エックスサーバーの運用

【エックスサーバー運用】絶対やっておきたいWordPressセキュリティ設定!(国外IPアクセス制限)

 

WordPressの国外IPアドレス制限設定とは?なぜ必要?

 

ブログやアフィリエイトサイト作成に人気のWordPress!しかし、実はWordPressが一番セキュリティに気をつけないといけないんです!

なんと全体の攻撃のうち、約4割がWordPressをターゲットにした攻撃とのこと!(下記サイト参照)

 

また攻撃元ですが、圧倒的に海外からの攻撃が多いんです。

国外からのセキュリティ攻撃

 

上の表を見てもらうと分かると思いますが、国外からの攻撃は約9割近くになります。トップ3は、中国(17%)、ロシア(16%)、米国(14%)となっております。

このような状況の中、エックスサーバーでは国外からのWordPressアクセスを制限できる機能を提供してくれています。

 

ちなみに、様々な(レンタルサーバーの)セキュリティ対策がある中、今回説明しますWordPressへのアクセス制限機能は次の赤枠部分となります。

今回対象とするセキュリティ機能

 

それではさっそく、WordPressの国外IPアドレス制限設定を設定していきましょう!

 

今ならドメイン永久無料! 9/3まで /

 

WordPressの国外IPアドレス制限設定手順!

 

れんた
国外からのWordPressへのアクセスを制限することがいかに重要か分かってもらえたと思いますので、これから設定手順の説明に移ります。

 

まずは、エックスサーバーのサーバーパネルにログインしましょう。

はてな

サーバーパネルとは、エックスサーバーの各種設定を扱う管理画面となります。

 

サーバーパネルにログインできましたら、トップ画面にあるWordPress項目の「WordPressセキュリティ設定」をクリックします。

サーバーパネルでWordPressセキュリティ設定を選択

 

ここで、以下のWordPress機能に対して、日本以外の国からのアクセスをブロック設定することができます!

  • ダッシュボード
  • XML-RPC API
  • REST API

 

それではこれら3つについて制限できる内容と制限設定方法を説明していきたいと思います。

 

今ならドメイン永久無料! 9/3まで /

 

ダッシュボード アクセス制限設定!

 

まずはダッシュボードのアクセス制限設定となります。

 

ここでダッシュボードとは、WordPressの管理画面(下記)のことを言います。この画面で記事を書いたり、各種設定を行ったり、投稿したり、といった作業をすることになります。

WordPressの管理画面例

 

 

このWordPressの「ダッシュボード」に対して国外からのアクセスを制限するには、「国外IPアクセス制限設定」タブを選択し、「ダッシュボード アクセス制限」「ONにする」となっている必要があります。(デフォルトではONになっているはずですが、念のためチェックしておいてください。)

国内IPアクセス制限設定メニューで設定する

 

もし海外旅行先などからWordPresssの管理画面にアクセスする必要がある場合は、この設定を「OFFにする」に変更しておく必要があります。

ただし、このままではWordPressの管理画面に海外から攻撃される可能性が高くなるため、セキュリティ対策のため必ず「wp-admin」フォルダなどにアクセス制限をかけておきましょう!

 

そのやり方について説明しておきます。

サーバーパネルトップ画面の「ホームページ」項目の「アクセス制限」に入ります。そして、設定するドメインを選択すると次のような画面になると思いますので、「wp-adminフォルダ」行「①ユーザー設定」ユーザー名とパスワードを登録「②アクセス制限」ONを選択、でOKです。

wp-adminに制限設定をかける

 

以降ダッシュボードにアクセスした際、次のように認証が求められるようになると思います。これでセキュリティが強化できましたね。

ログイン認証画面

 

れんた
海外旅行などから帰ってきたら設定を戻しておきましょう。

 

XML-RPC API アクセス制限

 

次はXML-RPC APIのアクセス制限設定となります。

XML-RPC APIとは、スマホや外部アプリから記事の更新、画像の投稿を行う際に利用されるサーバー提供機能です。

XML-RPC APIの概要

 

