4.5 – 05/Jan/2026
- 機能: プラグイン有効化時にオンボーディングウィザードを追加
- 機能: UDC 用レポート機能を追加
- 機能: UDC との連携用に追加コマンドを実装
- 修正: ログインユーザーテーブルが複数セッションを正しく追跡していない問題を修正
- 修正: PHP ルールタブのスクロールを削除し、Internet Bot 設定・WP REST API 等が表示されるように修正
- 修正: UDC コマンドを総当たり攻撃防止の対象外に
- 修正: UDC 用ログインロックアウト保存コマンドを追加
- 修正: UDC 用スパム保護コマンドの更新を実施
- 修正: データベース情報のデバッグレポートで一部の権限が誤って表示される問題を修正
- 調整: ログインページ名変更の URL パーサーを更新し、rtrim() に null を渡すことによる非推奨エラーを防止
- 調整: UDC 用スキャナーコマンドでスキャン終了時に最終スキャン時刻を出力するよう更新
5.4.4 – 5/Nov/2025
- 機能: UpdraftCentral 用の新規モジュール追加と既存モジュールの改善
- 修正: ログインページ名変更により、テーマのカスタム 404 ページがパースされず wp-login.php のショートコードが表示される問題を修正
- 修正: カスタム 404 テンプレート使用時に 404 検出が動作しなかった問題を修正
- 修正: AIOWPSecurity_Base_Tasks::run_for_a_site() の PHP Strict Standards 警告を解消
- 修正: スライダー制御のクラス名を
sliderからaiowps_sliderに変更し、他プラグインとの競合を防ぐため CSS を更新 - 修正: CSV エクスポート時に fputcsv() の必須 $escape パラメータを指定して非推奨エラーを解消
5.4.3 – 8/Sep/2025
- 機能追加 : ユーザーに対して強力なパスワードの使用を強制する機能を実装しました。
- 修正 : AJAX リクエストを使用して Cookie ベースのブルートフォース攻撃防止機能を回避します。
- 修正 : PHP 警告 – 翻訳のテキストドメイン読み込み時に呼び出し方法が誤っていました。
- 修正: ホストが disk_total_space を無効にしている場合の wp-security-debug.php での未定義関数呼び出しエラーを解消
- 修正: ログインページ名変更時に配列クエリパラメータにアクセスすると致命的エラーになる問題を修正
- 修正: 数式 CAPTCHA が不足した input の ‘id’ を参照して Chrome コンソールエラー・オートフィル・アクセシビリティの問題を起こしていたのを修正
- 修正: AIOS の翻訳 .pot ファイルに TFA ラベルが含まれていなかった問題を修正
- 修正: プロファイル更新時、パスワード未変更でも HIBP の「プロファイル更新時に強制」設定で誤ってエラーが出る問題を修正
- 調整: 恒久ブロックされた IP を 127.0.0.1 ではなくカスタム URL へリダイレクトできる ‘aios_blocked_request_redirect_url’ フィルターを追加
- 調整: 新規 AIOS テーブルを作成し、既存 AIOS テーブルを InnoDB エンジンに更新
- 調整: 「6G ファイアウォールルール」機能を PHP ルールタブに移動
- 調整: 「Internet bots」タブを PHP ルールタブ内に移動
- TWEAK: Resolved issue where IP detection status was always off for Debugging tab.
- 調整: 手動承認の登録ユーザー一覧で「自分の IP アドレスはブロックできません」というエラーメッセージを表示するように修正
5.4.2 – 15/Jul/2025
- 機能: プロファイル更新・パスワードリセット時に HIBP API でパスワードチェックを強制する機能を追加
- 機能: サイト上の不安全な http 呼び出しを一括でアップグレードする機能を追加
- 修正: アプリケーションパスワード無効化リンクが正しい場所に戻らない問題を修正
- 修正: ファイアウォールのメッセージストアでの致命的エラーを修正
- 修正: ユーザーアカウントタブでの不正な URL 表示を修正
- 修正: ソルト後置が有効な場合に Contact Form 7 送信でログアウトされる問題を修正
- 修正: クッキーによる総当たり攻撃防止が有効な場合に「パスワードを設定」ページが読み込まれない問題を修正
- 修正: 未認可 REST リクエスト拒否が有効でも /wp-json/ に REST ルートと API 詳細が表示される問題を修正
- 調整: AJAX メッセージストア用ヘルパーを追加
- 調整: ユーザー列挙エラー時、aios_user_lists_forbidden が 500 ではなく 403 を返すように変更
- 調整: 管理画面メニュー項目を「WP Security」から「AIOS」に変更し、アイコンを現行版に更新
- 調整: AJAX テーブル操作の応答をポップアップモーダルで表示
- 調整: プラグインの PCP 準拠を強化
- 調整: PHP 5.6 サポート終了に関する通知を追加
- 調整 : URL を twitter.com から x.com に変更。
- 調整 : 感謝のダッシュボード通知内の広告リンクを変更。
5.4.1 – 21/May/2025
- FIX: Call to undefined function AIOWPS\Firewall\sanitize_text_field() fatal error solved.
