WordPressでサイト運営していて知らない人がログインした(ログインされそうになった)という経験ありませんか?まさかログインの履歴なんて知らないし・・なんて人はいませんよね??いたりします??最低限ログイン履歴が分かる
位はインストールして確認しておきましょうね。
いきなり余談で失礼しました。WordPressは汎用のサイト作成ツールですからURLとWordPressで作成しているサイトであることさえ分かれば構造は一緒なので簡単にログイン画面を表示できますし、ある方法(文末あるリンク先ページで紹介)で知らない間にユーザーIDがバレバレとなってしまうのですからパスワードさえ類推されたらハイ!不正ログイン完了!!となってしまうのがセキュリティ上一番不安な点でもあります。
今回紹介する【Login IP & Country Restriction】は
- ログイン画面へアクセス可能なIPアドレスを限定する
- ログイン画面へアクセス可能な国を制限する
ことで不正ログインを防止するプラグイン。特定の場所からしか管理画面上の操作を行わないようなサイトや、特定の場所からしか作業させたくない企業サイトなどで重宝しそうなセキュリティプラグインです。
本記事を参考にWordPressサイトへプラグインの導入を検討される方へ
WordPressは古くから無料で配布されているサイト作成ツール(CMS)で、随時改良が加えられており、さまざまなバージョンが存在します。
さらにWordPressを動かすためのプログラムであるPHP、サイトのデータを保存しておくためのデータベースについても様々なバージョンがあります。
そしてWordPress本体同様にプラグインについてもさまざまなバージョンが存在します。
本記事を参考にプラグインの導入をお考えの方は、以下に留意の上でインストールするようにしてください。
- テスト環境での動作に基づいた紹介記事ですので、すべての環境で正常に動作するかどうかは不明です
※本記事の内容についてはページ内に記載しているプラグインバージョンのものになります。現在のバージョンと異なる場合、機能や日本語対応の状況などが異なる場合があります。
※また、テスト環境、テストしたプラグインバージョン等の表示が本文内にない場合、ページタイトル下にある最終更新日当時の情報となりますので、現在のバージョンでは全く違う機能となっているかも知れません。 - プラグインに無料版と有料版(Pro版)がある場合、特に記載がなければ無料版の情報のみを紹介しています
- このページでプラグインを使用する際に必要なショートコードやコードなどは、コピーして使用することができますが、環境によっては記号などが文字化けすることがあります。コピーしたのに動作しない場合は特に「”」「’」などの記号を入力し直してみてください。
- プラグイン本体の動作不具合や質問などは公式サイトのフォーラムなどで行ってください(ここでは質問にお答えすることはできません)
【Login IP & Country Restriction】プラグインの設定画面や表示の日本語化と翻訳
【Login IP & Country Restriction】プラグインは日本語化が可能な言語ファイルが同梱されていますので、翻訳を行えば日本語での使用が可能ですが、設定項目が少ないので特に必要ないと思います
【Login IP & Country Restriction】プラグインのインストールと設定
インストール方法
インストールはプラグインの新規追加でプラグイン名を入力して検索してインストールするか、WordPressのプラグイン公式配布ページからダウンロード後、管理画面からアップロードインストールしてください(プラグインの公式ページは本ページ内記載のリンクをクリック、もしくは、WordPress公式サイトで検索してください)。
WordPressを使い始めて間もない方(初心者の方)は、より詳細なプラグインのインストール手順や、インストール時に起こる問題などへの対処方法をまとめた【WordPress】プラグインのインストール&追加方法とエラー対処の方法も併せてご覧ください。
【Login IP & Country Restriction】プラグインの基本的な使い方
インストールして有効化したら、「設定」→「Login IP & Country Restriction settings」から設定を行います
このような画面が表示されますので、上の欄にログイン画面へアクセス可能なIPアドレス、下の欄で国を選択します。
※IPアドレスに「*(アスタリスク)」を入れることですべてのIPからのログイン画面アクセスが可能になります
※国は何も指定しなければ制限はかかりません
WordPress標準のログインURLへアクセスされた際に割り込み処理で制限をかけるプラグインのようですから、ログインURLを変更するようなプラグインとの併用では不具合が起こる可能性があります(未テストです)。
設定に失敗してログインできなくなったときは
こういう種類のプラグインはもしも・・・のときの対応をきちんと確認しておかないといけませんからテストしてみました。
試しにエラーが出るようにわざと自身のIPアドレスを許可しないようにしてアクセスしたら、きちんと素っ気ない?エラー画面が出ました。この画面はプラグインのソースを編集してカスタマイズできるかもしれませんが、不正ログインするような人にわざわざいろいろなヒントを与える必要もないわけですからそのままでいいと思います。
今回はテスト環境でわざとエラーを出しましたが、実サイトでこんなことが起こったら大変ですよね?そんなときはFTPを使ってプラグインフォルダを削除すれば無効になります(あくまでテストサイトでの結果ですから保証できるものではありません)。
再び使いたい時はプラグインを検索して再インストールします。これもテスト環境に限った話ですが、再インストールすると設定は元に戻り、どこからでもログイン画面がアクセス可能な状態になるようです。
プラグインのテスト環境&個人的評価
最後に【Login IP & Country Restriction】を動作確認した際の環境と個人的な評価を書いておきます。導入の検討や参考になれば幸いです。
テストした環境
- テストサーバー:カラフルボックス
- WordPressのバージョン:4.9.0
- PHPのバージョン:7.0
- テーマ:Simplicity2 バージョン2.3.0g
- プラグインのバージョン:本記事で紹介しているバージョン 3.2/最新バージョン 6.7.0
- 公式サイト(wordpress.org上):https://wordpress.org/plugins/login-ip-country-restriction/
- 公式サイト(作者サイト):
個人的な評価・感想ほか
- 設定のしやすさ:★★★★★
- 使いやすさ:★★★★★
- おすすめ度:★★★★★
個人で、しかも特定の場所からのみログインするような環境の場合にはこれがログインセキュリティに関する究極の方法なのかも知れません。
また個人でなくても企業などで拠点や店舗のIPアドレスを限定しておけば、退職した人が不正アクセスをする、スタッフが自宅から自由にアクセスするといった問題が即座に解決できます。
不正ログインを試行された経験からすると、日本語で運営しているサイトの場合はほとんどが日本からの不正アクセスなので、国で制限してもあまり効果的ではないかもしれません。ちなみにその他不正ログインに関するセキュリティ対策については
でいろいろ紹介していますので参照ください
ポチップ
ポチップ