このXML-RPC APIの機能を悪用しスパムメール送信の踏み台にするようなケースも報告されています。(下記サイト参照)

 

この「XML-RPC API」に対して国外からのアクセスを制限するには、同じく「国外IPアクセス制限設定」タブを選択し、「XML-RPC API アクセス制限」「ONにする」となっている必要があります。(デフォルトではONになっているはずですが、念のためチェックしておいてください。)

 

ダッシュボード アクセス制限の場合と同じく、もし海外旅行先でWordPressスマホアプリを使用する場合は、この設定を「OFFにする」に変更しておく必要があります。「OFF」にしておかないと、記事の更新などを行う際に次のようなエラーが発生してしまいます。

XML-RPC APIエラー画面

 

WordPresssスマホアプリを使わないのなら国外からだけではなく国内からのアクセスも禁止しておくほうがより安全です。

ちょっとだけ高度な設定になりますが、サーバーパネルの「ホームページ」項目にある「.htaccess編集」にて次のコードを追加することで国内IPアドレスからのアクセスも禁止できるようになります。

<Files xmlrpc.php>
Order deny,allow
Deny from all
</Files>

 

画面で説明すると次のような感じですね。

htaccess編集メニューを選択

.htaccess編集で設定内容を変更

 

れんた
設定の際はコピペミスには気を付けてくださいね!

 

REST API アクセス制限

 

最後はREST APIのアクセス制限設定となります。

REST APIとは、XML-RPC APIと同様に、スマホや外部アプリから情報取得などを行う際に利用されるサーバー提供機能です。

REST APIは便利な機能なのですが通常のサイト運用では使わない機能ですので、「国外IPアクセス制限設定」タブを選択し、「REST API アクセス制限」「ONにする」になっているか確認しておいてください。(デフォルトはONになっているはずですが。)

REST APIアクセス制限設定画面

 

また、現時点では国内IPアドレスからのアクセスも禁止して問題ないと思いますので、ついでにやっておきましょう。

そのためには、「DISABLE REST APIプラグイン」を導入するのが手っ取り早い方法となります。

やり方は、サーバーパネルの左サイドメニューから「プラグイン」「新規追加」を選びます。

そして、プラグイン追加画面の右上の検索エリアに「DISABLE REST API」と入力し検索するとDISABLE REST APIが見つかると思いますので、「いますぐインストール」でインストールし”有効化”します。

プラグインインストール画面

 

その後、「http://あなたのサイト名/wp-json」にアクセスし以下のようなエラーとなればアクセス制限が効いていることなります!パチパチパチ。

REST APIアクセスエラーの画面

 

以上で今回の記事は終了となります。無事迷わずセキュリティ設定できましたでしょうか?

 

 

まとめ

 

いかがでしたでしょうか?

今回は、エックスサーバーのWordPressの国外IPアドレス制限の必要性や設定のやり方を次の順に説明させてもらいました。

  • WordPressの国外IPアドレス制限設定とは?なぜ必要?
  • WordPressの国外IPアドレス制限設定手順
    • ダッシュボードアクセス制限
    • XML-RPC APIアクセス制限
    • REST APIアクセス制限

冒頭でも少し説明しましたが、昨今一番狙われているのがWordPressですのでできる限りの対策をしっかり施しておきましょう。

 

WordPress管理画面の安全性をさらに強化するために、次のような関連設定も推奨しておりますので合わせてご覧ください!

 

それでは、良質な記事を発信し集客力ある魅力的なサイトを築いていってください!応援しております!

 

※次の記事で、「WordPressを使ったアフィリエイトサイトの作り方」を一から丁寧に解説しております!ぜひご覧ください!

【初心者向け】稼げるアフィリエイトサイトの作り方を一からやさしく解説!

アフィリエイト
【絶対できる】WordPressでのアフィリエイトサイトの作り方を解説!

続きを見る

 

今ならドメイン永久無料! 9/3まで /

-エックスサーバーの運用

Copyright© WEBレコ , 2020 All Rights Reserved Powered by AFFINGER5.