- 修正: デバッグレポートメールの内容がダッシュボード デバッグの表示と一致しない問題を解消
- 修正: wp-security-user-login.php の未定義関数 wp_strip_tags 呼び出しエラーを修正
- 修正: ユーザーセキュリティ ユーザーアカウント ユーザー表示名の情報ボックスで生 HTML が表示される問題を解消
- 修正: 他プラグイン (Gravity Forms プレビュー等) の auth_redirect でログインページが露出する問題を修正
- 修正: ログインページ名変更使用時にパスワードリセットが動作しなかった問題を修正
- 修正: 「ログインページ名の変更」有効化後にログインページで翻訳が欠けていた問題を解消
- 修正: カスタムログインページのレイアウトを新しいデフォルトの WordPress ログイン画面に合わせて更新
- 修正: クッキー総当たり攻撃オプション保存後にプラグイン再有効化で発生するリダイレクト問題を修正
- FIX: Fixed the undefined variable $error in wp-security-user-security-commands.php
- 修正: ログインロックアウトリクエストの問題を修正
- 修正: 監査ログ一覧の一括「選択項目を削除」が動作しなかった問題を修正
- 修正: AIOWSPEC プレフィックスを AIOWPSEC に修正
- 修正: 5G ファイアウォールスイッチの動作を修正 (有効で .htaccess ルールが削除され、無効で追加されていた問題)
- 修正: .htaccess タブで HTML が正しく表示されない問題を修正
- 調整: 新ウェブサイトへのリンクに更新
5.4.0 – 27/Mar/2025
- 修正: ファイアウォールの URI パーサーを WordPress 非依存の方式に変更
- 修正: 5.3.10 の ?? 演算子による PHP 5.6 互換性問題を解消
5.3.10 – 26/Mar/2025
- 機能: IP ホワイトリストにコメント機能を追加
- 機能: 診断レポート機能を追加
- 機能: REST API ファイアウォールにホワイトリストとユーザーロール別アクセス制限を追加
- 修正: “Undefined index: path” error when front-end HTTP Authentication is enabled.
- 修正: ダッシュボードで余白不足や翻訳が適用されない問題を解消
- 調整: allowed_classes 制限なしの unserialize 使用を削除
- 調整: IP コマンドクラスをレスポンスヘルパー利用にリファクタリング
- 調整: WP REST API タブを削除
- 調整: ダッシュボードの「重要機能ステータス」をトグルからステータスランプ表示に変更
- 調整: ダッシュボードのセキュリティ強度メーターを更新
- 調整: ダッシュボードウィジェットで直近 7 日間のログイン数をグラフ表示するよう改善
- 調整: ダッシュボードのメンテナンスモードスイッチを他機能と統一
- 調整: 総当たり攻撃防止メニュー操作を AJAX 化
- TWEAK: Updated seasonal notices
5.3.8 – 16/Dec/2024
- 修正: 翻訳関連の致命的エラーを解消するためプラグイン通知を更新
5.3.7 – 5/Dec/2024
- 調整: 未認可 REST リクエストブロック時の応答コードを 403 に変更
- 調整: ファイアウォールログを一時削除
5.3.6 – 3/Dec/2024
- 修正: AIOS_Firewall_Resource クラスに関する問題を解消
5.3.5 – 24/Nov/2024
- 修正: カスタム .htaccess ルールを適切にエスケープし、バックスラッシュを削除
- 修正: 訪問者ロックアウトメッセージに配置・書式が含まれると設定のインポートが失敗する問題を修正
- 修正: 監査ログのイベントタイプフィルターが、英語以外に翻訳されていても正しく動作するように修正
- 修正: 設定 WP バージョン情報ページの青枠内テキストのはみ出しを解消
- 修正: アンインストール後も一部のユーザーメタキーが削除されない問題を修正
- 修正: サブサイトがデータベースプレフィックス機能を誤って有効と検出する問題を解消
- 修正: ファイアウォールリソース不足時の致命的エラーを防ぎ、デバッグログに記録するように変更
- 修正: BLOB/TEXT/GEOMETRY/JSON 列にデフォルト値を設定できない WordPress データベースエラーを解消
