All-In-One Security (AIOS) – Security and Firewall

変更履歴

5.4.9 – 5/Jun/2026

• 調整: UDRPC メッセージを含む POST リクエストを検証するフィルターを追加
• 調整: 内部共通ライブラリパッケージを最新バージョンに更新

5.4.8 – 2/Jun/2026

• セキュリティ: 管理画面でレンダリングする前にデバッグログメッセージをエスケープし、保存型 XSS 脆弱性を防止。Dmitrii Ignatyev 氏による欠陥報告に感謝。(この問題はデバッグログ機能と「未認証の REST リクエストを禁止」設定の両方が有効な場合に発生。攻撃者が細工したリクエストでデバッグログに悪意のあるスクリプトを注入し、管理者が AIOS デバッグログページで閲覧した際に実行される可能性がありました)。
• 機能: メール処理用にレポートクラスへ通知メソッドを追加
• 機能: 監査ログテーブルに IP をブラックリストに追加する一括操作を追加
• 修正: オンボーディングウィザードで 2FA を設定する際、正しいコードを複数回入力すると拒否される軽微な不具合を修正
• 修正: ログインページ名変更機能を有効化した直後にログアウトボタン/リンクが動作しない問題を修正
• 修正: マルチサイト環境でサブサイトのダッシュボードのログイン概要にメインサイトの詳細が誤って表示される問題を修正
• 修正: AJAX テーブル操作時の class-wp-screen.php での $hook_suffix 未定義 PHP 警告を解消
• 修正: UTF-8 エンコード URI に対応するため「高度な文字フィルター」の URI を正しくデコード
• 修正: スパマー IP アドレスの一括ブロック操作が機能しない問題を解消
• 調整: AIOS アップグレード時に必要な場合のみ更新する .htaccess バージョン管理を導入
• 調整: エクスポートできる監査ログがない場合の空 CSV ダウンロードを防止
• 調整: 「強力なパスワードを強制」が有効なとき、フロントエンドの jQuery 依存を削除
• 調整: 監査ログ一覧に実行された 2FA WP-CLI コマンドを追加
• 調整: 404 ログテーブルを AJAX で動作するよう更新
• 調整: 永続ブロック IP テーブルを AJAX で動作するよう更新
• 調整: サイトロックアウト通知メール内の URL を含むユーザー名がメールクライアントで自動リンクされないよう防止

5.4.7 – 27/Apr/2026

• 機能: IP とユーザー名別のログイン失敗上位 5 件のダッシュボードウィジェットと、過去 7 日間のログイン失敗数のチャートを追加
• 修正: WordPress 7.0 管理画面 UI の互換性問題を解消
• 修正: オフにしてもブラックリスト IP と User Agent ファイアウォールが有効のままになる問題を修正
• 修正: WordPress 6.3 以降でテーブルソートインジケーターが表示されない問題を修正
• 修正: セットアップ通知の「IP アドレス検出設定をセットアップ」ボタンが動作しない問題を修正
• 修正: モバイル解像度でテーブルから一括操作とフィルターが欠落する問題を修正
• 修正: 「ログインページの名称を変更」の説明に HTML タグが表示される問題を修正
• 修正: 正規の検索ボット (Google/Bing/Yahoo など) の 404 イベントをログに記録しないよう修正
• 修正: WordPress 5.0 の非推奨通知を解消するため sanitize_url() の代わりに esc_url_raw() を使用
• 修正: 「ReflectionMethod::setAccessible is deprecated as of PHP 8.5」通知を修正
• 修正: ZIP からのインストール時に WP < 5.5.0 で発生する Plugin_Upgrader::$new_plugin_data 未定義プロパティの PHP 通知を解消
• 修正: WPCF7_TagGenerator::add() の PHP 警告を解消 (バージョン 2 より古いタグジェネレーターインスタンスの使用は非推奨)
• 調整: WordPress 同梱の zxcvbn ライブラリを使用してパスワード強度ツールの可読性を改善
• 調整: 機能の説明を明確にするための各種テキスト改善/更新
• 調整: Googlebot IP 範囲 API の URL を更新
• 調整: セキュリティポイント内訳ウィジェットの UI を更新
• 調整: HTTP 認証のパスワードをハッシュ化
• 調整: PHP 7.3 以下のサポート終了に関する通知を追加

