エックスサーバーで設定できる国外IPアクセス制限設定
- ダッシュボード アクセス制限
- XML-RPC API アクセス制限
- REST API アクセス制限
- wlwmanifest.xml アクセス制限
どれも、初期設定では「ON(有効)」になっています。
WprdPressのサイト運営者・サイト利用者が日本国内からアクセスすることを想定し、国外からの利用者を求めていないのであれば、初期設定のままにしておきましょう。
それでは、どのようなときに各アクセス制限を変更するのか、
そして、設定を「OFF(無効)」にした場合にどのような対策を取ればよいのか確認していきます。
- ブルーフォースアタック
-
パスワード総当り
ex.) ブルートフォースアタックによる第三者のログインを防止する - DDoS攻撃
ダッシュボード アクセス制限
ダッシュボードに対する国外IPアドレスからの接続を制限
このアクセス制限が「ON(有効)」になっていると、海外からWordPressのダッシュボードにログインしようとしたときにログイン画面が表示されず、ログインすること自体ができなくなります。
これにより、海外からのブルートフォースアタックを防ぐことができます。
しかしながら、サイトの管理者・運用者が国外にいる場合は管理者・運用者も同様にログインする管理が与えられなくなってしまいます。
そこで「OFF(無効)」に切り替える必要があるのです。
ですが、その分、海外からのアタックが容易になるため、個別にIPアドレス制限やBasic認証を設定することが推奨されています。
- /wp-admin … ダッシュボード のフォルダ
- /wp-login.php … ダッシュボード ログイン時にアクセスするファイル
WordPress バージョン5.0以降では記事の投稿に「REST API」を使用するため、国外IPアドレスからWordPressを利用する場合、 「ダッシュボード アクセス制限」とともに「REST API アクセス制限」を「OFF(無効)」にする必要があります。
ダッシュボード アクセス制限 設定のまとめ
- 管理者・運営者が国外からログインする場合は「OFF(無効)」にする
- 「OFF(無効)」にする場合は、個別にIPアドレス制限やBasic認証を設定する
- REST API アクセス制限も「OFF(無効)」にする
XML-RPC API アクセス制限
スマートフォンアプリや外部システムから、リモートでアップロードを行う際に利用される「XML-RPC WordPress API」に対する国外IPアドレス及び一部の国内ホスティングサービス環境のアドレスからの接続を制限
あまり詳しくないのですが、スマホからWordPressのアプリを使って記事の投稿や画像のアップロードをする際に「XML-RPC WordPress API」を利用しているようです。
この「XML-RPC WordPress API」に国外からアクセスできるようにする場合は「OFF(無効)」にする必要があるようです。
ただし、「Jetpack by WordPress.com」のプラグインを使ってアクセスする場合は「ON(有効)」のままでもアクセスできるようです。
※かわセみはプラグイン「Jetpack by WordPress.com」を使ったことがないのでちょっと詳細がわからないのですが…
「XML-RPC WordPress API」を「OFF(無効)」にする場合は、「Disable XML-RPC Pingback」などの、「XML-RPC WordPress API」への不正アクセス対策を行うプラグインを個別にインストールすることが推奨されています。
アプリからWordPressの更新をしないのなら、「ON(有効)」にしておくほうが良さそうです。
- /xmlrpc.php … XML-RPC WordPress API (ファイル)
設定のまとめ
- 管理者・運営者が国外にいて、アプリを使って記事の作成・更新等をする場合は「OFF(無効)」にする
- アプリを使って記事の作成・更新等をする必要がない場合は、「ON(有効)」のままにしておく
- 「OFF(無効)」にしたら、「XML-RPC WordPress API」への不正アクセス対策を行うプラグインを個別にインストールする
REST API アクセス制限
「REST API」に対する国外IPアドレスからの接続を制限
「REST API」がどういうものか調べたのですが、ちょっと難しくてわからなかったです。
WordPress バージョン5.0以降から使われているAPIなのかな?
投稿や固定ページなどのサイトのコンテンツを JSON 形式で読み取ることができるようですが。。。
最初に挙げたダッシュボード アクセス制限に付随?しているようなので、ダッシュボード アクセス制限の設定に合わせておきましょう。
「REST API」を「OFF(無効)」にした場合の対策は特にないようです。
- /wp-json … REST APIアクセス時に含まれるURL
設定のまとめ
- ダッシュボード アクセス制限と同じ設定をする
wlwmanifest.xml アクセス制限
「wlwmanifest.xml」ファイルに対する国外IPアドレスからの接続を制限
「wlwmanifest.xml」ファイルには、「Windows Live Writer」を利用して記事を作成・投稿するための情報が記述されているようです。
「Windows Live Writer」とは、ブログ記事の作成をサポートするフリーソフトのようです。
WordPressに限らず、様々なブログの投稿&一括管理に対応しているブログ記事を楽にしてくれるソフトのようです。
こちらのブログで詳しく説明されているので、興味がある方は試してみてはいかがでしょうか?
かわセみは「Windows Live Writer」を存じ上げてなかったのですが、けっこう使われているんでしょうか??
いつか機会があったら試してみたいと思います。
wlwmanifest.xml アクセス制限は、「Windows Live Writer」からのアクセスに対して制限しているので、「Windows Live Writer」を使わないのであれば、「ON(有効)」のままにしておきます。
国外から「Windows Live Writer」を使う場合のみ「OFF(無効)」にする必要があります。
「REST API」を「OFF(無効)」にした場合の対策も特にないようです。
- /wlwmanifest.xml … Windows Live Writer利用時にアクセスするファイル
設定のまとめ
- 国外から「Windows Live Writer」を使う場合のみ「OFF(無効)」にする
