企業担当者様向けWordPressの相談室

HOME ご相談

WordPressの管理画面を社内のみからアクセスできるようにしたいのですが、可能でしょうか?

自社サイトをWordpressで構築し運用しています。
セキュリティ面に不安があることから、管理画面へのアクセスを社内からのアクセスに限定したいと考えています。
そのような設定は可能でしょうか?

最終更新日:2024.11.26

回答者:エンジニア

WordPressの管理画面を社内のみからアクセスできるようにするには、いくつかの方法があります。

方法1.Basic認証

Webサーバーの設定でBasic認証を有効にし、WordPressの管理画面にアクセスするためには、ユーザー名とパスワードの入力が求められます。

メリットは簡単に導入できることです。デメリットは、ユーザー名とパスワードが漏洩した場合はログインが可能になってしまいます。

また、Basic(初歩的、基礎的)認証というだけあり、これだけでは十分な対策とは言えないかもしれません。

方法2.IP制限をかける

Webサーバーの設定において、特定のIPアドレス範囲からのみWordPressの管理画面へのアクセスを許可する制限をかけることで、さらにセキュリティレベルを向上させることができます。

企業などで固定IPアドレスを持っている場合、その固定IPをホワイトリストとして設定することができます。

IPのホワイトリストは、特定のIPアドレスや範囲からのみアクセスを許可するリストのことであり、これにより不正なアクセスを防ぐことができます。

既にVPNを利用しており、テレワークでも職場と同じように固定IPを利用できる環境があれば、社内にいるときと同じ感覚で接続することができます。

IP制限をかけるには、.htaccessファイルを編集する方法と、プラグインで設定する方法があります。

.htaccessでIP制限をかける方法

前提として.htaccessでIP制限をかけるにはWordpressがインストールされているサーバのディレクトリにFTPなどで接続できる必要があります。

①.htaccessファイルを開く

WordPressの構成ファイル内のwp-adminディレクトリ直下のに.htaccessを作成します。

wp-adminディレクトリの直下に既に.htaccessファイルが存在する場合は、ファイルのバックアップをとった後、.htaccessファイルを編集します。

②IP制限の設定

.htaccessファイルに以下のコードを追加します。

このコードは、特定のIPアドレスからのアクセスのみを許可します。許可するIPアドレスの部分(123.456.789.101や123.456.789.102)には、実際のIPアドレスを記述します。

<RequireAny>
    Require all denied
    Require ip 123.456.789.101
    Require ip 123.456.789.102
</RequireAny>

③変更を保存

.htaccessファイルを保存します。

④動作の確認

変更を有効にするために、WordPressの管理画面にアクセスしてIP制限が適用されていることを確認します。

正常に動作していれば、許可されたIPアドレスからのアクセスであれば許可され、それ以外のIPアドレスからのアクセスは拒否されます。

拒否された場合、通常、403エラーが表示されます。

プラグインで設定する方法

また、WordPressのプラグインを使用してIP制限を行うこともできます。今回は「All In One WP Security」というプラグインでの設定方法をご紹介します。

All In One WP Securityは管理画面にアクセスできる固定IPを、管理画面からホワイトリストとして設定することが可能です。

インストールと設定方法

前準備として、サイトの構成ファイルやデータベースのバックアップを行なってください。

WordPressのプラグイン検索画面から「All In One WP Security」と検索すると上位に表示されます(2024年3月現在)。こちらをインストールし、有効化します。

※最終更新日時が古すぎないことや、使用中のWPバージョンと互換性があることをご確認ください。

インストール・有効化すると、管理画面の左サイドバーに「WP Security」が表示されますので、その中から「Brute Force」を選択します。

タブの中から、「Login whitelist」を選択し、移動します。

設定エリアの「Enable IP whitelisting」(日本語訳:IPホワイトリストを有効化する)をオンし、「Enter whitelisted IP addresses」(日本語訳:IPホワイトリストにするアドレスを入力)にホワイトリストとして指定したいIPアドレスを入力します。

※「Your current IP address」に有効化したいIPアドレスが自動入力されている場合があり、その場合はコピーペーストして使うことができますが、これからホワイトリスト化したい固定IPと相違ないことを必ず確認した上で設定しましょう。