- 修正: load_plugin_textdomain を init アクションで呼び出し、その後翻訳を適用するように変更
- 修正: 名前変更したログインページで WordPress の翻訳を使用するように修正
- 調整: PHP ファイアウォールルールテンプレート用フィルターを追加
- 調整: 監査ログの国コード欄を IP アドレス基準に更新 (プレミアム)
- 調整: 404 検出タブの文言を改善
- 調整: 許可リストをブラックリストタブに移動し、「ブロック&許可リスト」に名称変更
- 調整: WP REST API 機能を PHP ルールタブに移動
- 調整: 複数コマンドクラス (Tools、File scan、Files、Settings、Log)を新 AJAX レスポンスヘルパー利用にリファクタリング
- 調整: .htaccess ルール・CAPTCHA 設定・ファイル保護タブの UI を更新
- 調整: 設定 プラグイン設定の削除タブに注記を追加
- 調整: get_plugin_data() の早期呼び出しで翻訳が不要に
- 調整: ファイアウォールコマンドクラスをレスポンスヘルパー利用にリファクタリング
- 調整: 定数 AIOS_DISABLE_HTTP_AUTHENTICATION を追加。wp-config.php で定義すると HTTP 認証を無効にできます
5.3.4 – 21/Oct/2024
- 機能: ユーザー名/パスワードでサイトを保護する HTTP 認証機能を追加
- 修正: 一般設定からファイアウォールルールをリセットする新メソッドを追加
- 修正: コメントスパム防止に影響していた投稿キャッシュの問題を解消
- 調整: API リクエスト用ヘルパークラスを追加
- 調整: 文末の余分な空白を削除
5.3.3 – 16/Sep/2024
- 機能: WooCommerce クラシックゲストチェックアウトページに CAPTCHA オプションを追加
- 修正: モバイルでのダッシュボード告知ロゴのレスポンシブレイアウトを修正
- 修正: Turnstile CAPTCHA ウィジェットが複数回表示される問題を修正
- FIX: Solved memory issue for reading larger host system log file
- 修正: Nginx・IIS・非対応 Web サーバーでは設定メニューから .htaccess オプションを削除
- 修正: UX ポップアップの問題とファイアウォール許可リストのサニタイズを解消
- 修正: 確認ダイアログでキャンセルしても一括操作が実行される問題を解消
- 修正: ファイアウォールルールで PHP 警告を防ぐ null チェックを追加
- 調整: 設定・ファイルシステムセキュリティ・スパム防止・ユーザーセキュリティメニューの操作を Ajax 化
- 調整: 一覧テーブルと監査ログに Ajax 対応を追加
- 調整: MemberPress のパスワード再設定・登録フォームに CAPTCHA 欄を追加
- 調整: 非対応サーバーでは設定から .htaccess タブを除外
- 調整: ファイアウォールルールの UI とマルウェアスキャナーの説明を更新
- 調整: .htaccess バックアップでランダムファイル名を生成するよう変更
- 調整: .htaccess から「デフォルト WP ファイルへのアクセス防止」を削除し、削除リストに license.txt を追加
5.3.2 – 06/Aug/2024
- 修正: サブサイト管理者が他サブサイトの監査ログを削除できた不具合を修正
- 修正: PHP ファイアウォールがマルチサイト全体に適用されるため、サブサイトでのブラックリストを無効化
- 修正: Googlebot IP 範囲の取得に関する問題を修正
- 調整: .htaccess 変更前に追加の保護処理を実施
- 調整: ツール・ファイアウォール・スキャナーメニューの操作を AJAX で処理するように変更
- 調整: WHOIS ルックアップタブの入力の前後の空白をトリム
- 調整: デバッグログテーブルのレコード削除時に確認ポップアップを追加
- 調整: MemberPress プラグインに CAPTCHA 対応を追加
- 調整: WP REST API オプションの UX を改善
- 調整: 保守性向上のための内部コード改善
- 調整: 機能マネージャーのパフォーマンスを改善
- 調整: モバイル表示でテーブルが空白になる問題を修正
5.3.1 – 26/Jun/2024
- 機能: パスワード保護のページ・投稿に CAPTCHA を追加
- 修正: BuddyPress 登録ページで CAPTCHA が表示されない問題を修正
