特定の場所(IP)からしかログインできないようにするセキュリティプラグイン「Login IP & Country Restriction」
公開日: セキュリティ
WordPressでサイト運営していて知らない人がログインした(ログインされそうになった)という経験ありませんか?まさかログインの履歴なんて知らないし・・なんて人はいませんよね??いたりします??最低限ログイン履歴が分かる
位はインストールして確認しておきましょうね。
いきなり余談で失礼しました。WordPressは汎用のサイト作成ツールですからURLとWordPressで作成しているサイトであることさえ分かれば構造は一緒なので簡単にログイン画面を表示できますし、ある方法(文末あるリンク先ページで紹介)で知らない間にユーザーIDがバレバレとなってしまうのですからパスワードさえ類推されたらハイ!不正ログイン完了!!となってしまうのがセキュリティ上一番不安な点でもあります。
今回紹介する【Login IP & Country Restriction】は
- ログイン画面へアクセス可能なIPアドレスを限定する
- ログイン画面へアクセス可能な国を制限する
ことで不正ログインを防止するプラグイン。特定の場所からしか管理画面上の操作を行わないようなサイトや、特定の場所からしか作業させたくない企業サイトなどで重宝しそうなセキュリティプラグインです。
この記事を参考にプラグインの導入をする際以下に留意ください
このプラグイン紹介記事は簡易的に動作テストをした上で紹介していますが以下の点にご注意願います
- すべての環境で動作するとは限りません
- できる限り最新のバージョンの情報を紹介するようにしておりますが、閲覧される時期によってはバージョンが変わり、仕様が大きく変更されている場合があります
- 有料版と無料版がある場合、テストは原則無料版のみで実施しています
- テスト環境については本文中に記載しています
- 使用方法で紹介しているショートコードやコードなどをコピーして使用すると、環境によっては記号などが文字化けすることがあります。コピーしたのに動作しない場合は特に「"」「'」などの記号を入力し直してみてください。
【Login IP & Country Restriction】プラグインの設定画面や表示の日本語化と翻訳
【Login IP & Country Restriction】プラグインは日本語化が可能な言語ファイルが同梱されていますので、翻訳を行えば日本語での使用が可能ですが、設定項目が少ないので特に必要ないと思います
【Login IP & Country Restriction】プラグインのインストールと設定
インストール方法
インストールはプラグインの新規追加でプラグイン名を入力して検索してインストールするか、ページ先頭の画像をクリックして表示されるWordPressのプラグイン公式配布ページがダウンロード後、管理画面からアップロードインストールしてください。
WordPressを使い始めて間もない方(初心者の方)は、より詳細なプラグインのインストール手順や、インストール時に起こる問題などへの対処方法をまとめた
も併せてご覧ください。
【Login IP & Country Restriction】プラグインの基本的な使い方
インストールして有効化したら、「設定」→「Login IP & Country Restriction settings」から設定を行います
このような画面が表示されますので、上の欄にログイン画面へアクセス可能なIPアドレス、下の欄で国を選択します。
※IPアドレスに「*(アスタリスク)」を入れることですべてのIPからのログイン画面アクセスが可能になります
※国は何も指定しなければ制限はかかりません
WordPress標準のログインURLへアクセスされた際に割り込み処理で制限をかけるプラグインのようですから、ログインURLを変更するようなプラグインとの併用では不具合が起こる可能性があります(未テストです)。
設定に失敗してログインできなくなったときは
こういう種類のプラグインはもしも・・・のときの対応をきちんと確認しておかないといけませんからテストしてみました。
試しにエラーが出るようにわざと自身のIPアドレスを許可しないようにしてアクセスしたら、きちんと素っ気ない?エラー画面が出ました。この画面はプラグインのソースを編集してカスタマイズできるかもしれませんが、不正ログインするような人にわざわざいろいろなヒントを与える必要もないわけですからそのままでいいと思います。
今回はテスト環境でわざとエラーを出しましたが、実サイトでこんなことが起こったら大変ですよね?そんなときはFTPを使ってプラグインフォルダを削除すれば無効になります(あくまでテストサイトでの結果ですから保証できるものではありません)。
再び使いたい時はプラグインを検索して再インストールします。これもテスト環境に限った話ですが、再インストールすると設定は元に戻り、どこからでもログイン画面がアクセス可能な状態になるようです。
プラグインのテスト環境&個人的評価
最後に【Login IP & Country Restriction】を動作確認した際の環境と個人的な評価を書いておきます。導入の検討や参考になれば幸いです。
テストした環境
- WordPressのバージョン:4.9.0
- PHPのバージョン:7.0
- テーマ:Simplicity2 バージョン2.3.0g
- プラグインのバージョン:3.2
このプラグインの最新バージョンは6.1です。バージョンが異なる場合には設定の仕方や動作仕様が変更になっている可能性があります。
個人的な評価・感想ほか
- 5段階評価
- 設定のしやすさ:★★★★★
- 使いやすさ:★★★★★
- おすすめ度:★★★★★
個人で、しかも特定の場所からのみログインするような環境の場合にはこれがログインセキュリティに関する究極の方法なのかも知れません。
また個人でなくても企業などで拠点や店舗のIPアドレスを限定しておけば、退職した人が不正アクセスをする、スタッフが自宅から自由にアクセスするといった問題が即座に解決できます。
不正ログインを試行された経験からすると、日本語で運営しているサイトの場合はほとんどが日本からの不正アクセスなので、国で制限してもあまり効果的ではないかもしれません。ちなみにその他不正ログインに関するセキュリティ対策については
でいろいろ紹介していますので参照ください
WordPressのカスタマイズ・不具合対応などご相談ください
Wordpressのカスタマイズ、不具合解消のご相談はすべてココナラ
のダイレクトメッセージからお受けしております。まずはこちらのバナーからお気軽にお問い合わせください。
【スポンサーリンク】