5.4.6 – 27/Jan/2026

• 修正: null に対する get_user_otp_algorithm() 呼び出しによる PHP 致命的エラーを修正
• 修正: 他プラグインのオンボーディングウィザード経由で AIOS をインストールした際の設定ページへのリダイレクトを防止

5.4.5 – 05/Jan/2026

• 機能: プラグイン有効化時にオンボーディングウィザードを追加
• 機能: UDC 用レポート機能を追加
• 機能: UDC との連携用に追加コマンドを実装
• 修正: ログインユーザーテーブルが複数セッションを正しく追跡していない問題を修正
• 修正: PHP ルールタブのスクロールを削除し、Internet Bot 設定・WP REST API 等が表示されるように修正
• 修正: UDC コマンドを総当たり攻撃防止の対象外に
• 修正: UDC 用ログインロックアウト保存コマンドを追加
• 修正: UDC 用スパム保護コマンドの更新を実施
• 修正: データベース情報のデバッグレポートで一部の権限が誤って表示される問題を修正
• 調整: ログインページ名変更の URL パーサーを更新し、rtrim() に null を渡すことによる非推奨エラーを防止
• 調整: UDC 用スキャナーコマンドでスキャン終了時に最終スキャン時刻を出力するよう更新

5.4.4 – 5/Nov/2025

• 機能: UpdraftCentral 用の新規モジュール追加と既存モジュールの改善
• 修正: ログインページ名変更により、テーマのカスタム 404 ページがパースされず wp-login.php のショートコードが表示される問題を修正
• 修正: カスタム 404 テンプレート使用時に 404 検出が動作しなかった問題を修正
• 修正: AIOWPSecurity_Base_Tasks::run_for_a_site() の PHP Strict Standards 警告を解消
• 修正: スライダー制御のクラス名を slider から aiowps_slider に変更し、他プラグインとの競合を防ぐため CSS を更新
• 修正: CSV エクスポート時に fputcsv() の必須 $escape パラメータを指定して非推奨エラーを解消

5.4.3 – 8/Sep/2025

• 追加: ユーザーに対して強力なパスワードの使用を強制する機能を実装
• 修正: AJAX リクエストで Cookie ベースの総当たり攻撃防止を迂回できる問題を修正
• 修正: 翻訳テキストドメインの読み込み方法が誤っていた PHP 警告を修正
• 修正: ホストが disk_total_space を無効にしている場合の wp-security-debug.php での未定義関数呼び出しエラーを解消
• 修正: ログインページ名変更時に配列クエリパラメータにアクセスすると致命的エラーになる問題を修正
• 修正: 数式 CAPTCHA が不足した input の ‘id’ を参照して Chrome コンソールエラー・オートフィル・アクセシビリティの問題を起こしていたのを修正
• 修正: AIOS の翻訳 .pot ファイルに TFA ラベルが含まれていなかった問題を修正
• 修正: プロファイル更新時、パスワード未変更でも HIBP の「プロファイル更新時に強制」設定で誤ってエラーが出る問題を修正
• 調整: 恒久ブロックされた IP を 127.0.0.1 ではなくカスタム URL へリダイレクトできる ‘aios_blocked_request_redirect_url’ フィルターを追加
• 調整: 新規 AIOS テーブルを作成し、既存 AIOS テーブルを InnoDB エンジンに更新
• 調整: 「6G ファイアウォールルール」機能を PHP ルールタブに移動
• 調整: 「Internet bots」タブを PHP ルールタブ内に移動
• 調整: デバッグタブで IP 検出ステータスが常にオフになる問題を解消。
• 調整: 手動承認の登録ユーザー一覧で「自分の IP アドレスはブロックできません」というエラーメッセージを表示するように修正

