エックスサーバーのWordPress国外IPアクセス制限で特定IPのみ許可する方法

今やウェブサイト構築のプラットフォーム的な存在となったワードプレスですが、その利用者は世界中で爆発的に増えています。

最初は単なるブログエンジンだったのですが、そのカスタマイズの容易性や多彩なプラグインの人気により、多くの企業サイトもワードプレスで作成されるまでになりました。

このように利用者が多くなり、その規模が拡大されてくると当然のようにワードプレスに対して不正を働こうという者が現れます。

ワードプレスの管理ページに不正ログインされるリスク

ワードプレスはその設置の容易さもあり爆発的に利用者が増えました。

ただ、その容易さゆえにデフォルトのファイル構成はアタックの容易性を高める結果となってしまいました。

 

ワードプレスでは管理ページのURLは「/wp-admin」となり、ユーザー名はデフォルトでは「admin」で作成されます。

つまり、サイトのURLさえ分かれば、そこから管理ページのURLの割り出しは容易です。

さらに、ユーザー名がデフォルトであれば、あとはパスワードだけを割り出せれば、簡単に第3者が管理ページにログインすることができてしまいます。

 

第3者にログインされてしまうと、

  • ページの内容を書き換えられたり
  • ウイルスを埋め込まれたり
  • 危険サイトへのリダイレクトのハブとして利用されたり

といったリスクが生じます。

うさぎくん
うさぎくん
いやいや。パスワードなんて簡単には割り出されないでしょ〜(笑)
椎名
椎名
・・・と油断していると結構あっさり侵入されてしまいます。

最近、世界的にワードプレスサイトを狙った攻撃が多発しています。

 

ワードプレス管理ページへのブルートフォースアタックとは?

ブルートフォースアタックという手法で攻撃し、不正に管理ページへのログインを試みます。

ブルートフォースアタックとは、ユーザー名とパスワードを手当たり次第に試して侵入を試みようとするアタック方法です。

 

もしユーザー名がデフォルトの「admin」のままであれば、アタックして試すのはパスワードだけでいいので、かなり危険な状態と言えます。

もちろん手動でパスワードを試すのではなく、パスワードの組み合わせを作り出し、それを使ってプログラムで侵入しようとしてきます。

よく映画などで、ロックキー付きの鍵をデバイスを使って開けているシーンを見たことがあると思いますが、あんな感じでゆるいパスワードであれば、結構簡単に開けてしまいます。

 

ブルートフォースアタックでパスワードの割り出しにかかる時間

うさぎくん
うさぎくん
とはいってもパスワードの割り出しって時間かかるんでしょ〜?
椎名
椎名
パスワードの割り出しにかかる時間はこんな感じだよ。
英字(大文字、小文字区別しない)で構成

4桁:約3秒
6桁:約37分
8桁:約17日
10桁:約32年

英字(大文字、小文字区別)+数字で構成

4桁:約2分
6桁:約5日
8桁:約50年
10桁:約20万年

英字(大文字、小文字区別)+数字+記号で構成

4桁:約9分
6桁:約54日
8桁:約1千年
10桁:約1千万年

結構英字のみの4桁でパスワードを設定している人も多いと思いますが、そのパスワードは3秒で解析されます。

うさぎくん
うさぎくん
そっこうですなぁ・・・
椎名
椎名
ですね。最低でも8桁以上にしないとまったく安全じゃないです。

 

エックスサーバーの国外IP制限で管理ページのセキュリティ強化

国内のレンタルサーバーでこの動きにいち早く対応したのがエックスサーバーです。

エックスサーバーでは、管理ページへの国外からのアクセスに対してIP制限をかけました。

これにより国外からワードプレスの管理ページにアクセスすることは現在出来ない状態です。

ブルートフォースアタックを受ける以前にアクセスをシャットアウトするので、現状最強の対策であると言えます。

椎名
椎名
ただ、1つだけ問題があるんです。

エックスサーバーは人気のレンタルサーバーなので、当然海外在住の人も利用しています。

 

その海外在住者はワードプレスの管理ページにアクセスすることができなくなってしまいます。

もちろん、海外IP制限を外すこともできますので、そうすれば問題なく海外在住者も従来通り使えますが、そうするとブルートフォースアタックを遮断することはできなくなります。

この場合は、海外IP制限は外さないでそのままにしておいて、アクセス元(主に自宅だと思いますが)のIPのみを許可する設定をすればOKです。

 

エックスサーバーで特定IPのアクセスを許可する設定方法

エックスサーバーで特定IPのアクセスを許可する設定方法は下記の通りです。

「/public_html」以下の「.htaccess」ファルに、

SetEnvIf Remote_Addr ^100\.100\.100\.100$ AllowCountry

という記述を追記して保存します。

上記の例は許可するIPアドレスが「100.100.100.100」の場合です。

この部分のIPを変更すればOKです。

椎名
椎名
これで設定したIP以外の海外からのアクセスを遮断することができます!

今後もこの手のアタックはますます増えると思いますので、しっかりと対策をしておきましょう!

コメントを残す

ご質問&ご感想をお気軽にどうぞ!
メールアドレスが公開されることはありません。