- 修正: ログインページ名変更とログインホワイトリストを両方有効にした場合の WooCommerce ログアウト問題を修正
- 修正: 同一ページに複数の WooCommerce ログイン・登録フォームがあると CAPTCHA が表示されない問題を修正
- 修正: 404 検出アクションに関する問題を修正
- 修正: 2FA QR コード画像の UI 問題を修正
- 調整: Cloudflare Rocket Loader で読み込めるようデフォルト CAPTCHA URL に data-cfasync=”false” を追加
- 調整: サイズ制限のためログインロックアウトテーブルのレコードを 90 日後に削除。デフォルト変更用に定数 AIOS_PURGE_LOGIN_LOCKOUT_RECORDS_AFTER_DAYS を追加
- 調整: マルウェアスキャナーの頻度表示を「毎日」から「毎週」に変更
- 調整: パスワードツールのパスワード強度メーター UI を更新
- 調整: 監査ログの IP 列に「IP をロック」「IP をブラックリスト」リンクを追加
- 調整: 偽 Googlebot 検出を強化。gethostbyaddr が失敗した場合は既知の Googlebot IP 範囲でフォールバックチェック
- 調整: 「恒久ブロック IP アドレス」テーブルの列ヘッダーを他テーブルと統一
- 調整: DISALLOW_FILE_EDIT が既に定義されている場合の警告を防止
- 調整: 複数文に一つの翻訳関数が使われている箇所を修正
- 調整: AJAX 呼び出し中の UX を改善
- 調整: ゴミ箱のスパムコメントの重複説明を削除
5.3.0 – 01/May/2024
- 機能: ログイン中ユーザーの一括強制ログアウト機能を追加
- 修正: クッキーによる総当たり攻撃防止を有効にした場合の WooCommerce マイアカウントのログアウト問題を修正
- 修正: 未定義の配列キー SCRIPT_FILENAME に関する警告を解消
- 修正: URL に redirect_to パラメータが含まれるとログイン後のカスタムリダイレクトが動作しない問題を修正
- 修正: ユーザーセキュリティページで管理者アカウント一覧が表示されない問題を修正
- 修正: ソルト後置を有効にした場合のクッキーによる総当たり攻撃防止の問題を解消
- 修正: 404 イベントログに国フィールドが表示されない問題を修正 (プレミアム)
- 修正: Smart 404 ブロック IP ログに国フィールドが表示されない問題を修正 (プレミアム)
- 調整: サイト設定ではなく管理者の言語設定に合わせて翻訳が表示されない問題を修正
- 調整: 管理画面にアクセスしなくてもファイアウォールのアップグレード変更が適用されるように変更
- 調整: スイッチのラベルをより適切な表現に変更
- 調整: ファイルスキャナー結果でファイルサイズを読みやすい形式で表示
- 調整: wp-admin アクセス試行時のデフォルトメッセージを更新
- 調整: 更新コードをコードの明確化のためリファクタリング
- 調整: 「偽 Googlebot をブロック」機能を PHP ファイアウォールに移植
- 調整: 「ブラックリスト」「ログインホワイトリスト」「ログインロックアウト IP ホワイトリスト」の有効化に IP 1 件以上を必須としないように変更
- 調整: 登録承認で自分の IP をブロックしようとした際のエラーメッセージを追加
- 調整: AJAX 呼び出し時にバッジを更新するメソッドを追加
- 調整: AIOWPSecurity_Utility_File クラスをコードの明確化のためリファクタリング
- 調整: 2024年向けの季節告知内容を更新
5.2.9 – 06/Mar/2024
- 修正: 更新処理から update_event_table_column_to_timestamp の呼び出しを削除
- 修正: WP 5.3 以降でしか利用できない wp_timezone() の呼び出しを削除
5.2.8 – 05/Mar/2024
- 修正: The user check that affects the Duo authentication plugin
- 修正: Database update routine is now run without needing to visit the admin interface or each individual site in a multisite
- 修正: Some settings in the firewall menu not resetting after deactivating and reactivating the plugin.
