WebサイトやWebアプリケーション、さらにはWordPressなどでブログを運営していると、
海外からの不正アクセスやスパムに悩まされることはありませんか?
実は、Webシステムへの攻撃の多くは海外のIPアドレスから発生しています。
そこで有効な対策が「海外IPアドレスの遮断」です。
そこで、この記事では、海外IPアドレスを遮断する理由やメリット・デメリット、具体的な遮断方法を紹介します。
また、海外IPアドレスへの対策を行えるおすすめレンタルサーバーも解説します。
こちらの記事は、プログラミング・Web制作歴15年以上、ブログ歴10年以上のプログラマーが書いています。
プライベートでも仕事でも多くのレンタルサーバーを利用してきた経験から、サーバーに関する豊富な知識をもとに書いています。
>> プロフィール
コンテンツ
海外IPアドレス遮断とは?
海外IPアドレス遮断とは、日本国外のIPアドレスからのアクセスを判別し、ブロックする仕組みのことです。
そもそもIPアドレスとは、インターネット上の「住所」のようなものです。
IPアドレスにはおおまかな国・地域の情報が紐づいており、「このIPアドレスは日本のものか、海外のものか」を判定することができます。
この仕組みを使って、日本以外のIPアドレスからのリクエストを制限するのが「海外IPアドレス遮断」です。
対策を行う場所によって、大きく分けて「サーバー側で弾く方法(サーバーレベルでブロック)」と「WordPress(プラグイン)側で弾く方法」があります。
① サーバーレベルでブロックする場合(推奨)
WordPressやプラグインが動く前の段階で、サーバー自体がアクセスを遮断します。
不正なアクセスがWordPressに届く前に弾かれるため、最も安全でサーバーへの負荷も軽減できます。
② プラグインでブロックする場合
WordPressの管理画面から手軽に設定できるのがメリットです。
ですが、アクセス自体はサーバーまで到達してWordPressが処理を行うため、負荷軽減の面ではサーバーレベルに劣ります。
日本語で運営しているWebサイトやブログの場合、正規の読者のほとんどは国内からのアクセスです。
そのため、海外IPアドレスを遮断しても実際の読者への影響はほとんどなく、不正アクセスや攻撃だけを効率よくブロックできます。
海外IPアドレスを遮断する理由
なぜ海外IPアドレスを遮断する必要があるのでしょうか。
主な理由は、海外からの不正アクセスや攻撃が非常に多いからです。
海外からの攻撃の実態
WordPressサイトに対する攻撃の多くは、海外のサーバーや端末から自動プログラムによって行われています。
そのため、小さな個人ブログであっても攻撃の対象になります。
具体的には以下のような攻撃が日常的に発生しています。
- ブルートフォース攻撃:ログインページに対してIDとパスワードを大量に試す攻撃
- スパムコメント・スパムフォーム送信:自動プログラムによる大量のスパム投稿
- 不正ログイン試行:管理画面(wp-admin)への不正アクセス
- マルウェア・ウイルスの注入:脆弱性を突いたサイト改ざん
- DDoS攻撃:大量のアクセスでサーバーに負荷をかけてダウンさせる攻撃
これらの攻撃のほとんどは海外のIPアドレスから発生しています。
そのため、海外IPを遮断するだけで攻撃の大部分をブロックできることが多いです。
WordPressは世界中で使われているCMSのため、自動攻撃の格好の標的になっています。
特に/wp-login.phpや/wp-admin/への不正アクセスは、海外からのものが圧倒的に多いと言われています。
海外IPアドレスを遮断するメリット
海外IPアドレスを遮断する一番のメリットは、セキュリティレベルの向上です。
攻撃や不正アクセスの多くは海外からのため、遮断するだけで一度に複数の問題を解消できるのが大きなメリットです。
例えば、次のようなメリットが考えられます。
- セキュリティが大幅に向上する:不正アクセスや攻撃の大部分をブロックできる
- サーバー負荷が軽減される:不要なリクエストが減り、サイトの表示速度改善にもつながる
- スパムコメントが減少する:自動スパム投稿の多くが海外IPから来るため、大幅に減らせる
- WordPressの管理画面を守れる:ブルートフォース攻撃によるアカウント乗っ取りリスクを低減できる
