WordPressの国外IPアドレス制限設定とは?なぜ必要?
ブログやアフィリエイトサイト作成に人気のWordPress!しかし、実はWordPressが一番セキュリティに気をつけないといけないんです!
なんと全体の攻撃のうち、約4割がWordPressをターゲットにした攻撃とのこと!(下記サイト参照)
また攻撃元ですが、圧倒的に海外からの攻撃が多いんです。
上の表を見てもらうと分かると思いますが、国外からの攻撃は約9割近くになります。トップ3は、中国(17%)、ロシア(16%)、米国(14%)となっております。
このような状況の中、エックスサーバーでは国外からのWordPressアクセスを制限できる機能を提供してくれています。
ちなみに、様々な(レンタルサーバーの)セキュリティ対策がある中、今回説明しますWordPressへのアクセス制限機能は次の赤枠部分となります。
それではさっそく、WordPressの国外IPアドレス制限設定を設定していきましょう!
WordPressの国外IPアドレス制限設定手順!
まずは、エックスサーバーのサーバーパネルにログインしましょう。
はてな
サーバーパネルとは、エックスサーバーの各種設定を扱う管理画面となります。
サーバーパネルにログインできましたら、トップ画面にあるWordPress項目の「WordPressセキュリティ設定」をクリックします。
ここで、以下のWordPress機能に対して、日本以外の国からのアクセスをブロック設定することができます!
- ダッシュボード
- XML-RPC API
- REST API
それではこれら3つについて制限できる内容と制限設定方法を説明していきたいと思います。
ダッシュボード アクセス制限設定!
まずはダッシュボードのアクセス制限設定となります。
ここでダッシュボードとは、WordPressの管理画面(下記)のことを言います。この画面で記事を書いたり、各種設定を行ったり、投稿したり、といった作業をすることになります。
このWordPressの「ダッシュボード」に対して国外からのアクセスを制限するには、「国外IPアクセス制限設定」タブを選択し、「ダッシュボード アクセス制限」が「ONにする」となっている必要があります。(デフォルトではONになっているはずですが、念のためチェックしておいてください。)
もし海外旅行先などからWordPresssの管理画面にアクセスする必要がある場合は、この設定を「OFFにする」に変更しておく必要があります。
ただし、このままではWordPressの管理画面に海外から攻撃される可能性が高くなるため、セキュリティ対策のため必ず「wp-admin」フォルダなどにアクセス制限をかけておきましょう!
そのやり方について説明しておきます。
サーバーパネルトップ画面の「ホームページ」項目の「アクセス制限」に入ります。そして、設定するドメインを選択すると次のような画面になると思いますので、「wp-adminフォルダ」行の「①ユーザー設定」でユーザー名とパスワードを登録、「②アクセス制限」でONを選択、でOKです。
以降ダッシュボードにアクセスした際、次のように認証が求められるようになると思います。これでセキュリティが強化できましたね。
XML-RPC API アクセス制限
次はXML-RPC APIのアクセス制限設定となります。
XML-RPC APIとは、スマホや外部アプリから記事の更新、画像の投稿を行う際に利用されるサーバー提供機能です。
このXML-RPC APIの機能を悪用しスパムメール送信の踏み台にするようなケースも報告されています。(下記サイト参照)
この「XML-RPC API」に対して国外からのアクセスを制限するには、同じく「国外IPアクセス制限設定」タブを選択し、「XML-RPC API アクセス制限」が「ONにする」となっている必要があります。(デフォルトではONになっているはずですが、念のためチェックしておいてください。)
ダッシュボード アクセス制限の場合と同じく、もし海外旅行先でWordPressスマホアプリを使用する場合は、この設定を「OFFにする」に変更しておく必要があります。「OFF」にしておかないと、記事の更新などを行う際に次のようなエラーが発生してしまいます。
WordPresssスマホアプリを使わないのなら国外からだけではなく国内からのアクセスも禁止しておくほうがより安全です。
ちょっとだけ高度な設定になりますが、サーバーパネルの「ホームページ」項目にある「.htaccess編集」にて次のコードを追加することで国内IPアドレスからのアクセスも禁止できるようになります。
<Files xmlrpc.php>
Order deny,allow
Deny from all
</Files>
画面で説明すると次のような感じですね。
REST API アクセス制限
最後はREST APIのアクセス制限設定となります。
REST APIとは、XML-RPC APIと同様に、スマホや外部アプリから情報取得などを行う際に利用されるサーバー提供機能です。
REST APIは便利な機能なのですが通常のサイト運用では使わない機能ですので、「国外IPアクセス制限設定」タブを選択し、「REST API アクセス制限」が「ONにする」になっているか確認しておいてください。(デフォルトはONになっているはずですが。)
また、現時点では国内IPアドレスからのアクセスも禁止して問題ないと思いますので、ついでにやっておきましょう。
そのためには、「DISABLE REST APIプラグイン」を導入するのが手っ取り早い方法となります。
やり方は、サーバーパネルの左サイドメニューから「プラグイン」の「新規追加」を選びます。
そして、プラグイン追加画面の右上の検索エリアに「DISABLE REST API」と入力し検索するとDISABLE REST APIが見つかると思いますので、「いますぐインストール」でインストールし”有効化”します。
その後、「http://あなたのサイト名/wp-json」にアクセスし以下のようなエラーとなればアクセス制限が効いていることなります!パチパチパチ。
以上で今回の記事は終了となります。無事迷わずセキュリティ設定できましたでしょうか?
まとめ
いかがでしたでしょうか?
今回は、エックスサーバーのWordPressの国外IPアドレス制限の必要性や設定のやり方を次の順に説明させてもらいました。
- WordPressの国外IPアドレス制限設定とは?なぜ必要?
- WordPressの国外IPアドレス制限設定手順
- ダッシュボードアクセス制限
- XML-RPC APIアクセス制限
- REST APIアクセス制限
冒頭でも少し説明しましたが、昨今一番狙われているのがWordPressですのでできる限りの対策をしっかり施しておきましょう。
WordPress管理画面の安全性をさらに強化するために、次のような関連設定も推奨しておりますので合わせてご覧ください!
それでは、良質な記事を発信し集客力ある魅力的なサイトを築いていってください!応援しております!
※次の記事で、「WordPressを使ったアフィリエイトサイトの作り方」を一から丁寧に解説しております!ぜひご覧ください!
【初心者向け】稼げるアフィリエイトサイトの作り方を一からやさしく解説!
-
【絶対できる】WordPressでのアフィリエイトサイトの作り方を解説!
つづきを見る