- 調整: Audit log and 404 events CSV export file date time column is now in a human readable format not unix timestamp
- 調整: Debug log table existing datetime field converted to timestamp to be timezone independent
- 調整: Global meta table existing datetime field converted to timestamp to be timezone independent
- 調整: Permanent block table existing datetime field converted to timestamp to be timezone independent
- 調整: 一覧項目のアクションをリファクタリングしてコードの明確化を推進
- 調整: 予告どおりブラックリスト管理メニューを削除
- 調整: 予告どおりその他管理メニューを削除
- 調整: 予告どおり各種管理メニュータブを削除
- 調整: ログインロックアウトテーブルの他種別エントリでも IP ルックアップ結果を保存
- 調整: フッターのレビュー促しを更新
- 調整: aiowps_max_allowed_upload_config フィルターによる 250 MB のアップロード上限を削除
- 調整: 他フォームに影響しないようコメントスパム検出を改善
5.2.7 – 06/Feb/2024
- セキュリティ: 一覧テーブル操作に nonce チェックを追加し CSRF 脆弱性を防止。欠陥の報告に感謝。ログイン中の管理者に細工リンクを開かせて 404 イベントレコードに操作を行わせる攻撃を防ぎます。
5.2.6 – 06/Feb/2024
- セキュリティ: 持続型でない XSS を防ぐため、管理メニューで「tab」クエリパラメータの不要な使用を削除。欠陥の報告に感謝。 (管理者でログイン中に攻撃者が用意したリンクを開かせ、AIOS 管理ページ 1 回の訪問でスクリプトを注入する攻撃を防ぎます)。
- 機能: 監査ログにログアウトイベントを追加
- 機能: デフォルトの readme.html と wp-config-sample.php を削除する機能を追加
- 修正: Correct some translation calls that were using the wrong text domain
- 修正: PHP notice caused by the file scanner being unable to read its data file
- 修正: Unlock request button was not showing and redirects to 127.0.0.1
- 修正: Database errors for the aiowps_login_lockdown table during plugin installation
- 調整: 6G の UI をリファクタリング
- 調整: Cloudflare Turnstile CAPTCHA のテーマ設定オプションを追加
- 調整: 監査ログ詳細列に CSS スタイルを追加
- 調整: ダッシュボードの重要機能ステータスリンクを修正し、マルチサイトのサブサイトで有効にできる機能のみ表示
- 調整: プラグイン無効化時に保存されたログイン情報を削除し、次回有効化時に強制ログアウトされないように変更
- 調整: 監査ログ詳細で json_decode が失敗した場合は null ではなく JSON 文字列を表示
- 調整: Event table existing datetime field converted to timestamp to be timezone independent
- 調整: Various tweaks to get codebase up to coding standards
- 調整: Various tweaks to ensure multiple sentences are not passed to a single translation function
- 調整: RSS と Atom ファイアウォール設定の UI を修正し、詳細ボックスを追加
- 調整: DOM 内の一意 ID の問題を修正
- TWEAK: Merge Username and Display Name tabs in User Security Settings
- 調整: 「404 検出」タブを「総当たり攻撃防止」管理メニューに移動
- 調整: 「PHP ファイル編集」タブを「ファイル保護」タブ内に移動
- 調整: 「ユーザー列挙」タブをユーザーセキュリティメニューの「ユーザーアカウント」タブ内に移動
- 調整: 「WP REST API」タブをファイアウォールメニューに移動
- 調整: 「コピー保護」「フレーム」タブをファイルシステムセキュリティメニューに移動
- 調整: 「ソルト」タブをユーザーセキュリティメニューに移動
- 調整: 「ブラックリストマネージャー」タブをファイアウォールメニューに移動
- 調整: Password resets, removed and deleted users are now recorded in the audit log
- 調整: Stop 404 IP from being locked if there’s a current lock on that IP
- 調整: Unify date and time conversion with users timezone support
- 調整: IP ルックアップ結果の空データのデータベース保存方法を変更
- 調整: Rework Firewall Menu page to have two tabs for PHP and .htaccess rules
- 調整: Contact Form 7 に CAPTCHA 対応を追加
- 調整: プラグイン設定の AJAX 対応の一環として、AJAX 保存と機能詳細バッジ取得を追加
- 調整: パスワードリセットメールに IP 情報を追加
- 調整: 廃止された imagetoolbar メタタグを削除
- 調整: Login lockout tables existing datetime field converted to timestamp to be timezone independent
- 調整: Code improvements – utilising WP_Error objects instead of arrays
5.2.5 – 25/Oct/2023
- セキュリティ: On a multisite install, if using the AIOS feature for renaming and hiding the login page, a route existed for an attacker to discover the hidden login page, thus negating the usefulness of the feature. Thanks to Naveen Muthusamy for disclosing this defect.