- 設定が比較的簡単:.htaccessやプラグインを使えば、専門知識がなくても対応できる
特にサーバー負荷の軽減は見落とされがちなメリットです。
攻撃による大量リクエストが減るだけでも、サイトの表示速度が改善されたという報告もあります。
海外IPアドレスを遮断するデメリット・注意点
海外IPアドレスの遮断にもデメリットや注意点はあります。
そこで、設定前に必ず確認しておくべきデメリット・注意点をまとめておきます。
運営しているサイトの目的や読者層によっては、遮断が逆効果になることもあるため、以下をしっかり確認した上で導入を判断しましょう。
- 海外在住の日本人・海外旅行中のアクセスが遮断される:海外から日本語サイトを見たいユーザーもブロックされてしまいます
- VPN経由の攻撃は防げない:攻撃者がVPNで日本のIPアドレスに偽装している場合は効果がありません
- Googlebotなど一部の海外クローラーもブロックされる可能性がある:設定方法によってはSEOへの影響が出ることがあります(適切な設定で回避可能)
- インバウンド向けサイトには向かない:訪日外国人向けのサイトや多言語サイトでは、正規の海外アクセスも遮断されてしまいます
GooglebotのIPレンジはGoogleが公開しているため、許可リストに追加することでSEOへの影響は回避できます。
また、本記事で紹介するサーバー機能を使う場合は、Googlebotなどの正規クローラーへの影響を考慮した設計になっているものがほとんどです。
- 英語や多言語でコンテンツを発信しているサイト
- 海外のビジネスパートナーが頻繁にアクセスするサイト
- 海外在住の読者を対象としているサイト
海外IPアドレスを自分で遮断する方法
このセクションでは、海外IPアドレスを遮断する方法を紹介します。
代表的な方法は3つです。
- .htaccessを使う方法
- WordPressプラグインを使う方法
- Cloudflareを使う方法
方法①:.htaccessを使う方法(Apache環境)
Apache環境のレンタルサーバーでは、.htaccessファイルに設定を記述することで特定のIPアドレスをブロックできます。
完全な海外IP遮断には不向きで、特定の攻撃元IPアドレスやそのネットワーク帯域を個別にブロックする用途に向いています。
読者の状況に合わせて、よく使われる4つの記述パターンを紹介します。(※現在主流のApache 2.4系での設定例です)
<RequireAll>
Require all granted
Require not ip 198.51.100.1
</RequireAll>
<RequireAll>
Require all granted
Require not ip 198.51.100.1
Require not ip 198.51.100.2
</RequireAll>
(※攻撃者がIPの末尾だけを変えてくる場合に有効です)
<RequireAll>
Require all granted
Require not ip 198.51.100.0/24
</RequireAll>
(※特定のIP(自分のIPなど)からのみアクセスを許可し、それ以外を弾く設定です)
<Files "wp-login.php">
Require ip 203.0.113.1
</Files>
(※上記の数字部分はダミーのIPアドレスです。実際にブロック・許可したいIPアドレスに書き換えて使用してください。)
国単位でブロックする場合は「GeoIP」モジュールを使う方法もあります。
ただし、サーバー側での設定が必要なため、一般的なレンタルサーバーでは対応していないことがほとんどです。
方法②:WordPressプラグインを使う方法
WordPressユーザーであれば、セキュリティプラグインを使うのが最も簡単な方法です。
サーバーの設定を触らずに、WordPressの管理画面から操作できる点が大きなメリットです。
代表的なプラグインは以下の4つです。
| プラグイン名 | 内容 |
|---|---|
| SiteGuard WP Plugin | 日本製のWordPressセキュリティプラグイン。ログインページの変更や海外IPからのアクセス制限が可能 |
