不正アクセス防止のためのアクセス制限、WordPressにログインできない


screen of access restriction

この「たでブログ」のダッシュボード(管理画面)にログインしようとしたら、突然このような画面が表示されました。どうやらWordPressのダッシュボードに不正アクセスがあったらしく、レンタルサーバー(ロリポップ)側でアクセス制限を実施したとのことです。

スポンサード リンク

ロリポップによる制限なのかを確認する

画面には対処方法についても記載されていて、『.htaccess』ファイルの編集をすればログインできるようになるとのことです。ですが、ここで慌てて対処する前に、念のために登録アドレスに送信しているというメールも確認することにしました。

すると、『【ロリポップ!】不正なアクセスを検知いたしました』という件名でメールが届いていたことを確認することができました。

The screen of e-mail

メールはアクセス制限を実施したというアナウンス画面とほぼ同じ内容でした。
ですが、宛名が個人名であったり契約IDなどが記載されていることから、確かにロリポップが実施した制限であることを確認することができました。

.htaccessファイルの編集

WordPressの.htaccessファイルの編集方法についてはマニュアルが用意されています。
WordPressの.htaccess編集

要するに.htaccessファイルの一部を書き換える作業です。
具体的には、.htaccessファイルを開くと下記の記述がされています。

# BEGIN Lolipop [ http://lolipop.jp/manual/blog/wp-htaccess/ ]
<Files wp-login.php>
ErrorDocument 403 /lolipop_service_documents/wp-login-deny.html
Order deny,allow
Deny from all
Allow from IPADDRESS
</Files>

# END Lolipop

この中の「Allwo from IPADDRESS」の赤字部分をご自分の接続元IPアドレスに書き換えるわけです。

接続元IPアドレス

ここで「ご自分の接続元IPアドレスって何?」と疑問に思うかもしれません。
心配無用です。

先ほど.htaccess編集方法についてロリポップのマニュアルを開いていると思いますが、マニュアルの「4」にご自分のIPアドレスが表示されるようになっていました。

IPadress

なのでマニュアルのページを開きさえすれば、そこに表示されているというわけです。

複数の端末から接続する場合

私の場合は、モバイルルーターを使って外出先から記事の投稿をすることがあります。つまり、接続元のIPアドレスは別にもう1つあることになります。

Edit of htaccess

このような場合は、「Allwo from ○○.××.△△.□□」を2段に記述すればよいのです。

これでWordPressにログインできるようになりました。

サイト改ざん対策

最後にロリポップが推奨しているサイト改ざん対策を記載しておきます。

  • WAFを有効にする
  • CMS ツールは最新のバージョンをご利用ください
  • パーミッションの設定を正しく行なってください
  • WordPressのテーマ・プラグインを利用する際に注意ください
  • 最新のウイルス対策ソフトを利用する
  • FTPやCMS管理画面のパスワードを推測されにくいものにする
  • バックアップツールを使って定期的にバックアップを取る

WEBサイト改ざんの予防対策

ロリポップ!