- 機能: Block POST requests that have a blank user-agent and referer
- 機能: ログインロックアウト通知メールに逆引き IP ルックアップデータを追加
- 修正: ホストが parse_ini_file を無効にしている場合のファイアウォール設定時の致命的エラーを防止
- 修正: ファイアウォールメッセージストアが未使用エントリで満杯にならないように修正
- 修正: gethostbyaddr が失敗または無効なサイトで正当な Googlebot がブロックされないように修正
- 修正: An issue that prevented MainWP updates from being performed correctly
- 修正: REST API と oEmbed プロトコル経由のユーザー列挙を防止
- 修正: User agent blacklist not matching all strings correctly
- 修正: Logged in user table not showing the correct information
- 調整: 隠しフィールドとクッキーでコメントスパム検出を改善
- 調整: Login whitelist suggests both IPv4 and IPv6 addresses to whitelist
- 調整: The menu actions in the dashboard admin menu are now processed via AJAX
- 調整: 管理メニューページのチェックボックスをスイッチに変更
- 調整: マルチサイトでサイト別ログを区別するためデバッグログテーブルに network_id と site_id 列を追加
- 調整: 各種ユーザー管理メニューを新「ユーザーセキュリティ」管理メニューに統合
- 調整: Export configuration filename now reflects the local timezone.
- 調整: ファイルスキャナーの UI/UX を改善し今後の拡張に備える
- 調整: Redesign the feature manager badges
- 調整: 予告どおり各種管理メニュータブを削除
- 調整: 他プラグインに依存する機能を機能マネージャーに条件付きで追加
- 調整: スクリプト・スタイルの src から wp meta 情報を削除する関数に null チェックを追加し PHP 非推奨警告を防止
- 調整: Audit log date and time are now displayed in the sites timezone
- 調整: PHP warning undefined array key REQUEST_METHOD in rule-proxy-comment-posting.php
- 調整: When TranslatePress is active, logging out via WooCommerce should not show a 404 page if the “rename login page” setting is on.
5.2.4 – 16/Aug/2023
- 修正: アップグレード時にファイアウォール設定が無効化されないよう移植
5.2.3 – 09/Aug/2023
- 修正: ファイアウォール設定がない場合の「set_value() on null」致命的エラーを修正
- 修正: PHP notices when running under cron
- 修正: Revert change that caused the Brute force login whitelist to show the server IPs and not the users
- 調整: ファイアウォールから WordPress へデータを送る通信機構を追加
- 調整: PHP ファイアウォールルールから .htaccess の誤った記述を削除
5.2.2 – 04/Aug/2023
- 機能: An allow list of IP addresses which bypass the firewall rules
- 修正: ManageWP 経由の更新時の get_class() on null 致命的エラーを修正
- 修正: No such file or directory notice generated by the firewall’s config file
- 修正: Only send the upgrade email if one or more of the ported rules had been enabled
- 修正: Fake Google bots are now blocked if bot server IP address does not resolve to a hostname
- 修正: Google reCaptcha now appears correctly on the WooCommerce checkout page
- 修正: 手動登録承認を有効にしている場合は WooCommerce の自動ログインを防止
- 修正: Premium upgrade tab UI overlapping issue.
- 修正: Allow maintenance mode to be controlled via WP-CLI (Premium)
- 修正: Use the correct site id for login success events added to audit log table on Multisite
- 修正: 機能マネージャー一覧に不足していた機能を追加
- 修正: A warning when using the update all command via WP-CLI
- 調整: AIOS settings based IP address is now used instead of the REMOTE_ADDR server variable for multiple wrong 2FA code notification
- 調整: イベントを記録しないようにする ‘aios_audit_log_record_event’ フィルターを追加
- 調整: 機能アイテムマネージャーのコード構造を改善し今後の拡張に備える
- 調整: Login whitelist suggests both IPv4 and IPv6 addresses to whitelist.
