wp-adminの海外からのアクセスを制限する

先日、知り合いからこんな相談がありました。
「海外から何者かが、自分のサイト（Wordpress）にログインしようとしている形跡があって、なんとかしてほしい」

見ると確かに海外のIPでログインしようとした形跡がありました。
（SiteGuard WP Pluginなどのプラグインを使うことで、ログイン履歴などを見ることが出来ます）

特定の固定IPを持っている人は、そこのIPアドレス以外のアクセスを制限してしまうのが早いですが、そうじゃない場合は結構IPアドレスが変わってしまいます。
海外から管理画面に入ることなどそうそう無い場合は、日本国内からのIPアドレスのみ許可してしまうのがいいでしょう。

.htaccessを使って制限する

アクセス制限の方法として「.htaccess」を作成します。
.htaccessを作成することでサーバにいろいろな設定を変更することが出来ます。

下記のURLから日本国外からのアクセスを制限するhtaccessファイルをダウンロード出来ます。

日本国外からのアクセスを制限する.htaccess
http://www.cgis.biz/tools/access/

サーバに.htaccessをを設置する

ダウンロードしたら、htaccessファイルをサーバに設置します。
FileZillaなどのFTPツールを使ってサーバにアクセスして「wp-admin」というフォルダの中にさきほどダウンロードしたhtaccessファイルを設置してください。

設置が完了したら、ファイル名のリネームを行います。
.htaccessファイルは不可視ファイルと呼ばれ、通常MAC OSなどは表示されない設定になっています。なので先ほどダウンロードしたファイルを見ると「htaccess」となっており、先頭に「.」がついていません。MAC OSやWindows上で「htaccess」を「.htaccess」とリネームするとファイルが消えてしまい少々やっかいなので、サーバ内以外で無闇にリネームはしないようにして下さい。

サーバにhtaccessファイルをアップしたら「.htaccess」にリネームします。

これで設置完了です。
ZenMateなどを使って制限されていることを確認してみてください。

エックスサーバの場合

ちなみにエックスサーバは海外から管理画面に入ろうとすると、こんな感じでアクセス拒否されます。

レンタルサーバのWordpress乗っ取り事件もあるのでその対策ではないでしょうか。