5.4.2 – 15/Jul/2025

• 機能: プロファイル更新・パスワードリセット時に HIBP API でパスワードチェックを強制する機能を追加
• 機能: サイト上の不安全な http 呼び出しを一括でアップグレードする機能を追加
• 修正: アプリケーションパスワード無効化リンクが正しい場所に戻らない問題を修正
• 修正: ファイアウォールのメッセージストアでの致命的エラーを修正
• 修正: ユーザーアカウントタブでの不正な URL 表示を修正
• 修正: ソルト後置が有効な場合に Contact Form 7 送信でログアウトされる問題を修正
• 修正: Cookie ベースの総当たり攻撃防止が有効な場合に「パスワードを設定」ページが読み込まれない問題を修正
• 修正: 未認可 REST リクエスト拒否が有効でも /wp-json/ に REST ルートと API 詳細が表示される問題を修正
• 調整: AJAX メッセージストア用ヘルパーを追加
• 調整: ユーザー列挙エラー時、aios_user_lists_forbidden が 500 ではなく 403 を返すように変更
• 調整: 管理画面メニュー項目を「WP Security」から「AIOS」に変更し、アイコンを現行版に更新
• 調整: AJAX テーブル操作の応答をポップアップモーダルで表示
• 調整: プラグインの PCP 準拠を強化
• 調整: PHP 5.6 サポート終了に関する通知を追加
• 調整: URL を twitter.com から x.com に変更。
• 調整: 感謝のダッシュボード通知内の広告リンクを変更。

5.4.1 – 21/May/2025

• 修正: 未定義関数 AIOWPS\Firewall\sanitize_text_field() 呼び出しによる致命的エラーを解消。
• 修正: デバッグレポートメールの内容がダッシュボード → デバッグの表示と一致しない問題を解消
• 修正: wp-security-user-login.php の未定義関数 wp_strip_tags 呼び出しエラーを修正
• 修正: ユーザーセキュリティ → ユーザーアカウント → ユーザー表示名の情報ボックスで生 HTML が表示される問題を解消
• 修正: 他プラグイン (Gravity Forms プレビュー等) の auth_redirect でログインページが露出する問題を修正
• 修正: ログインページ名変更使用時にパスワードリセットが動作しなかった問題を修正
• 修正: 「ログインページ名の変更」有効化後にログインページで翻訳が欠けていた問題を解消
• 修正: カスタムログインページのレイアウトを新しいデフォルトの WordPress ログイン画面に合わせて更新
• 修正: Cookie ベースの総当たり攻撃オプション保存後にプラグイン再有効化で発生するリダイレクト問題を修正
• 修正: wp-security-user-security-commands.php の未定義変数 $error を修正
• 修正: ログインロックアウトリクエストの問題を修正
• 修正: 監査ログ一覧の一括「選択項目を削除」が動作しなかった問題を修正
• 修正: AIOWSPEC プレフィックスを AIOWPSEC に修正
• 修正: 5G ファイアウォールスイッチの動作を修正 (有効で .htaccess ルールが削除され、無効で追加されていた問題)
• 修正: .htaccess タブで HTML が正しく表示されない問題を修正
• 調整: 新サイトへのリンクに更新

5.4.0 – 27/Mar/2025

• 修正: ファイアウォールの URI パーサーを WordPress 非依存の方式に変更
• 修正: 5.3.10 の ?? 演算子による PHP 5.6 互換性問題を解消

5.3.10 – 26/Mar/2025

• 機能: IP ホワイトリストにコメント機能を追加
• 機能: 診断レポート機能を追加
• 機能: REST API ファイアウォールにホワイトリストと権限グループ別アクセス制限を追加
• 修正: フロントエンド HTTP 認証が有効な場合の「Undefined index: path」エラーを修正
• 修正: ダッシュボードで余白不足や翻訳が適用されない問題を解消
• 調整: allowed_classes 制限なしの unserialize 使用を削除
• 調整: IP コマンドクラスをレスポンスヘルパー利用にリファクタリング
• 調整: WP REST API タブを削除
• 調整: ダッシュボードの「重要機能ステータス」をトグルからステータスランプ表示に変更
• 調整: ダッシュボードのセキュリティ強度メーターを更新
• 調整: ダッシュボードウィジェットで直近 7 日間のログイン数をグラフ表示するよう改善
• 調整: ダッシュボードのメンテナンスモードスイッチを他機能と統一
• 調整: 総当たり攻撃防止メニュー操作を AJAX 化
• 調整: 季節のお知らせを更新

