このところ、WordPressを狙った大規模な攻撃が行われています。
こちらの記事によると
According to reports, they are seeing a large botnet with more than 90,000 servers
attempting to log in by cycling different usernames and passwords against the WordPress access points:
wp-login.php and /wp-admin.
とのことで、/wp-login.phpと/wp-adminディレクトリが狙われているとのことです。
その対策として、こちらの記事では
admin という管理者ユーザ名を変更すること *2
簡単に推測できない強力なパスワードを設定すること
の2つを推奨しています。これらも対策として非常に基本的かつ重要なことですが、会社などで利用しているのであれば、会社のIPアドレスからのみログインできるように制限を加えればより安全ですね。
そこで、nginxとapacheのIP制限についてまとめたいと思います。
nginxの場合
下記内容をnginx設定ファイルに追記します。
server { # wp-adminのIP制限。allow~に続いて許可するIPアドレスを書きます。 # deny all;の行は消してはいけません。 location /wp-admin { allow xxx.xxx.xxx.xxx; allow yyy.yyy.yyy.yyy; deny all; } # wp-login.phpのIP制限。wp-adminの場合と内容は一緒です。 location = /wp-login.php { allow xxx.xxx.xxx.xxx; allow yyy.yyy.yyy.yyy; deny all; # PHPを動作させるための設定も忘れずに書きます fastcgi_pass x.x.x.x:yyyy; などなど。。。 } } |
共通して注意したいのは、
deny all; |
をallowより先に書いてはいけません。denyが現れた段階で残りのallow行は無視されます。
wp-adminの制限はわかりやすいと思います。wp-login.phpですが、ここでは「=」修飾子を使って制限対象を「/wp-login.php」に限定しています。今回のように対象となるファイルが決まっている時には、この書き方のほうが直感的でわかりやすいと思います。また、IP制限の記述だけですとPHPとして動作しなくなるので、忘れずにPHPの設定を書いておきましょう。
設定を書き換えたら「/path/to/bin/nginx -t」を実行して設定ファイルにミスがないか確認をします。問題なければnginxを再起動します。
apacheの場合
.htaccessが使えるようであれば、下記内容を/wp-admin/に設置します。
order deny,allow deny from all allow from xxx.xxx.xxx.xxx |
また、wp-login.phpのあるディレクトリの中に下記内容で.htaccessを設置します。
<Files "wp-login.php"> order deny,allow deny from all allow from xxx.xxx.xxx.xxx </Files> |
動作確認
nginx、apacheのいずれの場合も、
- 許可されたIPアドレスから接続できること
- それ以外のIPアドレスからアクセス出来ないこと
を確認しましょう。
おまけ
WordPressのプラグインで、特定のIPアドレスから何度もログインしようとした場合に、そのIPアドレスを一定時間ブロックするものもあるようです。
固定IPアドレスがなくて制限をかけられない場合は、このようなプラグインを使うのもひとつの手です。
PICK UP
-
タグ: AIと経営, コラム, デジタルとリアル, 事業戦略, 人材育成, 企業ストーリー, 働き方, 創業秘話, 社内企画, 社長インタビュー, 経営理念, 給与制度
給与水準を高くする理由は?IT経営者でなければ何をしたい?【甲斐社長に聞く 第2回】|株式会社イー・エージェンシー公式note -
株式会社KEYMEMORY様:さぶみっと!レコメンドご利用事例
-
タグ: CVランキング, ECマーケティング, Shopify, Shopifyアプリ連携, ecサイト構築, refactory, さぶみっと!レコメンド, コラム, レコメンドエンジン, 売上向上, 導入事例, 販売代理店
株式会社refactory様『さぶみっと!レコメンド』をShopify上に国内初導入&販売代理店契約を締結 -
タグ: エンジニア募集, オウンドメディア, コラム, ビジネス職, リモートワーク, レコメンドエンジン, 中途採用, 働きやすい環境, 採用強化, 社内文化, 翻訳ツール
【オープン社内報 2025年7月号】イー・エージェンシー プレミアムニュース -
タグ: エンジニア採用, キャリア採用, コミュニケーション, コラム, ブログ, リモートワーク, ワーケーション, 文化, 環境
2025年7月の募集職種一覧!ビジネス職を中心に採用強化中!|株式会社イー・エージェンシー公式note -
タグ: BIツール, GMP, Google Cloud, Looker Studio, Looker Studio Pro, コラム, データ分析, データ可視化, レポート自動化, 生成ai
【比較表あり】有料版Looker Studio Proと無料版の違いを徹底解説!導入で気をつけるべき3つのポイント