管理画面にIPアドレス制限をかけるセキュリティ対策

wordpressのログイン画面と管理画面のURLは？

wordpressへアクセスするログインページ・ログイン後の管理画面ページのURLは下記になります。

• ログイン画面 | wp-login.php

• 管理画面URL | /wp-admin/～

上記ファイル・URLに、IPアドレス制限をする事で、.htaccess内に設定してあるIPアドレスだけ正しく表示されるようになります。それ以外のIPアドレスからアクセスした場合、アクセス禁止の403エラーが表示されます。スマートフォンなど外部のIPアドレスからアクセスして、403エラー画面が表示されていれば、正しく設定・制限がかけられています。

.htaccessに書き加える

WordPressを設置してあるディレクトリには、 .htaccessファイルが存在します。 .htaccessにIPアドレス制限の記述を追記しましょう。 制限の記述はシンプルで、<FilesMatch>ディレクティブにて制限をかけるだけです。

<FilesMatch "wp-login.php|wp-admin">
  order deny,allow
  deny from all
  allow from xxx.xxx.xxx.xxx
</FilesMatch>

アクセスするURLに、wp-login.php と wp-adminという文字列を含んでいる場合は、制限をかけたIPアドレス以外はアクセス不可となります。またIPアドレスについては、固定IPアドレスが必須となります。
固定IPがわからない場合は、IPアドレス他、WHOIS情報も取得できる確認くんで簡単に知らべる事ができます。
これで設定は完了です。これだけでもセキュリティ強化がされ、安全にCMSを利用することができる一歩となるかと思います。

まとめ

いかがでしたでしょうか。今回は、安全にWordPressを利用するための第一歩、ログインページ・ログイン後の管理画面ページのアクセス制限について、紹介させていただきました。だだし、下記のような場合は、今回紹介した方法を導入することはできません。

注意点

• そもそも固定IPアドレスを持っていない。

• .htaccessファイルを書き換える権限がない。またはアクセスできない。

• 社外でも複数アクセスする場合があり、IPアドレスが限定できない。

上記の場合は、別の方法によるセキュリティを考える必要があります。別の方法については、あらためて記事を投稿させていただきます。

以上となります。できる限りわかりやすく伝えようとしても書くのは難しいです。
コードや記事の書き方について気になるところがあれば、アドバイスいただけると嬉しいです。