| Wordfence Security | 世界的に有名なセキュリティプラグイン。国別ブロック機能(有料版)を利用して海外IPを遮断できる |
| All In One WP Security & Firewall | 無料で多機能なセキュリティプラグイン。ファイアウォール設定でアクセス制限が可能 |
| CloudSecure WP Security | クラウドセキュア株式会社が開発した国産のセキュリティ対策プラグインで、日本語で利用できます。 無料で利用可能であり、ログインURL変更や管理画面アクセス制限などの機能によってWordPressのセキュリティを強化できます。 |
中でも「SiteGuard WP Plugin」は無料かつ日本語対応で、WordPress管理画面への海外アクセスを手軽に制限できるためおすすめです。
また、同じく国産の「CloudSecure WP Security」も画面がシンプルで使いやすいプラグインです。
方法③:Cloudflareを使う方法
Cloudflareは、無料で使えるCDNサービスです。
サーバーの手前でアクセスを弾く仕組みのため、サーバー自体への負荷軽減効果も高く、他の方法と組み合わせて使うことも可能です。
- 無料プランでも国単位のブロックが可能
- サーバーの手前で防ぐため、サーバー負荷の軽減効果も高い
- 設定はCloudflareの管理画面から行うため、サーバーの設定変更不要
すでにCloudflareを導入済みの場合は、まずCloudflareの設定から試してみるのがおすすめです。
海外IPアドレス対策をできるレンタルサーバーを紹介
レンタルサーバー側が提供している機能を利用して、海外IPアドレスへの対策を使う方法もあります。
複雑な設定ファイルを編集する必要がなく、設定ミスによってサイトが壊れるリスクもありません。
また、サーバーレベルでブロックするため、プラグインに比べて処理が速く、サーバーへの負荷も最小限に抑えられます。
そこで、海外IPアドレスへの対策を行えるレンタルサーバーを3社紹介します。
まずは、表で比較してみましょう。
| ロリポップ! | エックスサーバー | ConoHa WING | |
|---|---|---|---|
| 海外IPアクセス制限 | ◎(海外アタックガード) | △(個別IPブラックリスト登録) | △(個別IPブラックリスト登録) |
| WordPressへの 海外アクセス制限 |
◎(海外アタックガード) | ◎(WPセキュリティ設定) | ◎(WPセキュリティ設定) |
| IPブラックリスト登録 | × | ◎ | ◎ |
| 設定の手軽さ | ◎ | ◎ | ◎ |
エックスサーバーとConoHa WINGには、WordPress専用のセキュリティ設定機能が用意されています。
それに対して、ロリポップ!には海外アタックガードという機能があります。
その中にWordPressの管理画面などへのアクセス制限機能が入っています。
① ロリポップ!|海外アタックガード機能が強力
ロリポップ!は、GMOペパボが運営する老舗レンタルサーバーです。
月額121円~という低価格ながら、WordPressにも対応しており、初心者から中級者まで幅広く利用されています。
※WordPressを利用する場合は、ライトプラン(月額330円~)以上の契約が必要です。
ロリポップ!では、海外IPアドレスへの対策として、「海外アタックガード」という専用機能を搭載しています。
海外IPアドレスからの特定のアクセスをサーバーレベルで制限できる機能で、管理画面から簡単にON/OFFの切り替えが可能です。
もちろん、Googleなど主要検索エンジンのクローラーからアクセスも制限の対象外になっています。
- 海外アタックガード機能を標準搭載
- 管理画面から簡単にON/OFF切り替え可能
- 海外IPアドレスからの不正アクセスを自動でブロック
- WordPress管理画面へのアクセスも制限
不正な海外IPアドレスを丸ごと遮断したい場合は、ロリポップ!が最もシンプルで使いやすい選択肢です。
② エックスサーバー
エックスサーバーは、国内シェアNo.1クラスの高性能レンタルサーバーです。
表示速度・安定性・サポートのいずれも高水準で、ビジネスサイトや収益化を目指すブログ運営者に人気があります。