5.3.8 – 16/Dec/2024

• 修正: 翻訳関連の致命的エラーを解消するためプラグイン通知を更新

5.3.7 – 5/Dec/2024

• 調整: 未認可 REST リクエストブロック時の応答コードを 403 に変更
• 調整: ファイアウォールログを一時削除

5.3.6 – 3/Dec/2024

• 修正: AIOS_Firewall_Resource クラスに関する問題を解消

5.3.5 – 24/Nov/2024

• 修正: カスタム .htaccess ルールを適切にエスケープし、バックスラッシュを削除
• 修正: 訪問者ロックアウトメッセージに配置・書式が含まれると設定のインポートが失敗する問題を修正
• 修正: 監査ログのイベントタイプフィルターが、英語以外に翻訳されていても正しく動作するように修正
• 修正: 設定 → WP バージョン情報ページの青枠内テキストのはみ出しを解消
• 修正: アンインストール後も一部のユーザーメタキーが削除されない問題を修正
• 修正: サブサイトがデータベースプレフィックス機能を誤って有効と検出する問題を解消
• 修正: ファイアウォールリソース不足時の致命的エラーを防ぎ、デバッグログに記録するように変更
• 修正: BLOB/TEXT/GEOMETRY/JSON 列にデフォルト値を設定できない WordPress データベースエラーを解消
• 修正: load_plugin_textdomain を init アクションで呼び出し、その後翻訳を適用するように変更
• 修正: 名前変更したログインページで WordPress の翻訳を使用するように修正
• 調整: PHP ファイアウォールルールテンプレート用フィルターを追加
• 調整: 監査ログの国コード欄を IP アドレス基準に更新 (プレミアム)
• 調整: 404 検出タブの文言を改善
• 調整: 許可リストをブラックリストタブに移動し、「ブロック＆許可リスト」に名称変更
• 調整: WP REST API 機能を PHP ルールタブに移動
• 調整: 複数コマンドクラス (Tools、File scan、Files、Settings、Log)を新 AJAX レスポンスヘルパー利用にリファクタリング
• 調整: .htaccess ルール・CAPTCHA 設定・ファイル保護タブの UI を更新
• 調整: 設定 → プラグイン設定の削除タブに注記を追加
• 調整: get_plugin_data() の早期呼び出しで翻訳が不要に
• 調整: ファイアウォールコマンドクラスをレスポンスヘルパー利用にリファクタリング
• 調整: 定数 AIOS_DISABLE_HTTP_AUTHENTICATION を追加。wp-config.php で定義すると HTTP 認証を無効にできます

5.3.4 – 21/Oct/2024

• 機能: ユーザー名/パスワードでサイトを保護する HTTP 認証機能を追加
• 修正: 一般設定からファイアウォールルールをリセットする新メソッドを追加
• 修正: コメントスパム防止に影響していた投稿キャッシュの問題を解消
• 調整: API リクエスト用ヘルパークラスを追加
• 調整: 文末の余分な空白を削除

5.3.3 – 16/Sep/2024

• 機能: WooCommerce クラシックゲストチェックアウトページに CAPTCHA オプションを追加
• 修正: モバイルでのダッシュボード告知ロゴのレスポンシブレイアウトを修正
• 修正: Turnstile CAPTCHA ウィジェットが複数回表示される問題を修正
• 修正: 大きなホストシステムログ読み込み時のメモリ問題を解消
• 修正: Nginx・IIS・非対応 Web サーバーでは設定メニューから .htaccess オプションを削除
• 修正: UX ポップアップの問題とファイアウォール許可リストのサニタイズを解消
• 修正: 確認ダイアログでキャンセルしても一括操作が実行される問題を解消
• 修正: ファイアウォールルールで PHP 警告を防ぐ null チェックを追加
• 調整: 設定・ファイルシステムセキュリティ・スパム防止・ユーザーセキュリティメニューの操作を Ajax 化
• 調整: 一覧テーブルと監査ログに Ajax 対応を追加
• 調整: MemberPress のパスワード再設定・登録フォームに CAPTCHA 欄を追加
• 調整: 非対応サーバーでは設定から .htaccess タブを除外
• 調整: ファイアウォールルールの UI とマルウェアスキャナーの説明を更新
• 調整: .htaccess バックアップでランダムファイル名を生成するよう変更
• 調整: .htaccess から「デフォルト WP ファイルへのアクセス防止」を削除し、削除リストに license.txt を追加

