このところ、WordPressを狙った大規模な攻撃が行われています。
こちらの記事によると
According to reports, they are seeing a large botnet with more than 90,000 servers
attempting to log in by cycling different usernames and passwords against the WordPress access points:
wp-login.php and /wp-admin.
とのことで、/wp-login.phpと/wp-adminディレクトリが狙われているとのことです。
その対策として、こちらの記事では
admin という管理者ユーザ名を変更すること *2
簡単に推測できない強力なパスワードを設定すること
の2つを推奨しています。これらも対策として非常に基本的かつ重要なことですが、会社などで利用しているのであれば、会社のIPアドレスからのみログインできるように制限を加えればより安全ですね。
そこで、nginxとapacheのIP制限についてまとめたいと思います。
nginxの場合
下記内容をnginx設定ファイルに追記します。
server { # wp-adminのIP制限。allow~に続いて許可するIPアドレスを書きます。 # deny all;の行は消してはいけません。 location /wp-admin { allow xxx.xxx.xxx.xxx; allow yyy.yyy.yyy.yyy; deny all; } # wp-login.phpのIP制限。wp-adminの場合と内容は一緒です。 location = /wp-login.php { allow xxx.xxx.xxx.xxx; allow yyy.yyy.yyy.yyy; deny all; # PHPを動作させるための設定も忘れずに書きます fastcgi_pass x.x.x.x:yyyy; などなど。。。 } } |
共通して注意したいのは、
deny all; |
をallowより先に書いてはいけません。denyが現れた段階で残りのallow行は無視されます。
wp-adminの制限はわかりやすいと思います。wp-login.phpですが、ここでは「=」修飾子を使って制限対象を「/wp-login.php」に限定しています。今回のように対象となるファイルが決まっている時には、この書き方のほうが直感的でわかりやすいと思います。また、IP制限の記述だけですとPHPとして動作しなくなるので、忘れずにPHPの設定を書いておきましょう。
設定を書き換えたら「/path/to/bin/nginx -t」を実行して設定ファイルにミスがないか確認をします。問題なければnginxを再起動します。
apacheの場合
.htaccessが使えるようであれば、下記内容を/wp-admin/に設置します。
order deny,allow deny from all allow from xxx.xxx.xxx.xxx |
また、wp-login.phpのあるディレクトリの中に下記内容で.htaccessを設置します。
<Files "wp-login.php"> order deny,allow deny from all allow from xxx.xxx.xxx.xxx </Files> |
動作確認
nginx、apacheのいずれの場合も、
- 許可されたIPアドレスから接続できること
- それ以外のIPアドレスからアクセス出来ないこと
を確認しましょう。
おまけ
WordPressのプラグインで、特定のIPアドレスから何度もログインしようとした場合に、そのIPアドレスを一定時間ブロックするものもあるようです。
固定IPアドレスがなくて制限をかけられない場合は、このようなプラグインを使うのもひとつの手です。
PICK UP
-
タグ: ai解析, gemini1.5, system instruction, アクセスログ, アクセス解析, ウェブ解析, コラム, パーソナライズ, ユーザーストーリー, ログ分析
【ウェブマーケティング】AIでアクセス解析:Gemini 1.5 Flash-8Bで作るユーザーストーリー|公式note -
タグ: GA360, GA4, Googleアナリティクス, gmpプレミアムサロン, イベントトラッキング, カスタムディメンション, コラム, コンバージョン, サンプリング, データ分析, ビッグクエリ
GA4ユーザー必見!GA4活用のよくある質問5つを徹底解説(2024年10月) -
タグ: ECサイト, webサイト翻訳, インバウンド, コラム, サイト運営, 多言語対応, 日本市場, 海外販売, 購入代行サービス, 越境EC, 越境ec支援
自社ECで実現!越境ECの始め方 -
タグ: AI校正, AI活用, XMLタグ, コラム, コンテンツ改善, デジタルマーケティング, ビジネスリーダーシップ, フィードバック, マーケティング戦略, 効率的な働き方, 社内コミュニケーション
猫よりAI 第1回:タグ(XML風書式)を使ってAIにきめ細かく指示|公式note -
タグ: エンジニア採用, キャリア採用, コミュニケーション, コラム, ブログ, リモートワーク, ワーケーション, 文化, 環境
2024年10月の募集職種一覧! エンジニア職からビジネス職まで採用強化中!|株式会社イー・エージェンシー公式note -
タグ: 1stパーティデータ, GA4, GCP, エンジニア募集, オンデマンド配信, カジュアル面談, カートリカバリー, コラム, データ活用, 採用情報, 社内報, 翻訳ツール
【オープン社内報 2024年10月号】イー・エージェンシー プレミアムニュース