WordPress で wp-login.php ファイルへの IP によるアクセスを制限する方法


WordPress の wp-login.php ファイルへのアクセスを IP アドレスによって制限したいですか?

WordPress ログイン ページは、Web サイトにアクセスするために DDoS 攻撃やハッカーによって攻撃されることがよくあります。特定の IP アドレスへのアクセスを制限すると、そのような試みを効果的にブロックできます。

この記事では、WordPress で wp-login.php ファイルへの IP によるアクセスを簡単に制限する方法を説明します。

wp-login.php へのアクセスを IP アドレスで制限するのはなぜですか?

WordPress Web サイトのログイン ページ (通常は wp-login.php) は、ユーザーがサイトにログインするための場所です。

Web サイトの所有者は、Web サイトのメンテナンス、コンテンツの作成、Web サイトの管理を行うことができる WordPress 管理領域にアクセスできるようになります。

ただし、インターネット上の一般的なブルート フォース攻撃は、wp-login.php ページをターゲットにして Web サイトにアクセスすることが知られています。たとえ侵入できなかったとしても、Web サイトの速度が低下したり、Web サイトがクラッシュしたりする可能性があります。

この状況に対処する 1 つの方法は、攻撃の発信元の IP アドレスをブロックすることです (これについては、この記事の後半で説明します)。

IP アドレスは、インターネット上の特定のコンピュータを識別する電話番号のようなものです。ハッカーはソフトウェアを使用して IP アドレスを変更する可能性があります。

ただし、より高度な攻撃ではより大きな IP アドレスのプールが使用されるため、すべてをブロックすることは不可能な場合があります。

その場合、Web サイト上で自分自身や他のユーザーが使用する特定の IP アドレスへのアクセスを制限できます。

そうは言っても、クラウド セキュリティ ファイアウォールを含む 3 つの異なる方法を使用して、特定の IP アドレスによって wp-login.php ファイルへのアクセスを簡単に制限する方法を見てみましょう。

1. WordPress ログインページへのアクセスを IP アドレスで制限する

この方法では、.htaccess ファイルにコードを追加する必要があります。

.htaccess ファイルは、Web サイトのルート フォルダーにある特別なサーバー構成ファイルで、FTP または WordPress ホスティング コントロール パネルのファイル マネージャー アプリを使用してアクセスできます。

FTP クライアントを使用して WordPress サイトに接続し、次のコードを先頭に追加して .htaccess ファイルを編集するだけです。

<Files wp-login.php>
        order deny,allow
        Deny from all
 
# whitelist Your own IP address
allow from xx.xxx.xx.xx
 
#whitelist some other user's IP Address
allow from xx.xxx.xx.xx
 
</Files>

XX を自分の IP アドレスに置き換えることを忘れないでください。 SupportAlly ページにアクセスすると、IP アドレスを簡単に見つけることができます。

Web サイトにログインする必要がある他のユーザーがいる場合は、そのユーザーに IP アドレスを提供するよう依頼できます。これらを .htaccess ファイルに追加することもできます。

上記のコードの別の例を次に示します。

<Files wp-login.php>
        order deny,allow
        Deny from all
 
# Whitelist John as website administrator
allow from 35.199.128.0
 
#Whitelist Tina as Editor 
allow from 108.59.80.0

# Whitelist Ali as moderator
allow from 216.239.32.0
 
</Files>

これで、これらの IP アドレスを持つユーザーは、wp-login.php ファイルを表示して Web サイトにログインできるようになります。他のユーザーには次のエラー メッセージが表示されます。

2. 特定の IP アドレスによる Web サイトへのアクセスのブロック

この方法は最初の方法とはまったく逆です。

WordPress ログイン ページへのアクセスを特定の IP アドレスに制限する代わりに、Web サイトの攻撃に使用される IP アドレスをブロックできるようになります。

この方法は、WordPress メンバーシップ Web サイト、e コマース ストア、または複数のユーザーが自分のアカウントにアクセスするためにログインする必要があるその他の Web サイトで特に便利です。

この方法の欠点は、ハッカーが IP アドレスを変更して Web サイトを攻撃し続ける可能性があることです。

幸いなことに、一般的な WordPress ハッキングの試みの多くでは、固定された IP アドレスのセットが使用されるため、ほとんどの場合、この方法が効果的になります。

ステップ 1: ブロックしたい問題のある IP アドレスを見つける

まず、Web サイトの攻撃に使用された IP アドレスを見つける必要があります。

問題のある IP アドレスを見つける最も簡単な方法は、サーバーのログを確認することです。ホスティング アカウントのコントロール パネルに移動し、Raw アクセス ログ アイコンをクリックするだけです。

次のページで、ドメイン名をクリックしてアクセス ログをダウンロードします。これにより、拡張子が gz のファイルがダウンロードされます。

ファイルを抽出し、メモ帳やテキストエディットなどのテキスト エディタで開く必要があります。

ここから、wp-login.php ページに繰り返しアクセスしている IP アドレスが見つかります。

IP アドレスをコピーして、コンピュータ上の別のテキスト ファイルに貼り付けます。

ステップ 2. 疑わしい IP アドレスをブロックする

次に、WordPress ホスティング コントロール パネルにログインし、IP ブロッカー アイコンをクリックする必要があります。

次の画面で、ブロックする IP アドレスをコピーして貼り付け、[追加] ボタンをクリックします。

必要な他の疑わしい IP アドレスをブロックするには、このプロセスを繰り返します。

それだけです!疑わしい IP アドレスによる Web サイトへのアクセスを完全にブロックすることができました。

後で、これらの IP アドレスのいずれかのブロックを解除する必要がある場合は、IP ブロッカー アプリから簡単に行うことができます。

3. ウェブサイトファイアウォールによる WordPress ログインの保護

Web サイト管理者は、WordPress ログイン ページにアクセスできる IP アドレスの管理にあまり時間をかけたくないかもしれません。

WordPress ログイン ページを保護する最も簡単な方法は、Sucuri を使用することです。これは、包括的な WordPress セキュリティ プラグインを伴う最高の WordPress ファイアウォールです。

Sucuri の Web サイト ファイアウォールは、疑わしい IP アドレスが Web サイトに到達することなく、重要な WordPress コア ファイルにアクセスしないように自動的にフィルタリングします。

この方法は、不審なアクティビティによるサーバーの速度低下をブロックするため、WordPress のパフォーマンスと速度も向上します。

それに加えて、Sucuri には CDN ネットワークも組み込まれています。画像、スタイルシート、JavaScript などの静的ファイルを、ユーザーに近いサーバーから自動的に提供します。

ユーザーが WordPress ログインページにアクセスできない場合、ユーザーの IP アドレスを簡単にホワイトリストに登録できます。

代替: Cloudflare 無料 CDN

この記事が、wp-login.php ファイルへのアクセスを IP アドレスによって制限する方法を学ぶのに役立つことを願っています。また、完全な WordPress セキュリティ ガイドを参照したり、WordPress 管理領域を保護するための追加のヒントを参照したりすることもできます。

この記事が気に入っていただけましたら、WordPress ビデオ チュートリアルの YouTube チャンネルに登録してください。 Twitter や Facebook でもご覧いただけます。