ロリポップ WordPressログイン画面へのアクセス制限

今日、2、3日ぶりに管理画面を開いたら以下のメッセージ。あせった。

 無題

WordPressログイン画面へのアクセス制限が実施されています

ご利用のWordPressへ不正なログインを試みると思われるアクセスが確認されました。WordPressダッシュボードへの不正なログインを防ぐため『.htaccess』によるログイン画面(wp-login.php)へのアクセス制限が実施されています。

WordPressへ適切なログインを許可するため『.htaccess』の編集をお願いいたします。
WordPressの.htaccess編集マニュアル を準備しておりますのでご参照ください。
編集する『.htaccess』の設置場所はご契約の登録メールアドレス宛の通知をご確認ください。

『.htaccess』の編集後に再度アクセス制限が行われた方へ

最初に編集を行った時点のIPアドレスと、現在のIPアドレスが異なる可能性がございます。
そのため、上記マニュアルの手順4で、アクセスしている端末の現在の『接続元IPアドレス』をご確認の上『.htaccess』の編集をお願いいたします。

また複数の端末からダッシュボードにアクセスする場合は、それぞれの端末のIPアドレスを許可する必要がございます。
上記マニュアルの【複数の端末からアクセスする場合】をご確認の上『.htaccess』の編集をお願いいたします。

 

なんで、この制限が行われたかというと、
アクセス制限を実施することで、WordPressのダッシュボードへ不正にログインされサイトが改ざんされるのを防ぐことができます。
と、ロリポップには記載されています。

ということは、不正にログインを試みられた、ということなのでしょうか。。。。。

 

とりあえず、解除手順にのっとり作業をしたらすぐにアクセスできるようになったけど。。。

ちょっと怖いので、サポートセンターとやり取りしてみました。

 

複数ドメインで運営している場合

【質問】

1つのアカウントIDで複数のドメインを利用し、WordPressを運営しています。その場合、ほかのサイトの管理画面アクセスにも同じようなエラーがでているのでしょうか?

【回答】

ファイルが設置されてる階層以下のWordPressに対しても影響いたします。そのため、.htaccessが設置されている階層の配下に別のWordPressが設置されておりましたら、影響が及びます。

 

突然.htaccess制限が設定された?

【質問】

今回の解除手順に自分のIPアドレスを入力する項目があったが、今までロリポップ内でIPアドレスを入力するような手順はなかった気がします。では今までなぜ問題なくアクセスできていたのでしょうか。

【回答】

WordPressの管理画面に不正と思われるログイン試行が複数回行われた場合に、ロリポップ!で設置しその場合、ロリポップ!に登録されているメールアドレス宛にご案内をお送りしております。
恐らく弊社でアクセス制限を設置したタイミングから、管理画面にアクセスできなくなったのではないかと考えられます。

 

要は、今までは、.htaccessでのアクセス制限設定はなかったが、不正ログインの試行が複数回確認されたので、ロリポップ側が自動的に、.htaccess制限を設定した

 

アクセスを許可したいIPが複数の場合は?

【質問】

アクセスできるIPアドレスを.htaccessに登録することが今回の解除手順ですが、IPアドレスが複数の場合はどうすれば?

【回答】

Deny from all
Allow from IPADDRESS1
Allow from IPADDRESS2
Allow from IPADDRESS3
</Files>

アクセスを許可したいIPがわからない場合は?

【質問】

複数人で管理画面にアクセスしていて、.htaccessの編集を許可していない人&IPアドレスが変動する場合はどうしたらいいのでしょうか。

【回答】

.htaccessでIPアドレス制限はかけれないので、以下のような設定に

———–

deny.html
Order allow,deny
Allow from all
</Files>

# END Lolipop

———–

WordPressのログインパスワードを複雑なものに変更する
『WAF』を有効にする

ただし、.htaccessでのIPアドレス制限の解除はあまりお勧めできない

 

不正ログインのターゲットは自分を狙ったもの?

【質問】

ターゲットが自分のサイトオンリーだった場合、その対策を日々の面からも考えなければいけないと思っています。自分だけかどうかはわかりますか?

【回答】

今回のようなログイン試行は、自動生成した大量のパスワードで総当り的にログインを試す攻撃であると考えられ、無差別に行われるものでございます。

ロリポップ!なら月々100円(税抜)から
WordPressなどの簡単インストールやカート機能、アクセス解析、ウェブメーラーも標準装備!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です