photo credit: Anonymous DDC_1233 / Abode of Chaos

サーバを現環境に移した際に、すっかり忘れてた不正アクセス対策。
そして忘れてたときに限って訪れるWordPressに対しての不正アクセス（ブルートフォースアタック）
おかげさまで大量アクセスに引き続き、不正アクセスでもサーバダウンの寸前に。
そんなわけで、WordPressに特化した不正アクセス対策を施してみました。

必要とするのは.htaccessと、mod_rewriteモジュール。
これらが利用可能かは契約しているサーバの仕様などを確認してください。

プラグインには頼らない！

WordPressの不正アクセス対策にはプラグインも多々リリースされています。
便利ですよね。
でも、プラグインでの対策には難点もあります。

プラグイン＝WordPressへのアクセスは許可されていて、その後の処理で拒否しているわけです。
ようするに、サーバやデータベースへの負荷は相応に発生している、ということ。
大量の不正アクセスが発生すれば、ブログが正常に表示できない状況にもなりえます。

そこで、wp-login.phpへのアクセス自体をサーバ側で制限しちゃうことにしました。

アクセス元のIPアドレスを調べる

まずAPNIC – Query the APNIC Whois Databaseへアクセスします。

赤く囲った部分のように表示されているのが、今あなたが使ってる（割り当てられている）IPアドレス。
IPアドレスの割り当ては通信会社（自宅のプロバイダや携帯電話の会社）が行います。
インターネットへは、このIPアドレスを経路として情報のやりとりをしています。
IPアドレスが確認できたら、この数字を検索フォームに入力（コピペ）して『search』を押します。

上記は『E-MOBILE LTE』の例になります。
E-MOBILEの場合はモバイルルーターを起動のたびにIPアドレスが変化します。
変化する場合、かならずある範囲の中でのみ行われます。
今回のIPアドレス『119.72.198.90』。
このIPアドレスの場合は『119.72.0.0〜119.72.255.255』の範囲内から割り当てられていると確認できました。
docomoやソフトバンク、ご自宅の契約プロバイダでも同様に範囲が設定されていると思います。

.htaccessで制限しよう

WordPressの場合、自動的に『.htaccess』というファイルがwp-login.phpと同じフォルダに作られます。

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^(.*)$ http://www.example.com/$1 [R=301,L]
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

　
インストール後にご自身で.htaccessの中身を修正していない場合、上記のような記述があると思います。
（だいたい同じならOKですよ）
IPアドレスの割り当て範囲は『119.72.0.0〜119.72.255.255』でした。
共通しているのは先頭の『119.72』になります。
そして3番目の項目は『0〜255』の範囲ということになります。
この範囲内からアクセスがあった場合だけ、WordPressの管理画面へアクセス許可するには以下のようになります。

RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^119\.72\.[0-255]
RewriteRule ^(.*)$ - [R=403,L]

　
これで上3桁の数字が『119.72.0〜119.72.255』の範囲で一致した場合のみ許可されました。
ソフトバンクのLTEをiPhone5で利用した場合、IPアドレスは『126.0.0.0〜126.255.255.255』の範囲になります。
この場合は『RewriteCond %{REMOTE_ADDR} !^126\.[0-255]』と記述すればOKです。

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^(.*)$ http://www.example.com/$1 [R=301,L]
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^119\.72\.[0-255]
RewriteCond %{REMOTE_ADDR} !^126\.[0-255]
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>
# END WordPress

　
.htaccessに追記した完成形がコレ。
指定したIPアドレス範囲外からアクセスがあると、サーバは403のエラーコードを返します。
これでプログラムやデータベースの処理が発生することなく、不正アクセスに対して備えることができます。
IPアドレスの範囲は変更されることもあるので、繋がらなくなったら適宜確認→追記をしてくださいね。

WordPress
カテゴリ: ソーシャルネットワーキング
価格: 無料

基礎からのWordPress (BASIC LESSON For Web Engineers)

posted with amazlet at 13.09.25

高橋 のり
ソフトバンククリエイティブ
売り上げランキング: 5,353

Amazon.co.jpで詳細を見る

Apacheクックブック 第2版 ―Webサーバ管理者のためのレシピ集

posted with amazlet at 13.09.25

Ken Coar Rich Bowen
オライリージャパン
売り上げランキング: 220,943

Amazon.co.jpで詳細を見る

• iPhone／iPad (142)
  • iOS (25)
  • ユーティリティ (19)
  • 仕事効率化 (19)
  • 天気 (5)
  • 写真 (17)
  • 動画・音楽 (18)
  • SNSクライアント (6)
  • ナビゲーション (5)
  • ゲーム (5)
  • 知育・教育 (5)
  • ブック (6)
• Mac (190)
  • リリース情報 (1)
  • Mac OS X (38)
  • ユーティリティ (94)
  • Web・Mail (13)
  • iTunes (6)
  • 動画・画像・音楽 (25)
  • SNSクライアント (2)
  • BootCamp (2)
  • ゲーム (5)
• インターネット (133)
  • WEBサービス (86)
  • WordPress (45)
• ハードウェア (259)
  • Mac環境関連 (36)
  • AV機器関連 (48)
  • iPhone/iPad関連 (74)
  • AppleTV関連 (5)
  • デジタルカメラ (62)
  • モバイル関連 (30)
• その他 (220)
  • レシピ・グルメ (25)
  • CD・iTunesミュージック (17)
  • Vape (2)
  • 自転車 (14)
  • 家電・調理器具関連 (22)
  • ファッション (33)
  • 旅行記 (15)
  • 万年筆・文房具 (24)
  • 書籍 (25)
  • WEBLOG (36)

---