ロリポップ　WordPressログイン画面へのアクセス制限

今日、２、３日ぶりに管理画面を開いたら以下のメッセージ。あせった。

なんで、この制限が行われたかというと、
アクセス制限を実施することで、WordPressのダッシュボードへ不正にログインされサイトが改ざんされるのを防ぐことができます。
と、ロリポップには記載されています。

ということは、不正にログインを試みられた、ということなのでしょうか。。。。。

とりあえず、解除手順にのっとり作業をしたらすぐにアクセスできるようになったけど。。。

ちょっと怖いので、サポートセンターとやり取りしてみました。

複数ドメインで運営している場合

【質問】

１つのアカウントIDで複数のドメインを利用し、WordPressを運営しています。その場合、ほかのサイトの管理画面アクセスにも同じようなエラーがでているのでしょうか？

【回答】

ファイルが設置されてる階層以下のWordPressに対しても影響いたします。そのため、.htaccessが設置されている階層の配下に別のWordPressが設置されておりましたら、影響が及びます。

突然.htaccess制限が設定された？

【質問】

今回の解除手順に自分のIPアドレスを入力する項目があったが、今までロリポップ内でIPアドレスを入力するような手順はなかった気がします。では今までなぜ問題なくアクセスできていたのでしょうか。

【回答】

WordPressの管理画面に不正と思われるログイン試行が複数回行われた場合に、ロリポップ！で設置しその場合、ロリポップ！に登録されているメールアドレス宛にご案内をお送りしております。
恐らく弊社でアクセス制限を設置したタイミングから、管理画面にアクセスできなくなったのではないかと考えられます。

要は、今までは、.htaccessでのアクセス制限設定はなかったが、不正ログインの試行が複数回確認されたので、ロリポップ側が自動的に、.htaccess制限を設定した

アクセスを許可したいIPが複数の場合は？

【質問】

アクセスできるIPアドレスを.htaccessに登録することが今回の解除手順ですが、IPアドレスが複数の場合はどうすれば？

【回答】

Deny from all
Allow from IPADDRESS１
Allow from IPADDRESS２
Allow from IPADDRESS３
</Files>

アクセスを許可したいIPがわからない場合は？

【質問】

複数人で管理画面にアクセスしていて、.htaccessの編集を許可していない人＆IPアドレスが変動する場合はどうしたらいいのでしょうか。

【回答】

.htaccessでIPアドレス制限はかけれないので、以下のような設定に

———–

deny.html
Order allow,deny
Allow from all
</Files>

# END Lolipop

———–

WordPressのログインパスワードを複雑なものに変更する
『WAF』を有効にする

ただし、.htaccessでのIPアドレス制限の解除はあまりお勧めできない

不正ログインのターゲットは自分を狙ったもの？

【質問】

ターゲットが自分のサイトオンリーだった場合、その対策を日々の面からも考えなければいけないと思っています。自分だけかどうかはわかりますか？

【回答】

今回のようなログイン試行は、自動生成した大量のパスワードで総当り的にログインを試す攻撃であると考えられ、無差別に行われるものでございます。

ロリポップ！なら月々１００円（税抜）から
WordPressなどの簡単インストールやカート機能、アクセス解析、ウェブメーラーも標準装備！