ちょうど話題になっているので、Wordpress管理画面へのアタックを防ぐ方法を書いておきます。以前は毎日のようにロリポップからメールが届いていましたが、後述する設定を施したあとは1通も届いていません。


1)ロリポップにログインします。


2)サイドバーの「WEBツール」>「ロリポップ!FTP」に移動します。


3)ドメインのフォルダ>「.htaccess」に移動します。


4)不正アタックを受けたあとは、以下のようになっていると思います。



# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

# BEGIN Lolipop [ http://lolipop.jp/manual/blog/wp-htaccess/ ]
<Files wp-login.php>
ErrorDocument 403 /lolipop_service_documents/wp-login-deny.html
Order deny,allow
Deny from all
Allow from IPADDRESS
</Files>

# END Lolipop


5)以下のように変更します。(自己責任で!)



# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

# BEGIN Lolipop
<Files wp-login.php>
ErrorDocument 403 /lolipop_service_documents/wp-login-deny.html
order deny,allow
deny from all
allow from .jp
</Files>

# END Lolipop


保存ボタンをクリックしたら完了です。

wp-login.phpへのアクセスを国内IPアドレス限定にするだけで、アタックはほぼなくなります。ただし、1点だけ注意して頂きたいのが、間違ってWordpress全体(トップページなど)に対して国外IPアドレス拒否してしまうのは大変危険です。Google BOTも弾いてしまうのでインデックスから消えます。

また、今回はロリポップでの設定をご紹介しましたが、他のサーバーも同様の処置を施しておくことをおすすめします。他のサーバーは不正アタックを受けていても、メールしてこないだけかもしれません。


追記


IPアドレスではなくホスト名で指定したほうが簡単だ、というご指摘を頂きました。


ISPのホスト名がすべて.jpなのを利用するわけですね!こんなやり方があるとは知りませんでした。ありがとうございます!上記の.htaccessをIPアドレス指定からホスト名指定に変更しました。

すっきり!


Twitterでも体験談をつぶやいています。宜しければフォローお願いします。



参考になったと感じたらソーシャルメディアで共有お願いします!


Leave your comment