WordPressは世界中で広く利用されているため、多くのユーザーにとって便利なツールです。
しかし、その普及率の高さゆえに不正アクセスやサイバー攻撃の標的にもなりやすいという側面があります。
特にレンタルサーバーを利用する初心者にとって、WordPressのセキュリティを向上させることは重要な課題です。
本記事では、外国からのアクセスを制限し、不正ログインやDDoS攻撃の踏み台となるリスクを軽減する方法について解説します。
また、実際にエックスサーバーで体験した設定方法も紹介します。
外国からのアクセス制限が必要な理由
WordPress機能への国外からのアクセスを制限することで、不正なログインやDDoS攻撃の踏み台となることを防ぐことができます。
その結果、WordPressサイトのセキュリティを向上させることができます。
WordPressの初心者にとっては、専門的な内容なので敷居が高いかもしれませんが、知識として知っておくことは大切です。
では、順番に説明します。
不正ログイン攻撃の防止
WordPressの管理画面(ダッシュボード)は、不正ログイン攻撃の主要なターゲットです。
特に国外からのアクセスは、辞書攻撃やブルートフォース攻撃が多くを占めています。
これらの攻撃は、IDやパスワードの組み合わせを試行錯誤して侵入を試みるため、サーバーの負荷を増大させ、運営者にとって深刻な問題となります。
DDoS攻撃の防止
XML-RPC APIやREST APIを利用したDDoS攻撃は、複数の端末から一斉にリクエストを送ることでサイトをダウンさせる手法です。
特にXML-RPC APIは、Pingback機能を悪用されることで攻撃の踏み台にされやすいポイントです。
不要な機能へのアクセスの削減
WordPressには、標準でwlwmanifest.xmlやXML-RPC APIといった外部アプリケーション向けの機能が含まれています。
しかし、これらの機能は多くのユーザーにとって不要であり、アクセスを制限することでセキュリティを向上させることができます。
アクセス制限の対象とその設定方法
アクセス制限の対象とその設定方法について、順番に説明します。
ダッシュボード(管理画面)へのアクセス制限
WordPressのダッシュボードへのアクセスは、通常使用するIPアドレスのみに限定することで、不正ログイン攻撃を大幅に防ぐことが可能です。
レンタルサーバーの管理画面や.htaccessファイルを利用して、特定のIPアドレスのみが/wp-admin
にアクセスできるよう設定します。
XML-RPC APIのアクセス制限
XML-RPC APIは、リモートでの投稿やアプリ連携に使われますが、不正利用されやすい機能でもあります。
この機能が不要な場合、.htaccessファイルに特別なコードを追加してアクセスをブロックすることが推奨されます。
REST APIのアクセス制限
REST APIは、外部アプリやプラグインとの連携に利用されますが、特に匿名ユーザーからのアクセスを制限することが重要です。
REST APIを完全に無効化するプラグイン(例:Disable WP REST API)を使用するか、必要に応じてアクセスを制限する設定を行います。
wlwmanifest.xmlへのアクセス制限
wlwmanifest.xmlはWindows Live Writerとの互換性を提供するためのファイルですが、ほとんどのユーザーにとって不要です。
このファイルへのアクセスを制限することで、潜在的な脅威を排除できます。
特別なコードを.htaccessに追加して設定します。
アクセス制限のメリット
これらのアクセス制限を実施することで、以下のようなメリットが得られます。
- サイトの負荷を軽減し、安定した安全な運用が可能になる。
- 不正アクセスや攻撃のリスクを低減し、データの安全性を確保できる。
- 不要な機能を無効化することで、攻撃対象を最小限に絞れる。
専門家の活用も検討を
これらの設定が面倒だからと、放置していると、国外からの攻撃にさらされるリスクがありま、おすすめできません。
セキュリティ設定が難しい場合や、不安がある場合は専門家に相談することも選択肢の一つです。
レンタルサーバーのサポート窓口や、WordPressに詳しいフリーランスのエンジニアを活用することで、適切なセキュリティ対策を講じることができます。
エックスサーバーでアクセス制限を設定してみた体験談
はじめに、レンタルサーバーでアクセス制限を設定する方法を説明します。
レンタルサーバーは、事例としてエックスサーバーの場合を紹介します。
1.サーバーパネルにログイン
エックスサーバーのサーバーパネルにログインします。
エックスサーバー公式サイトから入れます。
■公式サイト → エックスサーバー
2.WordPressセキュリティ設定画面
サーバーパネルからWordPressをクリックします。
次に、WordPressセキュリティ設定をクリックします。
以下の画面が表示されます。
この画面から、各種アクセス制限を設定します。
赤枠で囲んであるのが、今回説明した「ダッシュボード アクセス制限」、「XML-RPC API アクセス制限」、「REST API アクセス制限」、「wlwmanifest.xml アクセス制限」です。
画像の様に、このボタンを「ON」にすると、アクセス制限の設定が完了します。
これなら、初心者でも簡単に設定できます。
この他に、「ログイン試行回数制限」、「コメント・トラックバック制限」のアクセス制限を設定できます。
ログイン試行回数制限
短時間に連続してログインが行われ、失敗した場合にアクセスを制限する機能です。
パスワード総当りする「ブルートフォースアタック」による不正アクセスを防止することが出来ます。
このボタンも有効「ON」にするのがおすすめです。
コメント・トラックバック制限
コメント・トラックバック「スパム」が行われた場合に、一時的にコメント・トラックバックを制限します。
制限開始後、6時間が経過すると自動的に解除されます。
国外からのコメント投稿、またはトラックバックを制限します。
国外からのコメント・トラックバックが必要しない場合は有効「ON」がおすすめです。
エックスサーバーで設定した考察
ぼくの場合、エックスサーバーを使っていたので、この方法で設定してみました。
最近まで、外国からもアクセスしていたため、「OFF」にしていました。
しかし、もう外国出張もないので、今回全て「ON」に設定を切替えました。
ぼくはセキュリティ対策で「Wordfence」を使って、アクセス制限やマルウエア感染対策をしています。
そのため、エックスサーバー側で設定しなくても、外国からの日々のアタックをブロックしています。
今回、エックスサーバー側でもセキュリティの設定をしたことで、エックスサーバー側と併用することになり、さらに安心してサイト運営ができるようになりました。
もし、Wordfenceを使っていなかったらと思うと、背中が寒くなります。
Wordfenceの設定をしていない方は、エックスサーバー側での設定は必須ですので、チェックしてみましょう。
■公式サイト → エックスサーバー
まとめ
レンタルサーバーで外国からのアクセスを制限することは、WordPressのセキュリティを向上させるために非常に重要です。
特に初心者は、ダッシュボードやXML-RPC API、REST APIなどの不要なアクセスを制限することで、不正ログインやDDoS攻撃のリスクを大幅に軽減できます。
本記事で紹介した設定を参考に、安心してWordPressサイトを運営してください。
【関連記事】