WordPressで特定の場所（IP）からしかログインできないようにするセキュリティプラグイン「Login IP & Country Restriction」

Wordpressでサイト運営していて知らない人がログインした（ログインされそうになった）という経験ありませんか？まさかログインの履歴なんて知らないし・・なんて人はいませんよね？？いたりします？？最低限ログイン履歴が分かる

Wordpressでログインやログイン失敗の履歴を一覧で確認できるプラグイン「Crazy Bone」

Wordpressでセキュリティ対策をするための第一歩はいつ、どこの国のどこのIPアドレスからログインしようとしたか、ログインしたかを知ることです。「Crazy Bone」は、ログインやログイン失敗の履歴を一覧で見ることができるプラグインです。

www.momosiri.info

サイト内のページへ移動します

2014-07-06 21:28

位はインストールして確認しておきましょうね。

いきなり余談で失礼しました。Wordpressは汎用のサイト作成ツールですからURLとWordpressで作成しているサイトであることさえ分かれば構造は一緒なので簡単にログイン画面を表示できますし、ある方法（文末あるリンク先ページで紹介）で知らない間にユーザーIDがバレバレとなってしまうのですからパスワードさえ類推されたらハイ！不正ログイン完了！！となってしまうのがセキュリティ上一番不安な点でもあります。

今回紹介する【Login IP & Country Restriction】は

ログイン画面へアクセス可能なIPアドレスを限定する
ログイン画面へアクセス可能な国を制限する

ことで不正ログインを防止するプラグイン。特定の場所からしか管理画面上の操作を行わないようなサイトや、特定の場所からしか作業させたくない企業サイトなどで重宝しそうなセキュリティプラグインです。

この記事の内容について

このプラグイン紹介記事は簡易的に動作テストをした上で紹介していますが以下の点にご注意願います

すべての環境で動作するとは限りません

できる限り最新のバージョンの情報を紹介するようにしておりますが、閲覧される時期によってはバージョンが変わり、仕様が大きく変更されている場合があります

有料版と無料版がある場合、テストは原則無料版のみで実施しています

テスト環境については文末に記載しています

使用方法で紹介しているショートコードをコピーして使用すると、環境によっては記号などが文字化けすることがあります。コピーしたのに動作しない場合は特に「”」「’」などの記号を入力し直してみてください。

【Login IP & Country Restriction】プラグインの設定画面や表示の日本語化と翻訳

【Login IP & Country Restriction】プラグインは日本語化が可能な言語ファイルが同梱されていますので、翻訳を行えば日本語での使用が可能ですが、設定項目が少ないので特に必要ないと思います

【Login IP & Country Restriction】プラグインのインストールと設定

インストールと設定方法

インストールはプラグインの新規追加でプラグイン名で検索してインストールするか、ページ先頭の画像をクリックして表示されるWordpressのプラグイン公式配布ページがダウンロードしてからアップロードインストールします。

インストール方法の詳しい解説は

【Wordpress】プラグインのインストール＆追加方法とエラー対処の方法

Wordpressと言えばさまざまな追加機能を使って思い通りの表現や動作ができるのがブログやHTMLで作ったサイトと違って楽しいところですね。ここでは基本的なプラグインの導入の仕方とトラブルが発生した場合の対処方法について解説します。

www.momosiri.info

サイト内のページへ移動します

2016-04-04 15:02

を参照ください

【Login IP & Country Restriction】プラグインの基本的な使い方

インストールして有効化したら、「設定」→「Login IP & Country Restriction settings」から設定を行います

このような画面が表示されますので、上の欄にログイン画面へアクセス可能なIPアドレス、下の欄で国を選択します。

※IPアドレスに「*(アスタリスク)」を入れることですべてのIPからのログイン画面アクセスが可能になります

※国は何も指定しなければ制限はかかりません

WordPress標準のログインURLへアクセスされた際に割り込み処理で制限をかけるプラグインのようですから、ログインURLを変更するようなプラグインとの併用では不具合が起こる可能性があります（未テストです）。

設定に失敗してログインできなくなったときは

こういう種類のプラグインはもしも・・・のときの対応をきちんと確認しておかないといけませんからテストしてみました。

試しにエラーが出るようにわざと自身のIPアドレスを許可しないようにしてアクセスしたら、きちんと素っ気ない？エラー画面が出ました。この画面はプラグインのソースを編集してカスタマイズできるかもしれませんが、不正ログインするような人にわざわざいろいろなヒントを与える必要もないわけですからそのままでいいと思います。

今回はテスト環境でわざとエラーを出しましたが、実サイトでこんなことが起こったら大変ですよね？そんなときはFTPを使ってプラグインフォルダを削除すれば無効になります（あくまでテストサイトでの結果ですから保証できるものではありません）。

再び使いたい時はプラグインを検索して再インストールします。これもテスト環境に限った話ですが、再インストールすると設定は元に戻り、どこからでもログイン画面がアクセス可能な状態になるようです。

プラグインのテスト環境＆個人的評価

最後に【Login IP & Country Restriction】を動作確認した際の環境と個人的な評価を書いておきます。導入の検討や参考になれば幸いです。

テストした環境

WordPressのバージョン：4.9.0
PHPのバージョン：7.0
テーマ：Simplicity バージョン2.3.0g
プラグインのバージョン：3.2

このプラグインの最新バージョンは3.3です。バージョンが異なる場合には設定の仕方や動作仕様が変更になっている可能性があります。

個人的な評価・感想ほか

設定のしやすさ：★★★★★
使いやすさ：★★★★★
おすすめ度：★★★★★

個人で、しかも特定の場所からのみログインするような環境の場合にはこれがログインセキュリティに関する究極の方法なのかも知れません。

また個人でなくても企業などで拠点や店舗のIPアドレスを限定しておけば、退職した人が不正アクセスをする、スタッフが自宅から自由にアクセスするといった問題が即座に解決できます。

不正ログインを試行された経験からすると、日本語で運営しているサイトの場合はほとんどが日本からの不正アクセスなので、国で制限してもあまり効果的ではないかもしれません。ちなみにその他不正ログインに関するセキュリティ対策については

【Wordpress】絶対に不正ログインさせたくない！でも簡単に設定したい！という人が必ず行いたいセキュリティ対策

インストールも簡単でレンタルブログよりも機能的なサイトが作れて、しかもカスタマイズできる「テーマ」や「プラグイン」も充実している、まさにいうことなしなサイト作成ツールであるWordpress。簡単故に潜む危険をご存じですか？未対策のまま使い続けているとしたら「このサイトを乗っ取ってください」と言っているようなものかもしれません。サイトが勝手に改変されたり乗っ取られたりする前に、簡単かつ最低限やっておきたいセキュリティ対策についていくつか紹介したいと思います。

www.momosiri.info

サイト内のページへ移動します

2016-11-25 02:43

Wordpressで自動作成される「ユーザーの投稿一覧」からユーザー名が丸裸に！？　～不正ログイン試行の実態と対策プラグイン紹介～

１１月１日～２日の間に結構な数のログイン失敗の履歴がありました。これらは当然IPアドレスを調べてアクセス拒否していくとして、問題なのは不正ログインしようとしたときに入力されたユーザー名。Wordpressをそのまま使っている方、ログインの履歴なんか知らないという方、表示画面から簡単にユーザーの記事アーカイブページへ移動できてしまう方、知らない間にサイトを乗っ取られて・・・なんてことのないように気を付けましょうね。

www.momosiri.info

サイト内のページへ移動します