- 調整: Move the ‘Custom rules’ tab from the ‘Firewall’ section to its own tab in the ‘Tools’ section
- 調整: Move the ‘Prevent hotlinking’ tab to the ‘File protection’ tab in the ‘Filesystem Security’ menu
- 調整: 全 CAPTCHA 設定を「総当たり攻撃防止」メニューの「CAPTCHA 設定」タブに移動
- 調整: 「パスワードツール」タブを「ツール」管理メニューに移動
- 調整: 「訪問者ロックアウト」タブを「ツール」管理メニューに移動
- 調整: 「ユーザー登録ハニーポット」タブを「総当たり攻撃防止」管理メニューに移動
- 調整: 監査ログにも記録されるため「アカウントアクティビティテーブル」を削除
- 調整: 予告どおり「失敗したログイン記録」タブを削除し、監査ログに記録するように変更
- 調整: 一覧テーブルコードのパフォーマンスを改善
- 調整: 全テンプレートから $_GET、$_POST、$_REQUEST の使用を削除し今後の改善に備える
5.2.1 – 12/Jul/2023
- 修正: ローダーからヘルパークラスファイルを読み込むように修正
- 調整: 2要素認証 (2FA) ブロックの JavaScript を条件付きで読み込み
5.2.0 – 10/Jul/2023
- セキュリティ: データベース保存前にスタックトレースから認証データを削除。5.1.9~5.2.0 の間、サイト管理者がユーザーパスワードを参照できる可能性がありました。管理者は誰のパスワードもリセットできるため影響は限定的です。5.2.0 へのアップグレードで該当データは削除されます。
- セキュリティ: マルチサイトでサブサイト管理者が行える操作をより厳しく制限
- 修正: ファイル編集後に権限を元に戻すように修正
- 修正: プラグイン内の壊れたリンクを修正
- 修正:「cannot declare class」致命的エラーを解消
- 修正: スタックトレース内の全引数を正規化
- 修正: マルチサイトで所属外のサブサイトにログインした際にログインアクティビティテーブルに誤ったエントリが追加される問題を修正
- 修正: 強制ログアウト時のリダイレクトループエラーを解消
- 調整: Cron・WP-CLI・AIOS_DISABLE_EXTERNAL_IP_ADDR 定義時はユーザー IP に外部サービスを使わないように変更。api.ipify.org リクエスト失敗の警告を抑制
- 調整: 名前変更したログインページ用にパスワードリセットページの翻訳を追加しパスワード生成ボタンを追加
- TWEAK: Added ‘aios_audit_log_event_user_ip’ filter to allow filtering of IP addresses in the audit log
- 調整: 全設定をリセットするアクションフック「aios_reset_all_settings」を追加
- 調整: 名前変更したログインページに WordPress 6.2 に合わせた言語切り替えドロップダウン等を追加
5.1.9 – 09/May/2023
- 機能: IP アドレス – .htaccess ではなく PHP ベースのブラックリスト管理。定数 AIOS_DISABLE_BLACKLIST_IP_MANAGER を追加。wp-config.php で定義すると IP ブラックリストマネージャーを無効にできます。
- 機能: コメント投稿するスパムボットを検出し、破棄するかスパムとしてマーク
- 機能: データベースに保存する 2要素認証 (2FA) の秘密キーを暗号化 (DB 侵害時の追加保護)
- 機能: 監査ログテーブルに「すべて削除」「フィルター済みを削除」の一括操作を追加
- 修正: 認証情報が未設定のときにログインフォームに Cloudflare Turnstile が追加されないように修正
- 修正: プラグイン削除時のエラーを防ぐため監査ログイベントハンドラーの読み込み位置を変更
- 修正: CLI 対応のためコンテキストクラスチェックを修正
- 調整: ソルト後置が有効な場合、マルチサイトのスーパー管理者が再ログインなしでサブサイトのダッシュボードにアクセス可能に
- 調整: コメント CAPTCHA またはカスタムログイン CAPTCHA 有効時に不要なページでも CAPTCHA の JavaScript が読み込まれる問題を修正
- 調整: 一部の nonce チェックをユーザー権限と nonce を検証する内部関数に変更
- 調整: ユーザー登録とログイン成功を監査ログに記録するように変更
- 調整: コマンドクラスを追加し AJAX ハンドラーをリファクタリング
- 調整: WordPress 認証コードを再呼び出しするプラグインとの競合を防ぐ CAPTCHA 検証を追加
- 調整: データベーステーブルプレフィックス機能の UI を改善
- 調整: WordPress コアの更新を監査ログに記録するように変更
- TWEAK: Translation updates are now recorded in the audit …