当ブログでも使用しているのですが、不正なログインを監視する為に、「User Login History」というプラグインがよく利用されます。
このプラグインを設定しておくと、このようにWordPress管理画面へ不正にログインを試みたIPアドレスの記録が残っていきます。
この結果をみると、やはり、「admin」というユーザー名で不正ログインを試みている人間が多いようです。
私の場合は、ユーザー名に「admin」を利用することはないですが。
残念ながら、このように、日々不正なアクセスが行われているのが現実です。
それは仕方がないとして、こういった不正なアクセスはブロックしてしまいたいですよね。
そこで、今回は、WP-Banというプラグインを利用して、不正なアクセスを簡単にブロックする方法を紹介します。
このような方は、ぜひ最後までお読みください。
・アクセスをブロックしたいIPアドレスがある
・WordPressのセキュリティ強度を上げたい
海外からの不正アクセスへの対策を強化したい方は、こちらの記事も合わせてお読みください。
こちらの記事は、プログラミング・Web制作歴15年以上、ブログ歴10年以上のプログラマーが書いています。
プライベートでも仕事でも多くのレンタルサーバーを利用してきた経験から、サーバーに関する豊富な知識をもとに書いています。
>> プロフィール
コンテンツ
WordPressプラグインWP-Banで不正IPアドレスの接続制限を設定
Banとは「禁じる」という意味になります。
IPアドレス、ホスト名、国、リファラー、ユーザーエージェントなどを指定して、不正なアクセス元からのアクセスを禁止できるプラグインです。
「WP-Ban」の利用方法は簡単です。
基本的には、
WordPress管理画面上から「WP-Ban」をインストール
↓
アクセスを制限したいIPアドレスを登録
という流れになります。
WP-Banのインストール
まずは、「WP-Ban」のインストールを行います。
WordPress管理画面の左メニューにある「プラグイン」→「新規追加」と画面を開いてください。
このような、プラグインのインストール画面が開きます。
画面右上に表示されているボックスに「WP-Ban」と入力して、検索を行います。
↓
このように該当プラグインが出てくるので、「今すぐインストール」をクリックして、インストールを開始します。
インストールが完了すると「有効化」というボタンが表示されるので、クリックして「WP-Ban」を有効化させます。
これで、「WP-Ban」のインストールが完了しました。
次は、実際にアクセスをブロックするための設定を行っていきます。
アクセスを制限したいIPアドレスを登録
「WP-Ban」をインストール後、管理画面左メニューの「設定」の中に「Ban」という項目が追加されています。
設定は、その画面から行います。
私の場合は、特定のIPアドレスのみを拒否したかったので、「Banned IPs」にブロックしたいIPアドレスを入力して、設定完了です!!
※登録したIPアドレスはダミーです。
もし、IPアドレスを複数登録した場合には、改行して追加していってください。
↓
上記で設定したIPアドレスからアクセスがなされた場合には、このようにブラウザ上に表示されることになります。
因みに、「Banned IPs」以外の設定もあります。
連番でIPアドレスを指定してブロックする場合 → Banned IP Range
ホスト名(国別)を指定してブロックする場合 → Banned Host Names
一般的に、不正アクセスが多いのは、アメリカ、ロシア、中国あたりですね。
その場合には、以下を登録してください。
ロシア → 「*.ru」を登録
中国 → 「*.cn」を登録
※他にも、ヨーロッパ各国や東南アジア各国からの不正アクセスも多いです。
上記以外の国からのアクセスをブロックしたい場合には、各国のコードを調べて登録してください。
リファラーを指定してブロックする場合 → Banned Referers
ユーザーエージェントを指定してブロックする場合 → Banned User Agents
あと、特定のIPをアクセス制限から除外することもできます。 → Banned Exclude IPs
また、ブロック時に表示されるHTML(メッセージ)を編集することもできます。 → Banned Message
「Banned Message」は、HTMLやCSSを修正することになるので、上級者向けの設定になりますね。
ただ、メッセージを日本語にするだけであれば、簡単です。
デフォルトで表示されている「You Are Banned.」という記述部分のみを、日本語メッセージに変更するだけでOKです。
といっても、不正アクセスは海外がほとんどなので、英語のままでも問題ないとは思いますが。
このような感じで、「WP-Ban」というプラグインを利用することで、特定のIPアドレスやホストなどからアクセスを簡単に制限することができます。
.htaccessを利用したアクセス制限
今回は、プラグイン「WP-Ban」を使ったアクセス制限の方法を紹介しました。
ですが、.htaccessを使って、特定のIPアドレスやホストからのアクセスをブロックすることもできます。
あまりプラグインの数を増やしたくないという方は、.htaccessを使って設定を行いましょう。
基本的には、下記のような記述を.htaccessに追記するだけです。(※現在主流のApache 2.4系での設定例です)
Require all granted
Require not ip 198.51.100.1
Require not host example.ne.jp
</RequireAll>
↓ もし、複数のIPアドレスやホストを指定する場合には、行を変えて下へ追記していってください。
Require all granted
Require not ip 198.51.100.1
Require not ip 198.51.100.2
Require not ip 198.51.100.3
Require not host example01.ne.jp
Require not host example02.ne.jp
Require not host example03.ne.jp
</RequireAll>
(※上記のIPアドレスやホストはダミーです。実際にブロックしたい情報に書き換えて使用してください。)
最後に
今回は、WordPressプラグイン「WP-Ban」を利用して、特定のアクセスをブロックする方法を紹介しました。
WordPressを利用してWebサイトの運営を行っていると、常に不正アクセスが行われています。
また、サーバーのアクセスログをチェックしていると、怪しいアクセスが大量に残っていることもあります。
不正アクセスは、一度始まると止まることはありません。
放置しておくと、サイトの改ざんや情報の漏えい、サーバーへの過負荷など、取り返しのつかない事態を招く恐れがあります。
WordPressを安全に運用するためにも、怪しいアクセスはブロックしてセキュリティレベルを上げていきましょう!
海外からの不正アクセスをブロックしたいという方には、ロリポップ!というレンタルサーバーもおすすめです。
管理画面などへのアクセス制限も行われているため、セキュリティレベルの高い環境でWordPressを運営できます。
