.htaccessファイルを編集して、WordPressの管理画面に対する海外IPからのアクセスを制限する(国内のIPのアクセスのみに絞る)方法を紹介させていただきます。
海外からのアクセスを完全に遮断するわけではないですが、特別なプラグインをインストールする必要がないため、管理画面へのブルートフォースアタック対策の1つとして導入しやすいです。
①管理画面へのアクセスを日本割り当IPアドレスのみに制限する
日本割り当IPアドレスを.htaccessファイルで取得できるサイトがありますので、まずは以下のページへアクセスします。http://www.cgis.biz/tools/access/
「IPアドレス表示ボタンをクリックすると、日本への割り当IPアドレスの一覧が表示されます。」とのことなので、ページ下部の「IPアドレス表示」ボタンをクリックします。
その隣の「.htaccessダウンロード」ボタンをクリックすることで、日本への割り当IPアドレスをアクセス許可にするための.htaccess ファイルがダウンロードできます。
日本への割り当IPアドレスに関する注意点などもサイトに掲載されていますので、こちらもよく確認しておきます。
日本への割り当IPアドレスはAPNIC(アジア・太平洋地域のIPアドレス割り当てを行なう機関)にて現在公開しているデータを取得しています。
データを取得するファイルは「http://ftp.apnic.net/stats/apnic/delegated-apnic-latest」からか、取得できなかった場合、「http://ftp.apnic.net/stats/apnic/delegated-apnic- [yyyymmdd]」の最新ファイルからとなります。
当たり前ですが、日本人又は国内企業(ISP含む)が日本へ割り当てられたIPアドレスを使用しているとは限りません。また、海外検索エンジンのクローラーは日本のIPアドレスは使用していないでしょう。念のため。
http://www.cgis.biz/tools/access/
②.htaccessファイルに日本への割り当IPアドレスを追加
WordPressの管理画面からパーマリンクを更新すると、サーバー上に.htaccessファイルが生成されるかと思いますので、そこに上記①で取得した.htaccessファイルの記述を追加します。|
1 2 3 4 5 6 7 8 9 10 |
order deny,allow deny from all allow from 1.0.16.0/20 allow from 1.0.64.0/18 allow from 1.1.64.0/18 allow from 1.5.0.0/16 allow from 1.21.0.0/16 : (以下省略) |
③Google やYahoo! などのbot のアクセスを許可
次に、②の.htaccess ファイルにbot を許可する記述を追加します。※下のソースでいうと、7〜13行目の記述です。②の記述の最後に追加してOKです。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
order deny,allow deny from all : allow from 1.5.0.0/16 allow from 1.21.0.0/16 : allow from .google.com allow from .googlebot.com allow from .bing.com allow from .mixi.jp allow from .yahoo.net allow from .twttr.com allow from .msn.com |
④wp-login.php をアクセス制限の対象に指定
最後に、制限の対象をwp-login.php にするために、今回追加した記述を<Files wp-login.php>〜</Files>
で囲みます。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
<Files wp-login.php> order deny,allow deny from all : allow from 1.5.0.0/16 allow from 1.21.0.0/16 : allow from .google.com allow from .googlebot.com allow from .bing.com allow from .mixi.jp allow from .yahoo.net allow from .twttr.com allow from .msn.com </Files> |
コメント