外部からログイン画面にアクセスされないよう制限をかけていますか?WordPressで作られたサイトは、専用のURLを入力すると、管理者用画面が開いてしまいます。
情報漏洩、改ざんを防ぐには、ログイン画面へのアクセス制限が有効です。プラグインやサーバーからの操作では覚えることが多く、環境による違いもありますから、今回の制限方法をおすすめします。
目次
.htaccessの作成方法
.htaccessを作成
メモ帳を開き「.htaccess」の名前で保存してください。
ファイルには例として以下のように記載します。「192.168.00.00」のみ許可する設定です。
Order deny,allow Deny from all Allow from 192.168.00.00
.htaccessの書き方
書き方を順に見ていきます。まず「Order(順番)」では「Deny(拒否)」と「Allow(許可)」の順番を指定します。それぞれ①、②の順で制限を実行します。
Order deny,allow … ①拒否 ②許可 Order allow,deny … ①許可 ②拒否
拒否するアクセスを指定します。今回は特定のアクセス以外拒否したいので、ここでは「all(全て)」とします。
Deny from all
許可するアクセス情報を指定します。IPアドレスの場合はグローバルIPアドレスを調べる必要があります。cman.jpなどで確認できます。
Allow from 192.168.00.00
固定IPアドレスではない場合、一定の間隔でアドレスが変わります。ご注意ください。
アクセス制限に使えるのは、次のうちいずれかの方法です。
- all
- IPアドレス
- ドメイン名
- ホスト名
管理画面(wp-admin)を制限
「管理画面へのアクセス制限」をしたい場合はこちらを使います。
wp-adminに設置
「wp」直下にある「wp-admin」の中に.htaccessのファイルを転送しましょう。転送にはFTPソフトを使います。
FTPソフトはFileZillaが分かりやすくおすすめです!こちらの記事で詳しく解説しています。
「https://サイトURL/wp-admin」と入れて管理画面にアクセスできればOKです。
ログイン画面(wp-login.php)を制限
「ログイン画面へのアクセス制限」をしたい場合はこちらを使います。
.htaccessに追記
# END WordPressのあとに以下をペーストしてください。Allow fromは許可するアクセス情報に置き換えてください。詳しい書き方は「wp-adminの書き方」をお読みください。
<Files wp-login.php> Order deny,allow Deny from all Allow from 192.168.00.00 </Files>
wp-login.phpに設置
「wp」の中にある.htaccessを探します。
「https://サイトURL/wp-login.php」と入れてログイン画面にアクセスできればOKです。
アクセス制限された場合
許可したアクセス情報と異なる場合はこのような画面が開きます。
意図せず開いたときは次の2点をご確認ください。
- 固定IPアドレスか(動的IPアドレスではないか)
- 設定方法に誤りがないか
不正なアクセスに対し「IPアドレスの記録」や「アクセスされた旨を管理者に警告する」などの対策が一般的にされています。設定を確認の上、作業は慎重に行いましょう。
固定IPアドレスについては、こちらの記事をご覧ください。
管理画面(wp-admin)やログイン画面(wp-login.php)へのアクセスを制限することで、関係者以外からの不正な操作を阻止できます。
オープンソースのソフトウェアとして世界中で使われている一方で、その手軽さやカスタマイズ性の高さなどからセキュリティ強化が叫ばれているのが現状です。
特定のアクセスに限定して、早期に情報の漏洩や改ざんを防ぐセキュリティ対策をしていきましょう。
全てを拒否してから特定のアクセスを許可する「Order deny, allow」の方法が多く使われています。