WordPressでサイトを公開すると、いろいろなアタックが来ます。特にログイン画面には各国から自動のアタックプログラムがログインしようとして失敗するのが確認できます。
まず、これを確認するにはログインの情報を可視化する「Crazy Bone」というプラグインがあります。
このプラグインを入れると、様々な国からのログインの失敗の記録が確認できます。
IDやパスワードはくれぐれも安易なものにしないようにしないといけないのが再認識できます。
で、まず簡単にできるのはさくらインターネットのレンサバには管理画面から設定できますが、wp-login.phpつまり管理画面を自分は国内からしか更新しないので国内からしかアクセスできないようにしてみます。
国内のIPアドレスを取得
.htaccessで行うわけですが、こちらで国内IPアドレス管理のAPNICのリストから作成したhtaccessのひな形がダウンロードできます。
このページの一番下のhtaccessダウンロードというボタンからhtaccessのテキストファイルをダウンロードします。
order deny,allow
deny from allallow from 1.0.16.0/20
allow from 1.0.64.0/18
allow from 1.1.64.0/18
allow from 1.5.0.0/16
allow from 1.21.0.0/16
allow from 1.33.0.0/16
allow from 1.66.0.0/15
allow from 1.72.0.0/13
allow from 1.112.0.0/14
allow from 14.0.8.0/22・
・
・
そうすると、たくさんIPアドレスのリストが記載された内容が確認できます。
ただ、これではサイト全体にアクセス制限がかかってしまいます。
ですので、この内容を
<Files wp-login.php>
〜
</Files>
で囲みます。
<Files wp-login.php>
order deny,allow
deny from allallow from 1.0.16.0/20
allow from 1.0.64.0/18
allow from 1.1.64.0/18
allow from 1.5.0.0/16
allow from 1.21.0.0/16
allow from 1.33.0.0/16〜
allow from 223.252.112.0/20
</Files>
に変更して、名前を.htaccessに変更してサーバーにアップロードします。
これで、少なくとも海外からのアタックはID,パスに関係なくブロックできます。
ただ自分が海外旅行に行ってブログ更新しようと思ったらはずす事を忘れないように!管理画面アクセスできないからね。