5.3.2 – 06/Aug/2024

• 修正: サブサイト管理者が他サブサイトの監査ログを削除できた不具合を修正
• 修正: PHP ファイアウォールがマルチサイト全体に適用されるため、サブサイトでのブラックリストを無効化
• 修正: Googlebot IP 範囲の取得に関する問題を修正
• 調整: .htaccess 変更前に追加の保護処理を実施
• 調整: ツール・ファイアウォール・スキャナーメニューの操作を AJAX で処理するように変更
• 調整: WHOIS ルックアップタブの入力の前後の空白をトリム
• 調整: デバッグログテーブルのレコード削除時に確認ポップアップを追加
• 調整: MemberPress プラグインに CAPTCHA 対応を追加
• 調整: WP REST API オプションの UX を改善
• 調整: 保守性向上のための内部コード改善
• 調整: 機能マネージャーのパフォーマンスを改善
• 調整: モバイル表示でテーブルが空白になる問題を修正

5.3.1 – 26/Jun/2024

• 機能: パスワード保護のページ・投稿に CAPTCHA を追加
• 修正: BuddyPress 登録ページで CAPTCHA が表示されない問題を修正
• 修正: ログインページ名変更とログインホワイトリストを両方有効にした場合の WooCommerce ログアウト問題を修正
• 修正: 同一ページに複数の WooCommerce ログイン・登録フォームがあると CAPTCHA が表示されない問題を修正
• 修正: 404 検出アクションに関する問題を修正
• 修正: 2FA QR コード画像の UI 問題を修正
• 調整: Cloudflare Rocket Loader で読み込めるようデフォルト CAPTCHA URL に data-cfasync=”false” を追加
• 調整: サイズ制限のためログインロックアウトテーブルのレコードを 90 日後に削除。デフォルト変更用に定数 AIOS_PURGE_LOGIN_LOCKOUT_RECORDS_AFTER_DAYS を追加
• 調整: マルウェアスキャナーの頻度表示を「毎日」から「毎週」に変更
• 調整: パスワードツールのパスワード強度メーター UI を更新
• 調整: 監査ログの IP 列に「IP をロック」「IP をブラックリスト」リンクを追加
• 調整: 偽 Googlebot 検出を強化。gethostbyaddr が失敗した場合は既知の Googlebot IP 範囲でフォールバックチェック
• 調整: 「恒久ブロック IP アドレス」テーブルの列ヘッダーを他テーブルと統一
• 調整: DISALLOW_FILE_EDIT が既に定義されている場合の警告を防止
• 調整: 複数文に一つの翻訳関数が使われている箇所を修正
• 調整: AJAX 呼び出し中の UX を改善
• 調整: ゴミ箱のスパムコメントの重複説明を削除

5.3.0 – 01/May/2024

• 機能: ログイン中ユーザーの一括強制ログアウト機能を追加
• 修正: Cookie ベースの総当たり攻撃防止を有効にした場合の WooCommerce マイアカウントのログアウト問題を修正
• 修正: 未定義の配列キー SCRIPT_FILENAME に関する警告を解消
• 修正: URL に redirect_to パラメータが含まれるとログイン後のカスタムリダイレクトが動作しない問題を修正
• 修正: ユーザーセキュリティページで管理者アカウント一覧が表示されない問題を修正
• 修正: ソルト後置を有効にした場合の Cookie ベースの総当たり攻撃防止の問題を解消
• 修正: 404 イベントログに国フィールドが表示されない問題を修正 (プレミアム)
• 修正: Smart 404 ブロック IP ログに国フィールドが表示されない問題を修正 (プレミアム)
• 調整: サイト設定ではなく管理者の言語設定に合わせて翻訳が表示されない問題を修正
• 調整: 管理画面にアクセスしなくてもファイアウォールのアップグレード変更が適用されるように変更
• 調整: スイッチのラベルをより適切な表現に変更
• 調整: ファイルスキャナー結果でファイルサイズを読みやすい形式で表示
• 調整: wp-admin アクセス試行時のデフォルトメッセージを更新
• 調整: 更新コードをコードの明確化のためリファクタリング
• 調整: 「偽 Googlebot をブロック」機能を PHP ファイアウォールに移植
• 調整: 「ブラックリスト」「ログインホワイトリスト」「ログインロックアウト IP ホワイトリスト」の有効化に IP 1 件以上を必須としないように変更
• 調整: 登録承認で自分の IP をブロックしようとした際のエラーメッセージを追加
• 調整: AJAX 呼び出し時にバッジを更新するメソッドを追加
• 調整: AIOWPSecurity_Utility_File クラスをコードの明確化のためリファクタリング
• 調整: 2024年向けの季節告知内容を更新

