重要なお知らせ
WordPress管理ページ等へのアクセス制限実施について【更新】
2014年3月17日 00時00分
WordPressへの不正アクセス・改ざんが相次いで発生しております。
当社では緊急対策といたしましてサーバーの設定ファイルで一括してwp-login.phpへのアクセスを国内の主要プロバイダーのIPアドレスからのみに制限を実施させていただきました。
2014年3月10日以降は、順次xmlrpc.phpへのアクセス制限も同様に順次実施させていただきます。
さらに、2017年2月15日以降はREST API (/wp-josn/以下のURL)への日本国外からのアクセス制限も追加いたしております。
REST APIへのアクセス制限については <こちら> のご案内をご覧ください。
国内の多くのプロバイダーからはアクセス可能ですが、一部のプロバイダー様やIPアドレスが逆引きできない場合に「403 Forbidden」のエラーが表示されてwp-login.phpなどへのアクセスができない場合がございます。
その場合はお手数ですがコントロールパネルのお問い合わせフォームよりサポートデスクまでご連絡いただくか下の対策(3)のようにお客様ディレクトリに.htaccessを作成・追記していただき独自の許可設定を行っていただきますと、サーバーでの設定が上書きされお客様設定の許可が優先されアクセス可能になります。
なお、不正アクセスのアクセス元は国内からも確認されておりますので、リスクは下がりますがこのアクセス制限だけで完全に防御できるわけではございませんのであらかじめご承知置きください。
◎WordPressへの不正ログインに対する主な対策
また、ウィルス感染したPCからftpアカウント・パスワードが漏洩してftpで改ざんされるケースも非常に流行しておりますので、こちらの対策も合わせてお願いいたします。 → 【ウィルス感染によるwebサイト改ざんにご注意ください!】
当社では緊急対策といたしましてサーバーの設定ファイルで一括してwp-login.phpへのアクセスを国内の主要プロバイダーのIPアドレスからのみに制限を実施させていただきました。
2014年3月10日以降は、順次xmlrpc.phpへのアクセス制限も同様に順次実施させていただきます。
さらに、2017年2月15日以降はREST API (/wp-josn/以下のURL)への日本国外からのアクセス制限も追加いたしております。
REST APIへのアクセス制限については <こちら> のご案内をご覧ください。
国内の多くのプロバイダーからはアクセス可能ですが、一部のプロバイダー様やIPアドレスが逆引きできない場合に「403 Forbidden」のエラーが表示されてwp-login.phpなどへのアクセスができない場合がございます。
その場合はお手数ですがコントロールパネルのお問い合わせフォームよりサポートデスクまでご連絡いただくか下の対策(3)のようにお客様ディレクトリに.htaccessを作成・追記していただき独自の許可設定を行っていただきますと、サーバーでの設定が上書きされお客様設定の許可が優先されアクセス可能になります。
なお、不正アクセスのアクセス元は国内からも確認されておりますので、リスクは下がりますがこのアクセス制限だけで完全に防御できるわけではございませんのであらかじめご承知置きください。
◎WordPressへの不正ログインに対する主な対策
- 強度の高いパスワードへの変更
WordPressの管理者パスワードは類推されやすいものを避けてできるだけ強度の高いもの(最低でも10文字以上の英数字・記号の組み合わせを推奨)をご設定いただきますようお願いいたします。
- ユーザー名をよく使われるadminから類推しにくいものに変更する
WordPressのダッシュボードで新しい管理者アカウント(類推しにくいアカウント名)を追加してから、古い管理者アカウントを削除してください。 - htaccessでログインページ自体へのアクセスを制限する
htaccessでのアクセス制限は、WordPressを設置したディレクトリ に.htaccessファイルを作成(既に存在する場合は、内容を追加)して、次のような記述を追加してください。<Files ~ "(xmlrpc|wp-login)\.php"> order deny,allow allow from .au-net.ne.jp ← ご利用のプロバイダーのドメイン名で許可 allow from 192.168.10.10 ← お客様IPで許可(プロバイダーで固定IPの場合) deny from all </Files>
なお、ご都合によりIPアドレスやドメイン名でのアクセス制限が難しい場合はhtaccessによるパスワード認証(ダッシュボードログインと合わせて2重化)や次のようなhtaccessの記述で制限の解除を行ってください。<Files ~ "(xmlrpc|wp-login)\.php"> order deny,allow allow from all ← 全てのアクセスを許可する指定 </Files>
- WordPressを最新版に更新する
WordPressはダッシュボードで最新版に簡単に更新することができます。
また、ウィルス感染したPCからftpアカウント・パスワードが漏洩してftpで改ざんされるケースも非常に流行しておりますので、こちらの対策も合わせてお願いいたします。 → 【ウィルス感染によるwebサイト改ざんにご注意ください!】