WordPressの管理画面へのアクセスを国内だけに制限する 【wp-admin】

やり方

Wordpressのwp-adminというディレクトリ(フォルダ)に.htaccessというファイルを置く

内容は以下のようなもの

Order Deny,Allow
Allow from 192.168.0.1
Allow from 192.168.0.2
Deny from all
この例だと、
「192.168.0.1」、「195.168.0.2」の2つのIPアドレスからのアクセスのみ許可されます。

今回は、ここに、日本国内のIPだと思われるものを書くことになります。

日本国内に割り当てられているIPの一覧自体は、以下から判明します。

APNIC(Asia Pacific Network Information Centre)が割り当ててるIPアドレスのリスト
http://ftp.apnic.net/stats/apnic/delegated-apnic-latest

自分で作成するのは面倒なので、以下のサイトを利用することにしました。
IPアドレスで日本国外(海外/外国)からのアクセスを制限する.htaccess CGI's

上記のページで「.htaccessダウンロード」というボタンをおすと、.htaccessファイルが入手できます。

Order Deny,Allow
Allow from  国内IP01
省略
Allow from  国内IP99
Deny from all

ダウンロードしたファイルをみれば、上記のようになっていることが確認できるかと思います。
国内割り当てのIPを全て許可して、それ以外は拒否となります。

ファイルを制限するには?

<Files wp-login.php>
Order deny,allow
Deny from all
Allow from 111.222.33.44
Allow from 111.222.33.55
Allow from 111.222.33.81
</Files>

特定のファイル(PHP)を制限するにはこういう感じで・・・。
この例だと、wp-login.phpのアクセスが制限されます。(wp-login.php = WordPressのログイン画面)

注意

・ローカルIPとグローバルIPとを勘違いしないように・・・
・今回は問題ないですが、日本国内だけのアクセスにしようとしても、Google botなどを許可するのを忘れないように。
・WEB(ブラウザ)からのアクセス制限で、FTPなどはアクセスできます
・許可されていないIPからは、本当に管理画面に入れなくなるので、注意してください。
「その他」項目のレンタルサーバーなどで導入されているような、機能をOFFできるような仕組みを作っておけば安全かと思います。

その他

国外IPアドレスからのアクセス制限が実施されてるようなので、個人でもやったほうが良いのかな?と思ったので記事にしてみました。

「WordPressの管理ツール」に対するセキュリティ向上を目的とした国外IPアドレスからのアクセス制限の実施および「WordPress国外IPアクセス制限」機能の追加について
ニュース | レンタルサーバー 高速・高機能・高安定性の【エックスサーバー】

「WordPressの管理画面」に対するセキュリティ向上を目的とした国外IPアドレスからのアクセス制限の実施および「WordPress国外IPアクセス制限」機能、「管理ツール(ダッシュボード)の国外IPアクセス制限」機能の追加について
最新ニュース詳細 /スタードメイン - ドメイン取得 年間690円~ PHP+MySQLサーバー付き!

 3月下旬から国内サイトで不正ログインが行われる事件が相次いでいるが、IDやパスワードを使い回しが被害を大きくさせた原因の一つになっているようだ。被害に遭ったサイト運営各社の調査から、そうした状況が浮かび上がりつつある。

4月9日にNTTレゾナントとイーブックイニシアティブジャパンが、不正ログインに関する調査の追加報告を行った。両社は初期の報告で、IDやパスワードの文字列の組み合わせを総当たりで試す「ブルートフォース攻撃」の可能性を挙げていた
相次ぐ不正ログイン事件、原因はIDとパスワードの使い回しの可能性 - ITmedia エンタープライズ

【ブログ内で関連ある記事】

スポンサーリンク

コメントを残す

メールアドレスは公開されません。
また、コメント欄には、必ず日本語を含めてください(スパム対策)。