セキュリティ面に不安があることから、管理画面へのアクセスを社内からのアクセスに限定したいと考えています。
そのような設定は可能でしょうか?
最終更新日:2024.04.01
WordPressの管理画面を社内のみからアクセスできるようにするには、いくつかの方法があります。
方法1.Basic認証
Webサーバーの設定でBasic認証を有効にし、WordPressの管理画面にアクセスするためには、ユーザー名とパスワードの入力が求められます。
メリットは簡単に導入できることです。デメリットは、ユーザー名とパスワードが漏洩した場合はログインが可能になってしまいます。
また、Basic(初歩的、基礎的)認証というだけあり、これだけでは十分な対策とは言えないかもしれません。
方法2.IP制限をかける
Webサーバーの設定において、特定のIPアドレス範囲からのみWordPressの管理画面へのアクセスを許可する制限をかけることで、さらにセキュリティレベルを向上させることができます。
企業などで固定IPアドレスを持っている場合、その固定IPをホワイトリストとして設定することができます。
IPのホワイトリストは、特定のIPアドレスや範囲からのみアクセスを許可するリストのことであり、これにより不正なアクセスを防ぐことができます。
既にVPNを利用しており、テレワークでも職場と同じように固定IPを利用できる環境があれば、社内にいるときと同じ感覚で接続することができます。
IP制限をかけるには、.htaccessファイルを編集する方法と、プラグインで設定する方法があります。
.htaccessでIP制限をかける方法
前提として.htaccessでIP制限をかけるにはWordpressがインストールされているサーバのディレクトリにFTPなどで接続できる必要があります。
①.htaccessファイルを開く
WordPressの構成ファイル内のwp-adminディレクトリ直下のに.htaccessを作成します。
wp-adminディレクトリの直下に既に.htaccessファイルが存在する場合は、ファイルのバックアップをとった後、.htaccessファイルを編集します。
②IP制限の設定
.htaccessファイルに以下のコードを追加します。
このコードは、特定のIPアドレスからのアクセスのみを許可します。許可するIPアドレスの部分(123.456.789.101や123.456.789.102)には、実際のIPアドレスを記述します。
<RequireAny>
Require all denied
Require ip 123.456.789.101
Require ip 123.456.789.102
</RequireAny>③変更を保存
.htaccessファイルを保存します。
④動作の確認
変更を有効にするために、WordPressの管理画面にアクセスしてIP制限が適用されていることを確認します。
正常に動作していれば、許可されたIPアドレスからのアクセスであれば許可され、それ以外のIPアドレスからのアクセスは拒否されます。
拒否された場合、通常、403エラーが表示されます。
プラグインで設定する方法
また、WordPressのプラグインを使用してIP制限を行うこともできます。今回は「All In One WP Security」というプラグインでの設定方法をご紹介します。
All In One WP Securityは管理画面にアクセスできる固定IPを、管理画面からホワイトリストとして設定することが可能です。
インストールと設定方法
前準備として、サイトの構成ファイルやデータベースのバックアップを行なってください。
WordPressのプラグイン検索画面から「All In One WP Security」と検索すると上位に表示されます(2024年3月現在)。こちらをインストールし、有効化します。
※最終更新日時が古すぎないことや、使用中のWPバージョンと互換性があることをご確認ください。
インストール・有効化すると、管理画面の左サイドバーに「WP Security」が表示されますので、その中から「Brute Force」を選択します。
タブの中から、「Login whitelist」を選択し、移動します。
設定エリアの「Enable IP whitelisting」(日本語訳:IPホワイトリストを有効化する)をオンし、「Enter whitelisted IP addresses」(日本語訳:IPホワイトリストにするアドレスを入力)にホワイトリストとして指定したいIPアドレスを入力します。
※「Your current IP address」に有効化したいIPアドレスが自動入力されている場合があり、その場合はコピーペーストして使うことができますが、これからホワイトリスト化したい固定IPと相違ないことを必ず確認した上で設定しましょう。
情報を確認し問題がなければ、「Save settings」ボタンを押して設定を完了します。
最後に管理画面にアクセスできるかテストしてみましょう。
正常に動作していれば、許可されたIPアドレスからのアクセスであれば許可され、それ以外のIPアドレスからのアクセスは拒否されます。
正しく設定されていれば、他のネットワークからの接続時は403エラーが表示されるはずです。
IP制限を正しく設定することで、不正なアクセスをより効果的に防ぐため、Basic認証のみの施策よりも高い確率で社外からのアクセスを遮断できます。
最後に:複数のセキュリティ対策を組み合わせましょう
サイト管理者がWordpressの管理画面にIP制限とBasic認証をかけておくことで、社外から不正にログインされるリスクを低減できます。
さらに、一般的なWordpressの管理画面へのセキュリティ対策を組み合わせることで、不正ログインのリスクを大幅に軽減できます。
例えば、このようなセキュリティ対策があります。
- ユーザー名とパスワードの強化
- ログインURLの変更
- WAF(Web Application Firewall)の導入
- 二要素認証の導入
現在のセキュリティ対策を定期的に見直し、新たなセキュリティリスクに対する対策を追加することで不正アクセスからのリスクを最小限に抑えることが大切です。
可能な範囲で、複数の対策を取り入れることをおすすめします。
以下も閲覧しています
