2013年5月26日

Wordpressの管理画面にIPアドレスで制限をかける

wp130526.png
Wordpressが全世界的に標的になっているということで、WordpressにCrazy Boneを入れておきました(↑が結果)

Crazy Boneはユーザーネーム、時間、ログイン名、IPアドレス、ユーザーエージェントを記録してくれるプラグイン
表示方法は左メニュー「ユーザー⇒ログイン履歴」

http://wordpress.org/plugins/crazy-bone/

Tracks user name, time of login, IP address and browser user agent.

あまりにひどいので、IPアドレスによる制限をかけました
手順は下記

/wp-admin/ ディレクトリ

/wp-admin/ディレクトリの中に下記を作って転送します
許可されたIP(192.168.1.1,192.168.1.2)からだけ表示できるようになります
自分のIPアドレスに変えてください

.htaccess

order deny,allow
deny from all
allow from 192.168.1.1
allow from 192.168.2.1

FTPで転送する時はTXTモードで!

wp-login.php

wp-login.phpとwp-config.phpは同じ場所にあるので、ついでにwp-config.phpも覗けないようにしておきます

wp-login.phpと同じ位置にある.htaccessに追記してください
FTPで転送する時はTXTモードで!!

.htaccess

<Files "wp-login.php">
order deny,allow
deny from all
allow from 192.168.1.1
allow from 192.168.2.1
</Files>
<Files "wp-config.php">
order allow,deny
deny from all
</Files>

FTPで転送する時はTXTモードで!!!(大事なことなので3回)

こちらの「モバイルアクセス制限」を使って携帯キャリアからのアクセス許可もかけれます
http://www.htaccesseditor.com/


httpd.confに直接書く場合

自分用メモ。VPSとかならこっちのほうが楽ですね

<VirtualHost 192.168.1.1:80>
    ServerName exsample.com
    ServerAlias www.exsample.com
    DocumentRoot /home/www/exsample.com
    ErrorLog logs/exsample.com_error_log
    CustomLog logs/exsample.com_access_log combined
    <Directory /home/www/exsample.com/>
        Options FollowSymLinks +ExecCGI
        AllowOverride All
        Order allow,deny
        Allow from all
    </Directory>
    <Directory /home/www/exsample.com/wp-admin/>
        order deny,allow
        deny from all
        allow from 10.0.0.1
        allow from 192.168.255.1
    </Directory>
    <Files "wp-login.php">
        order deny,allow
        deny from all
        allow from 10.0.0.1
        allow from 192.168.255.1
    </Files>
    <Files "wp-config.php">
         order allow,deny
         deny from all
    </Files>
</VirtualHost>


その他 wordpress プラグイン

・Login LockDown 同一IPアドレスからログイン失敗するとログインをブロックする
http://wordpress.org/plugins/login-lockdown/

・Limit Login Attempts ログイン試行回数、ロックする時間、ロックリセット時間 ログを取ること、管理者にメール送る等が可能
http://wordpress.org/plugins/limit-login-attempts/

・Simple Login Lockdown ログイン試行回数とロックする時間の選択ができるシンプル
http://wordpress.org/plugins/simple-login-lockdown/

※あまりプラグインを入れると重くなるので、IPアドレスで制御するほうがスマートだと思います


自分のIPどうやってだすの?

what is my ip address でぐぐってください whatismyipaddress.com が出てきますw

※携帯ネットワークからなら、家にVPNを張って書けば自宅のIP許可だけで済みます

スポンサーリンク



  • follow us in feedly