5.2.9 – 06/Mar/2024

• 修正: 更新処理から update_event_table_column_to_timestamp の呼び出しを削除
• 修正: WP 5.3 以降でしか利用できない wp_timezone() の呼び出しを削除

5.2.8 – 05/Mar/2024

• 修正: Duo 認証プラグインに影響するユーザーチェックを修正
• 修正: マルチサイトで管理画面や各サイトを個別に訪問しなくてもデータベース更新ルーチンが実行されるよう変更
• 修正: プラグインの無効化と再有効化後にファイアウォールメニューの一部設定がリセットされない問題を修正
• 調整: 監査ログと 404 イベントの CSV エクスポートの日時列を Unix タイムスタンプではなく人間が読める形式に変更
• 調整: デバッグログテーブルの既存日時フィールドをタイムゾーン非依存のタイムスタンプに変換
• 調整: グローバルメタテーブルの既存日時フィールドをタイムゾーン非依存のタイムスタンプに変換
• 調整: 永続ブロックテーブルの既存日時フィールドをタイムゾーン非依存のタイムスタンプに変換
• 調整: 一覧項目のアクションをリファクタリングしてコードの明確化を推進
• 調整: 予告どおりブラックリスト管理メニューを削除
• 調整: 予告どおりその他管理メニューを削除
• 調整: 予告どおり各種管理メニュータブを削除
• 調整: ログインロックアウトテーブルの他種別エントリでも IP ルックアップ結果を保存
• 調整: フッターのレビュー促しを更新
• 調整: aiowps_max_allowed_upload_config フィルターによる 250 MB のアップロード上限を削除
• 調整: 他フォームに影響しないようコメントスパム検出を改善

5.2.7 – 06/Feb/2024

• セキュリティ: 一覧テーブル操作に nonce チェックを追加し CSRF 脆弱性を防止。欠陥の報告に感謝。ログイン中の管理者に細工リンクを開かせて 404 イベントレコードに操作を行わせる攻撃を防ぎます。

5.2.6 – 06/Feb/2024

• セキュリティ: 持続型でない XSS を防ぐため、管理メニューで「tab」クエリパラメータの不要な使用を削除。欠陥の報告に感謝。 (管理者でログイン中に攻撃者が用意したリンクを開かせ、AIOS 管理ページ 1 回の訪問でスクリプトを注入する攻撃を防ぎます)。
• 機能: 監査ログにログアウトイベントを追加
• 機能: デフォルトの readme.html と wp-config-sample.php を削除する機能を追加
• 修正: 誤ったテキストドメインを使用していた翻訳呼び出しを修正
• 修正: ファイルスキャナーがデータファイルを読み取れないことによる PHP 通知を修正
• 修正: ロック解除リクエストボタンが表示されず 127.0.0.1 にリダイレクトされる問題を修正
• 修正: プラグインインストール時の aiowps_login_lockdown テーブルのデータベースエラーを修正
• 調整: 6G の UI をリファクタリング
• 調整: Cloudflare Turnstile CAPTCHA のテーマ設定オプションを追加
• 調整: 監査ログ詳細列に CSS スタイルを追加
• 調整: ダッシュボードの重要機能ステータスリンクを修正し、マルチサイトのサブサイトで有効にできる機能のみ表示
• 調整: プラグイン無効化時に保存されたログイン情報を削除し、次回有効化時に強制ログアウトされないように変更
• 調整: 監査ログ詳細で json_decode が失敗した場合は null ではなく JSON 文字列を表示
• 調整: イベントテーブルの既存日時フィールドをタイムゾーン非依存のタイムスタンプに変換
• 調整: コードベースをコーディング規約に準拠させる各種調整
• 調整: 複数文が単一の翻訳関数に渡されないよう各種調整
• 調整: RSS と Atom ファイアウォール設定の UI を修正し、詳細ボックスを追加
• 調整: DOM 内の一意 ID の問題を修正
• 調整: ユーザーセキュリティ設定でユーザー名と表示名タブを統合
• 調整: 「404 検出」タブを「総当たり攻撃防止」管理メニューに移動
• 調整: 「PHP ファイル編集」タブを「ファイル保護」タブ内に移動
• 調整: 「ユーザー列挙」タブをユーザーセキュリティメニューの「ユーザーアカウント」タブ内に移動
• 調整: 「WP REST API」タブをファイアウォールメニューに移動
• 調整: 「コピー保護」「フレーム」タブをファイルシステムセキュリティメニューに移動
• 調整: 「ソルト」タブをユーザーセキュリティメニューに移動
• 調整: 「ブラックリストマネージャー」タブをファイアウォールメニューに移動
• 調整: パスワードリセット、削除、ユーザー削除を監査ログに記録
• 調整: IP に既存のロックがある場合は 404 IP をロックしないよう変更
• 調整: ユーザーのタイムゾーン対応で日時変換を統一
• 調整: IP ルックアップ結果の空データのデータベース保存方法を変更
• 調整: ファイアウォールメニューページを PHP ルールと .htaccess ルールの 2 タブ構成に再設計
• 調整: Contact Form 7 に CAPTCHA 対応を追加
• 調整: プラグイン設定の AJAX 対応の一環として、AJAX 保存と機能詳細バッジ取得を追加
• 調整: パスワードリセットメールに IP 情報を追加
• 調整: 廃止された imagetoolbar メタタグを削除
• 調整: ログインロックアウトテーブルの既存日時フィールドをタイムゾーン非依存のタイムスタンプに変換
• 調整: 配列の代わりに WP_Error オブジェクトを使用するコード改善

