重要なお知らせ
WordPress管理ページ等へのアクセス制限実施について【更新】
2014年3月17日 00時00分
WordPress管理ページ等へのアクセス制限実施について
WordPressへの不正アクセス・改ざんが相次いで発生しております。当社では対策といたしましてサーバーの設定ファイルで一括してwp-login.phpへのアクセスを国内の主要プロバイダーのIPアドレスからのみに制限を実施させていただきました。
2014年3月10日以降は、順次xmlrpc.phpへのアクセス制限も同様に順次実施させていただきます。
さらに、2017年2月15日以降はREST API (/wp-josn/以下のURL)への日本国外からのアクセス制限も追加いたしております。
REST APIへのアクセス制限については <こちら> のご案内をご覧ください。
なお、不正アクセスのアクセス元は国内からも確認されておりますので、リスクは下がりますがこのアクセス制限だけで完全に防御できるわけではございませんのであらかじめご承知置きください。
ダッシュボード等へのアクセス制限を解除する方法
ダッシュボード(wp-login.php)等への日本国外からのアクセス制限を解除するにはWordPressが設置されているディレクトリに次のような内容の.htaccessファイルを設置してください。- 中国など特定の国を指定して許可する場合
SetEnvIf GEOIP_COUNTRY_CODE CN WPLoginAllowCountry
中国以外の国の場合は上記「CN」の部分を国を表す2文字のコードで記述してください。たとえば、アメリカはUSとなります。
国コードはこちらのページの「alpha-2」になります。ウィキペディア ISO 3166-1
複数の国からのダッシュボードへのアクセスを許可する場合は必要な国の数だけ上記の行を記述してください。
- アクセス制限を全て解除する場合
SetEnvIf GEOIP_COUNTRY_CODE ".*" WPLoginAllowCountry
やむを得ず海外からのアクセスを許可する場合でも国を指定してアクセスを開放したり、htaccessによるBASIC認証を併用されることを強くお勧めいたします。
WordPressへの不正ログインに対する有効な対策
- 強度の高いパスワードへの変更
WordPressの管理者パスワードは類推されやすいものを避けてできるだけ強度の高いもの(最低でも10文字以上の英数字・記号の組み合わせを推奨)をご設定いただきますようお願いいたします。
- ユーザー名をよく使われるadminから類推しにくいものに変更する
WordPressのダッシュボードで新しい管理者アカウント(類推しにくいアカウント名)を追加してから、古い管理者アカウントを削除してください。 - htaccessでログインページ自体へのアクセスを制限する
デフォルトでは海外のIPアドレスからのダッシュボード等へのアクセスは制限されております。
ご都合により海外からのアクセスを許可される場合でもhtaccessによるパスワード認証(ダッシュボードログインと合わせて2重化)を併用していただくことをお勧めいたします。
【中国からのアクセスを許可した上でのパスワード認証との併用例】SetEnvIf GEOIP_COUNTRY_CODE CN WPLoginAllowCountry ← 中国からのアクセスを許可 <Files ~ "(xmlrpc|wp-login)\.php"> AuthType Basic AuthGroupFile /dev/null AuthName "Members Only" AuthUserFile /home/ww/ind0000/member_passwd.txt ← パスワードファイルの場所 require valid-user </Files>
パスワード認証の設定方法はこちらのページをご覧ください。
https://www.inetd.co.jp/htpasswd/ - WordPressを最新版に更新する
WordPressはダッシュボードで最新版に簡単に更新することができます。
また、ウィルス感染したPCからftpアカウント・パスワードが漏洩してftpで改ざんされるケースも非常に流行しておりますので、こちらの対策も合わせてお願いいたします。 → 【ウィルス感染によるwebサイト改ざんにご注意ください!】