当ブログでも使用しているのですが、不正なログインを監視する為に、「User Login History」というプラグインがよく利用されます。
このプラグインを設定しておくと、このようにWordPress管理画面へ不正にログインを試みたIPアドレスの記録が残っていきます。
この結果をみると、やはり、「admin」というユーザー名で不正ログインを試みている人間が多いようです。
私の場合は、ユーザー名に「admin」を利用することはないですが。
残念ながら、このように、日々不正なアクセスが行われているのが現実です。
それは仕方がないとして、こういった不正なアクセスはブロックしてしまいたいですよね。
そこで、今回は、WP-Banというプラグインを利用して、不正なアクセスを簡単にブロックする方法を紹介します。
このような方は、ぜひ最後までお読みください。
・アクセスをブロックしたいIPアドレスがある
・WordPressのセキュリティ強度を上げたい
WordPressプラグインWP-Banで不正IPアドレスの接続制限を設定
「WP-Ban」の利用方法は簡単です。
基本的には、
WordPress管理画面上から「WP-Ban」をインストール
↓
アクセスを制限したいIPアドレスを登録
という流れになります。
Banとは「禁じる」という意味になります。
IPアドレス、ホスト名、国、リファラー、ユーザーエージェントなどを指定して、不正なアクセス元からのアクセスを禁止できるプラグインです。
まずは、「WP-Ban」のインストールを行います。
WordPress管理画面の左メニューにある「プラグイン」→「新規追加」と画面を開いてください。
このような、プラグインのインストール画面が開きます。
画面右上に表示されているボックスに「WP-Ban」と入力して、検索を行います。
↓
このように該当プラグインが出てくるので、「今すぐインストール」をクリックして、インストールを開始ます。
インストールが完了すると「有効化」というボタンが表示されるので、クリックして「WP-Ban」を有効化させます。
これで、「WP-Ban」のインストールが完了しました。
次は、実際にアクセスをブロックするための設定を行っていきます。
「WP-Ban」をインストール後、画面左メニューの「設定」の中に「Ban」という項目が追加されています。
設定は、その画面から行います。
私の場合は、特定のIPアドレスのみを拒否したかったので、「Banned IPs」にブロックしたいIPアドレスを入力して、設定完了です!!
※登録したIPアドレスは適当です。
もし、IPアドレスを複数登録した場合には、改行して追加していってください。
↓
上記で設定したIPアドレスからアクセスがなされた場合には、このようにブラウザ上に表示されることになります。
因みに、「Banned IPs」以外の設定もあります。
連番でIPアドレスを指定してブロックする場合 → Banned IP Range
ホスト名(国別)を指定してブロックする場合 → Banned Host Names
一般的に、不正アクセスが多いのは、アメリカ、ロシア、中国あたりですね。
その場合には、以下を登録してください。
ロシア → 「*.ru」を登録
中国 → 「*.cn」を登録
※他にも、ヨーロッパ各国や東南アジア各国からの不正アクセスも多いです。
上記以外の国からのアクセスをブロックしたい場合には、各国のコードを調べて登録してください。
リファラーを指定してブロックする場合 → Banned Referers
ユーザーエージェントを指定してブロックする場合 → Banned User Agents
あと、特定のIPをアクセス制限から除外することもできます。 → Banned Exclude IPs
また、ブロック時に表示されるHTML(メッセージ)を編集することもできます。 → Banned Message
「Banned Message」は、HTMLやCSSを修正することになるので、上級者向けの設定になりますね。
ただ、メッセージを日本語にするだけであれば、簡単です。
デフォルトで表示されている「You Are Banned.」という記述部分のみを、日本語メッセージに変更するだけでOKです。
といっても、不正アクセスは海外がほとんどなので、英語のままでも問題ないとは思いますが。
このような感じで、「WP-Ban」というプラグインを利用することで、特定のIPアドレスやホストなどからアクセスを簡単に制限することができます。
.htaccessを利用したアクセス制限
今回は、プラグイン「WP-Ban」を使ったアクセス制限の方法を紹介しました。
ですが、.htaccessを使って、特定のIPアドレスやホストからのアクセスをブロックすることもできます。
あまりプラグインの数を増やしたくないという方は、.htaccessを使って設定を行いましょう。
基本的には、下記のような記述を.htaccessに追記するだけです。
allow from all
deny from 111.222.333.444
deny from example.ne.jp
↓
もし、複数のIPアドレスやホストを指定する場合には、改行して下へ追記していってください。
allow from all
deny from 111.222.333.444
deny from 111.222.333.555
deny from 111.222.333.666
deny from example01.ne.jp
deny from example02.ne.jp
deny from example03.ne.jp
最後に
今回は、WordPressプラグイン「WP-Ban」を利用して、特定のアクセスをブロックする方法を紹介しました。
WordPressを利用してWEBサイトの運営を行っていると、常に不正アクセスが行われています。
例えば、「User Login History」というプラグインを使ってログイン履歴を監視していると、当ブログのような小規模なWEBサイトも例外なく攻撃されています。
また、サーバーのアクセスログをチェックしていると、怪しいアクセスが大量に残っていることもあります。
WordPressを安全に運用するためにも、怪しいアクセスはブロックしてセキュリティレベル上げていきましょう!