情報を確認し問題がなければ、「Save settings」ボタンを押して設定を完了します。

最後に管理画面にアクセスできるかテストしてみましょう。

正常に動作していれば、許可されたIPアドレスからのアクセスであれば許可され、それ以外のIPアドレスからのアクセスは拒否されます。

正しく設定されていれば、他のネットワークからの接続時は403エラーが表示されるはずです。

IP制限を正しく設定することで、不正なアクセスをより効果的に防ぐため、Basic認証のみの施策よりも高い確率で社外からのアクセスを遮断できます

こちらの記事も御覧ください。
WordPressってセキュリティは大丈夫?脆弱性と対策の「基本」をまとめました
WordPressのアクセスログに不正アクセスが多い

最後に:複数のセキュリティ対策を組み合わせましょう

サイト管理者がWordpressの管理画面にIP制限とBasic認証をかけておくことで、社外から不正にログインされるリスクを低減できます。

さらに、一般的なWordpressの管理画面へのセキュリティ対策を組み合わせることで、不正ログインのリスクを大幅に軽減できます。

例えば、このようなセキュリティ対策があります。

  • ユーザー名とパスワードの強化
  • ログインURLの変更
  • WAF(Web Application Firewall)の導入
  • 二要素認証の導入

現在のセキュリティ対策を定期的に見直し、新たなセキュリティリスクに対する対策を追加することで不正アクセスからのリスクを最小限に抑えることが大切です。

可能な範囲で、複数の対策を取り入れることをおすすめします。

こちらの記事も御覧ください。
WordPressの「保守サービス」について、もっと詳しく知りたい。
WordPressのセキュリティを強化する方法を教えてください。
こちらの記事を閲覧した方は
以下も閲覧しています
開発会社とは別の会社がWordPressサイトを「改修」するのは難しいのですか?

★弊社が取材されました!

(マイナビ/Web Designing 2023年4月号掲載)

無料
企業担当者様 必読!
WordPressサイト改修のための事前チェックシート

安全に効率よくWordPressサイトを「改修」するためのポイントをまとめました。

ダウンロードはこちらから
  • 事前チェックシート1
  • 事前チェックシート2
  • 事前チェックシート3
  • 事前チェックシート4
  • 事前チェックシート5

CONTENTS

企業の方の相談

企業の方の相談

企業関連のWordPressサイトのお悩みは、大別すると6つのジャンルに分けられます。

リニューアル

サーバのスペック不足やPHPのバージョンアップ等、WordPressのサイト移設(引っ越し/リニューアル)に関するよくあるお悩みをまとめました。

コンテンツ更新(操作)

「新たな更新機能を実装したいけど、どうしたらいいかわからない……」。プラグイン関連も含めてコンテンツ更新に関するお悩みをまとめました。

バージョンアップ

WordPress本体やプラグインのバージョンアップなど、WordPressの場合、「バージョンアップ」のお悩みは尽きません。こちらにまとめました。

SEO(集客)

ホームページ開始時にはあまり意識していなかった「SEO」。でも今になってその重要性に気づいてきた…。WordPressサイトと「SEO」についてまとめました。

セキュリティ

動的CMSであるWordPressの宿命ともいえる「セキュリテイ」問題(脆弱性)。ただし、問題のポイントを理解すれば回避する方法はいくらでもあります。

その他

どこのカテゴリーに収めたらよいか迷った「お悩み」をこちらにまとめました。

個人事業の方の相談

個人事業の方の相談

個人事業主様のWordPressサイトのお悩みは、大別すると4つのジャンルに分けられます。

SEO(集客)

「集客」に強いWordPressテーマです……とすすめられて導入したけど、その仕組や強化方法についてもっと詳しく知りたい。そんなお悩みをまとめました。

カスタマイズ・機能追加

サービス形態の変更にともなってカレンダータイプの「予約機能」を取り入れたくなったり…。カスタマイズや機能追加に関するお悩みをまとめました。

保守

月額払いとなることが多いWordPressの「保守契約」。コストを下げたいから契約はしていないという方も多いと思います。「保守」に関するお悩みをまとめました。

その他

どこのカテゴリーに収めたらよいか迷った「お悩み」をこちらにまとめました。

Page Top