WordPressで構築されたウェブサイトやブログサイトは、しばしば外部から管理画面に不正アクセス(不正ログイン)や乗っ取り、改ざんなどをされてしまうケースがあります。これを放置してしまうことにより、安全性や信頼性は失われ、意味のないサイトになってしまう可能性すらあります。
皆さん、こんにちは。
業務コンサルタントの高橋です。
WordPressを使っているウェブサイトやブログサイトは、海外から管理画面に不正アクセスされるなどの被害が結構あります。そこで、このような対策をしておくと良いです。
WordPress管理画面へのログインを拒否
海外からWordPressの管理画面に不正アクセスされないよう、日本国内のIPアドレスのみを許可し、海外のIPアドレスを拒否する設定を『.htaccess』ファイルに記述します。
対象は、wp-login.phpファイルとwp-adminディレクトリ
wp-login.phpを日本国内のIPアドレスのみにする記述例として、
<files wp-login.php>
order deny,allow
deny from all
allow from 1.0.16.0/20
.
.
.
</files>
日本国内に配布されているIPアドレスのリストを全て記述しておき、WordPressが設置されているルートディレクトリに.htaccessファイルを設置します(wp-login.phpと同じ階層)。
また、wp-adminディレクトリ部分に関しては、
<files ***>
</files>
のファイル指定を除いた部分を記述した.htaccessファイルを設置しておきます。
日本国内のIPアドレスリストは、
http://ftp.apnic.net/stats/apnic/
https://www.nic.ad.jp/ja/ip/list.html
などから取得できます。
上記のような措置を施しておくことにより、日本国内のIPアドレス以外、つまり海外のIPアドレスからは管理画面にアクセスできないことになりますのでお勧めです
ただし、最近はホスティング会社側にてこういった対処をしてくれているホスティング会社もありますので、その場合はこういった記述は必要ありません。