それにより、攻撃元IPアドレスを個別にブロックできます。
さらに、「WordPressセキュリティ設定」の中に、WordPressへの海外からのアクセス制限機能が搭載されています。
WordPress管理画面(wp-admin)やログインページへの海外アクセスをブロックできるため、ブルートフォース攻撃対策として非常に有効です。
- IPアドレスのブラックリスト登録で個別ブロックが可能
- WordPressセキュリティ設定でWP管理画面への海外アクセスを制限できる
- 高速・高安定性のサーバー環境
- 充実したサポート体制
エックスサーバーは海外IPアドレス全体を遮断する機能はありませんが、WordPressへの不正アクセス対策という点では非常に有効な設定が可能です。
特にWordPressを使っているサイトにはおすすめです。
③ ConoHa WING
ConoHa WINGは、GMOインターネットグループが運営する高速レンタルサーバーです。
Webサイトの表示速度が非常に速いのが特徴で、コストパフォーマンスの高さからユーザー数を伸ばしています。
ですが、IPアドレスのブラックリスト登録による個別ブロックが可能です。
また、「WordPressセキュリティ設定」の機能でWordPressへの海外アクセスを制限することもできます。
WordPress管理画面への不正ログイン試行を海外IPベースでブロックできるため、セキュリティ対策として十分に活用できます。
- IPアドレスのブラックリスト登録で個別ブロックが可能
- WordPressセキュリティ設定でWP管理画面への海外アクセスを制限できる
- コストパフォーマンスが高い
どのレンタルサーバーを選ぶべき?
「海外アタックガード」機能でワンクリック設定できます。
WordPressセキュリティ設定から海外アクセスを制限できます。
セキュリティ機能も充実しており、コスパは抜群です。
海外IPアドレス遮断に関するよくある質問
海外IPアドレス遮断に関するよくある質問もまとめておきます。
そのため、海外IP全体を遮断する設定をした場合、Googlebotもブロックされてしまう可能性があります。
対策としては、GooglebotのIPレンジを許可リストに追加するか、WordPressの管理画面のみを制限する方法を選ぶことでSEOへの影響を避けられます。
ただし、海外IPからの攻撃の大部分は自動スクリプトによるもので、VPNを使うケースは比較的少ないです。
海外IP遮断はあくまでセキュリティ対策の一つとして捉え、パスワード管理や二段階認証など、他の対策と組み合わせることをおすすめします。
特にサイトのアクセス数が増えてきた場合や、管理画面へのブルートフォース攻撃のログが増えている場合は、海外IPの遮断を検討することをおすすめします。
海外IPアドレスの遮断は、あくまで「入口を制限する」対策です。
二段階認証の導入、ログインURLの変更、定期的なバックアップなど、他の対策と合わせて運用することで、より強固なセキュリティを実現できます。
海外に在住のスタッフや取引先が特定のIPアドレスからアクセスする必要がある場合、そのIPだけをホワイトリスト(許可リスト)に追加することで対応できます。
「全海外IPを遮断しつつ、特定のIPだけ許可する」という柔軟な設定が可能です。
まとめ:海外IPアドレス遮断でサイトのセキュリティを高めよう
この記事では、海外IPアドレスを遮断する理由やメリット、デメリット、具体的な方法、おすすめレンタルサーバーについて解説しました。
・海外からの不正アクセスやスパムを防ぐために、海外IPアドレスの遮断は有効な対策
・.htaccess、プラグイン、Cloudflareを使って海外IPアドレスを遮断する方法もある
・最も手軽で確実なのはレンタルサーバーの機能を使う方法
・海外IPアドレスを設定不要で手軽に自動で遮断するなら ロリポップ!の「海外アタックガード」が最適
・WordPressの管理画面を強固に守るなら、エックスサーバーやConoHa WINGのWordPressセキュリティ設定が便利
セキュリティ対策は、何かトラブルが発生してからでは遅い場合がほとんどです。
この機会にサーバーの設定を見直し、海外IPアドレスからの攻撃をしっかりブロックしておきましょう。