5.2.5 – 25/Oct/2023

• セキュリティ: マルチサイトでログインページの名称変更・非表示機能を使用している場合、攻撃者が隠されたログインページを発見できる経路が存在し、機能の効果が無効化される問題を修正。Naveen Muthusamy 氏による欠陥報告に感謝。
• 機能: user-agent と referer が空の POST リクエストをブロック
• 機能: ログインロックアウト通知メールに逆引き IP ルックアップデータを追加
• 修正: ホストが parse_ini_file を無効にしている場合のファイアウォール設定時の致命的エラーを防止
• 修正: ファイアウォールメッセージストアが未使用エントリで満杯にならないように修正
• 修正: gethostbyaddr が失敗または無効なサイトで正当な Googlebot がブロックされないように修正
• 修正: MainWP の更新が正しく実行できない問題を修正
• 修正: REST API と oEmbed プロトコル経由のユーザー列挙を防止
• 修正: User Agent ブラックリストがすべての文字列を正しく照合しない問題を修正
• 修正: ログインユーザーテーブルに正しい情報が表示されない問題を修正
• 調整: 隠しフィールドと Cookie でコメントスパム検出を改善
• 調整: ログインホワイトリストに IPv4 と IPv6 の両方のアドレスを提案
• 調整: ダッシュボード管理メニューのメニュー操作を AJAX で処理
• 調整: 管理メニューページのチェックボックスをスイッチに変更
• 調整: マルチサイトでサイト別ログを区別するためデバッグログテーブルに network_id と site_id 列を追加
• 調整: 各種ユーザー管理メニューを新「ユーザーセキュリティ」管理メニューに統合
• 調整: エクスポート設定ファイル名がローカルタイムゾーンを反映するよう変更
• 調整: ファイルスキャナーの UI/UX を改善し今後の拡張に備える
• 調整: 機能マネージャーのバッジを再設計
• 調整: 予告どおり各種管理メニュータブを削除
• 調整: 他プラグインに依存する機能を機能マネージャーに条件付きで追加
• 調整: スクリプト・スタイルの src から wp meta 情報を削除する関数に null チェックを追加し PHP 非推奨警告を防止
• 調整: 監査ログの日時をサイトのタイムゾーンで表示
• 調整: rule-proxy-comment-posting.php の REQUEST_METHOD 未定義配列キー PHP 警告を修正
• 調整: TranslatePress 有効時、「ログインページ名変更」設定がオンの場合、WooCommerce 経由のログアウトで 404 ページが表示されないよう修正

