.htaccessでログイン画面にアクセス制限をかけてみました

ロリポップのハックは、今のところ影響が出ていません。
WordPressばかりが狙われたので、こちらに。

このブログの置いてあるのはミニバードですが、ロリポップも(チカッパプランで)契約して使っています。もちろん、WordPress。

私のロリポップに入れているブログたちは無事にやりすごしたようです。良かった。あたったサーバーの運が良かっただけなのでしょうか。それとも、まだ何か表面にできていないものが時限爆弾のように仕掛けられていたら嫌だな。そのせいで、最近ロリポップに入れているブログは触っていないんですよねえ。なんか萎えました。

ここからが本題

ログインページに制限をかける

ところで、8月28日付けの「【重要】WordPressをご利用のお客様へ」にあったように、.htaccessにアクセス制限をかけてみました。今回は違ったようですが、ブルートフォースアタック対策になります。

一度目は推奨されているように自分のIPアドレスで制限をかけたのですが、毎日変わるんですよねえ。毎日わざわざ?というわけで、ホストネームで制限してみました。私の書いたコードは

<Files wp-login.php>
Order deny,allow
Deny from all
Allow from .jp
</Files>

です。
これでは全てのアタックを排除することはできないのですが、少しは減ります。(というよりも、なくなりました。)

解除してみる

これまでは「Limit Login Attemptsで不正ログインを防止してみよう」で書いていますが、このプラグインでログイン画面へのアクセスのログをとり(ブロックし)、WP-Banでお断りしていました(「WP-Banで嫌なお客さんをお断りしよう」)。でも、これではきりがなかったのです。

さて、今のところ一番育っているのがシングルサイトなので「WassUp Real Time Analytics」というプラグインでお客さんのいろんな動きを見てチェックしています。(どんな動きをしているのかが見られるので、より良いUIにする参考になりますよ。記事は「WassUp Real Time Analyticsで詳しくアクセス解析をしてみよう」)そこで、ログイン画面へのアクセスが多かったホストネームが.trでした。WP-Banではアクセスの記録は残るんです。

2、3日の間、.htaccessでログイン画面へのアクセス制限をかけていたのですが、アクセスの記録は残らなくなりました。
で、どうなっているのかと、このシングルサイトのアクセス制限を解除してみました。他のWordPressサイトに関してはログイン画面へのアクセス制限をキープしています。

結果

ここ24時間ほど解除しているのですが、あきらめたのかログイン画面へのアクセスの記録は出ていません。面倒なので当分このままにしてみようかと思います。Limit Login AttemptsとWP-Banはそのままキープしています。ひょうたんから駒でした。

だめ。絶対。

だめ。絶対にこのアクセス制限は外してはいけません!!!アクセス制限を外したらお尻ぺんぺんものです。
24時間を過ぎた頃から群がってくるようになりました。また、.jpをかけているのにLimit Login Attemptsで排除したよ、というお手紙が届きました。ログイン画面のアクセス制限とLimit Login AttemptsとWP-Banはキープしましょ。

これがきっかけで、ロリポップは更新せずに解約の方向へ。
ロリポップは解約しようと思う話

Related posts