エックスサーバーのWordPress国外IPアクセス制限で特定IPのみ許可する方法

今やウェブサイト構築のプラットフォーム的な存在となった
ワードプレスですが、その利用者は世界中で爆発的に増えています。

 
最初は単なるブログエンジンだったのですが、
そのカスタマイズの容易性や多彩なプラグインの人気により、
多くの企業サイトもワードプレスで作成されるまでになりました。

このように利用者が多くなり、その規模が拡大されてくると
当然のようにそこの対して不正を働こうという者が現れます。

 
ワードプレスはその設置の容易さもあり、
爆発的に利用者が増えました。

ただ、その容易さゆえにデフォルトのファイル構成は
アタックの容易性を高める結果となってしまいました。

 
ワードプレスでは管理ページのURLは「/wp-admin」となり、
ユーザー名はデフォルトでは「admin」で作成されます。

つまり、サイトのURLさえ分かれば、そこから管理ページのURLの
割り出しは容易ですし、ユーザー名がデフォルトであれば、
あとはパスワードだけを割り出せれば、簡単に第3者が管理ページに
ログインすることができてしまいます。

 
第3者にログインされてしまうと、
ページの内容を書き換えられたり、ウイルスを埋め込まれたり、
危険サイトへのリダイレクトのハブとして利用されたりします。

 
パスワードは簡単には割り出されないよ
 

と油断していると結構あっさり侵入されてしまいます。

 
最近、世界的にワードプレスサイトを狙った攻撃が多発しています。
ブルートフォースアタックという手法で攻撃し、不正に管理ページへの
ログインを試みます。

ブルートフォースアタックとは、ユーザー名とパスワードを手当たり次第に
試して侵入を試みようとするアタック方法です。

もしユーザー名がデフォルトの「admin」のままであれば、
アタックして試すのはパスワードだけでいいので、かなり危険な状態
と言えます。

 
もちろん手動でパスワードを試すのではなく、パスワードの組み合わせを
作り出し、それを使ってプログラムで侵入しようとしてきます。

よく映画などで、ロックキー付きの鍵をデバイスを使って開けているシーンを
見たことがあると思いますが、あんな感じでゆるいパスワードであれば
結構簡単に開けてしまいます。

 
ちなみに、パスワードの割り出しにかかる時間は下記のようになります。

【英字(大文字、小文字区別しない)で構成】
4桁:約3秒
6桁:約37分
8桁:約17日
10桁:約32年

【英字(大文字、小文字区別)+数字で構成】
4桁:約2分
6桁:約5日
8桁:約50年
10桁:約20万年

【英字(大文字、小文字区別)+数字+記号で構成】
4桁:約9分
6桁:約54日
8桁:約1千年
10桁:約1千万年

 
結構英字のみの4桁でパスワードを設定している人も多いと思いますが、
そのパスワードは3秒で解析されます。

最低でも8桁以上にはしないとまったく安全ではないです

 
国内のレンタルサーバーでこの動きにいち早く対応したのが

エックスサーバー

です。

 
エックスサーバーでは、管理ページへの国外からのアクセスに対して
IP制限をかけました。

これにより国外からワードプレスの管理ページにアクセスすることは
現在出来ない状態です。

ブルートフォースアタックを受ける以前にアクセスをシャットアウトするので、
現状最強の対策であると言えます。

 
ただし1つ問題があります。

エックスサーバーは人気のレンタルサーバーなので、
当然海外在住の人も利用しています。

その海外在住者はワードプレスの管理ページにアクセスすることができなく
なってしまいます。

もちろん、海外IP制限を外すこともできますので、
そうすれば問題なく海外在住者も従来通り使えますが、
そうするとブルートフォースアタックを遮断することはできなくなります。

この場合は、海外IP制限は外さないでそのままにしておいて、
アクセス元(主に自宅だと思いますが)のIPのみを許可する設定
をすればOKです。

 
設定方法は下記の通ります。

「/public_html」以下の「.htaccess」ファルに、

SetEnvIf Remote_Addr ^100\.100\.100\.100$ AllowCountry

という記述を追記して保存します。

 
上記の例は許可するIPアドレスが「100.100.100.100」の場合です。
この部分のIPを変更すればOKです。

これで設定したIP以外の海外からのアクセスを遮断することができます。

 
今後もこの手のアタックはますます増えると思いますので、
しっかりと対策をしておきましょう!

コメントを残す

ご質問&ご感想をお気軽にどうぞ!
メールアドレスが公開されることはありません。