5.2.4 – 16/Aug/2023

• 修正: アップグレード時にファイアウォール設定が無効化されないよう移植

5.2.3 – 09/Aug/2023

• 修正: ファイアウォール設定がない場合の「set_value() on null」致命的エラーを修正
• 修正: cron 実行時の PHP 通知を修正
• 修正: 総当たりログイン攻撃ホワイトリストにユーザーではなくサーバー IP が表示される変更を元に戻し
• 調整: ファイアウォールから WordPress へデータを送る通信機構を追加
• 調整: PHP ファイアウォールルールから .htaccess の誤った記述を削除

5.2.2 – 04/Aug/2023

• 機能: ファイアウォールルールをバイパスする IP アドレスの許可リストを追加
• 修正: ManageWP 経由の更新時の get_class() on null 致命的エラーを修正
• 修正: ファイアウォール設定ファイルによる No such file or directory 通知を修正
• 修正: 移植されたルールのいずれかが有効だった場合のみアップグレードメールを送信
• 修正: ボットサーバー IP アドレスがホスト名に解決されない場合に偽の Googlebot をブロック
• 修正: WooCommerce チェックアウトページで Google reCAPTCHA が正しく表示されるよう修正
• 修正: 手動登録承認を有効にしている場合は WooCommerce の自動ログインを防止
• 修正: プレミアムアップグレードタブの UI 重なり問題を修正
• 修正: WP-CLI でメンテナンスモードを制御可能に (プレミアム)
• 修正: マルチサイトで監査ログテーブルに追加されるログイン成功イベントのサイト ID を正しく使用
• 修正: 機能マネージャー一覧に不足していた機能を追加
• 修正: WP-CLI の update all コマンド使用時の警告を修正
• 調整: 2FA コード誤入力通知の複数回検出で REMOTE_ADDR サーバー変数の代わりに AIOS 設定ベースの IP アドレスを使用
• 調整: イベントを記録しないようにする ‘aios_audit_log_record_event’ フィルターを追加
• 調整: 機能アイテムマネージャーのコード構造を改善し今後の拡張に備える
• 調整: ログインホワイトリストに IPv4 と IPv6 の両方のアドレスを提案
• 調整: 「カスタムルール」タブを「ファイアウォール」セクションから「ツール」セクションの独自タブに移動
• 調整: 「ホットリンク防止」タブを「ファイルシステムセキュリティ」メニューの「ファイル保護」タブに移動
• 調整: 全 CAPTCHA 設定を「総当たり攻撃防止」メニューの「CAPTCHA 設定」タブに移動
• 調整: 「パスワードツール」タブを「ツール」管理メニューに移動
• 調整: 「訪問者ロックアウト」タブを「ツール」管理メニューに移動
• 調整: 「ユーザー登録ハニーポット」タブを「総当たり攻撃防止」管理メニューに移動
• 調整: 監査ログにも記録されるため「アカウントアクティビティテーブル」を削除
• 調整: 予告どおり「失敗したログイン記録」タブを削除し、監査ログに記録するように変更
• 調整: 一覧テーブルコードのパフォーマンスを改善
• 調整: 全テンプレートから $_GET、$_POST、$_REQUEST の使用を削除し今後の改善に備える

5.2.1 – 12/Jul/2023

• 修正: ローダーからヘルパークラスファイルを読み込むように修正
• 調整: 2要素認証 (2FA) ブロックの JavaScript を条件付きで読み込み

5.2.0 – 10/Jul/2023

• セキュリティ: データベース保存前にスタックトレースから認証データを削除。5.1.9～5.2.0 の間、サイト管理者がユーザーパスワードを参照できる可能性がありました。管理者は誰のパスワードもリセットできるため影響は限定的です。5.2.0 へのアップグレードで該当データは削除されます。
• セキュリティ: マルチサイトでサブサイト管理者が行える操作をより厳しく制限
• 修正: ファイル編集後に権限を元に戻すように修正
• 修正: プラグイン内の壊れたリンクを修正
• 修正:「cannot declare class」致命的エラーを解消
• 修正: スタックトレース内の全引数を正規化
• 修正: マルチサイトで所属外のサブサイトにログインした際にログインアクティビティテーブルに誤ったエントリが追加される問題を修正
• 修正: 強制ログアウト時のリダイレクトループエラーを解消