「アクセスログに見覚えのない海外のIPアドレスが大量に並んでいる」「ログイン試行の通知が海外からばかり来る」と悩んでいませんか?
WordPressは世界中で使われているCMSのため、日本語サイトであっても海外からの不正アクセスは日常的に発生します。放置するとサーバーに負荷がかかり、最悪の場合はサイトを乗っ取られるリスクもあります。
でも安心してください。海外IPからの不正アクセスを遮断する方法は大きく3つあり、それぞれ難易度と効果が異なります。自分のサイト環境に合った方法を選べば、今日中に対策を完了できます。
よこやま良平ITエンジニアとして20年以上WordPressに携わってきたよこやま良平です。多数のサイトのセキュリティ強化・復旧を手がけてきたわたしが、現場で使っている3つの遮断方法をわかりやすく解説します。
- 海外IPからの不正アクセスが発生する仕組み
- 方法①:.htaccessで特定IPをブロックする手順
- 方法②:セキュリティプラグインで自動遮断する設定
- 方法③:サーバー側の設定で国別アクセスを制限する方法
- 自分のサイトに最適な方法を選べるようになる
3つの方法はそれぞれ「手軽さ」「確実性」「細かさ」に違いがあります。この記事を読めば、自分のサイトにどの方法が合っているかを判断できるようになります。
まずは不正アクセスの仕組みと、なぜ海外IPが多いのかを理解するところから始めましょう。
こんなお悩みはありませんか?
- ある朝、サイトを開いたら真っ白画面になっていた
- 管理画面にログインできなくなって手が止まった
- 身に覚えのない記事やページが勝手に増えていた
- プラグインを更新したらサイト全体が崩れてしまった
- 以前バックアップを取ったか自分でも覚えていない
累計1,000件以上のWordPressトラブル対応の経験から、「壊れる前に備える」ためのチェックリストを1冊にまとめました。
ログイン・本体・バックアップ・サーバー・運用の5分野を、50項目で「危険度・確認方法・対処法」まで解説しています。
セキュリティプラグイン・WordPressの教科書も含めた3大特典を、
今なら無料で受け取れます。
海外IPからの不正アクセスがWordPressに多い理由
海外からの不正アクセスが多い根本的な理由は、WordPressが世界シェアNo.1のCMSであることです。攻撃者は自動化ツールを使って無差別にIPをスキャンし、WordPressサイトを見つけ次第アタックを仕掛けてきます。
攻撃者が海外から狙う主な理由
攻撃が海外からが多い背景には、主に2つの理由があります。
1つは、海外では日本の法律が及ばないため追跡が難しいこと。もう1つは、ボットネット(感染したPCの集合体)を使った攻撃は物理的な場所を問わず実行できるからです。
- ブルートフォース攻撃:wp-login.phpへの総当たりログイン試行。1サイトに1日数千〜数万回の試行が記録されることもある
- XMLRPC攻撃:xmlrpc.phpを悪用してスパムメール送信や遠隔操作を試みる。同時に何百もの認証試行が可能
- 脆弱性スキャン:プラグイン・テーマの既知の脆弱性を自動スキャンするボット。更新を怠ると即座に狙われる
- コンテンツスクレイピング:記事や商品情報を大量取得するクローラー。サーバー負荷の原因になる
日本語サイトは海外からの正当なアクセスがほぼない
日本語のみのサイトであれば、海外からの正規ユーザーのアクセスはほぼゼロと考えてよいです。
つまり「海外IPをブロックする=正規ユーザーを誤ってブロックするリスクがほぼない」ということになります。
日本語サイトにとって、海外IP遮断は非常に合理的な対策です。次のセクションから3つの具体的な方法を解説します。
方法①:.htaccessで海外IPをブロックする
.htaccessを使った遮断は、サーバーが直接リクエストを拒否する最も確実な方法です。プラグインの影響を受けず、WordPressが起動する前に処理されるため、サーバー負荷も最小限に抑えられます。
特定のIPアドレスを1件ずつブロックする
不正アクセスのIPが特定できている場合は、そのIPを直接拒否するのが最もシンプルな方法です。
サイト直下の .htaccess に以下を追記してください。
# 特定IPをブロック(1件ずつ指定する場合)
<RequireAll>
Require all granted
Require not ip 123.45.67.89
Require not ip 98.76.54.0/24
</RequireAll>IPアドレスは1行に1つ記述します。サブネット(/24など)を使えばIPの範囲ごとブロックすることも可能です。
不正アクセスのIPはWordfenceやサーバーのアクセスログから確認できます。
wp-login.phpを日本IPのみ許可する
個別IPの指定よりもっと強力なのが、管理画面(wp-login.php)へのアクセスを日本のIPアドレスだけに絞る方法です。これにより、日本国外からのログイン試行をサーバーレベルで完全にシャットアウトできます。
# wp-login.php を日本IPのみ許可
<Files "wp-login.php">
Order deny,allow
Deny from all
Allow from 1.0.0.0/8
Allow from 14.0.0.0/8
Allow from 27.0.0.0/8
Allow from 36.0.0.0/8
Allow from 49.0.0.0/8
Allow from 60.0.0.0/8
Allow from 61.0.0.0/8
Allow from 103.0.0.0/8
Allow from 106.0.0.0/8
Allow from 110.0.0.0/8
Allow from 111.0.0.0/8
Allow from 112.0.0.0/8
Allow from 113.0.0.0/8
Allow from 114.0.0.0/8
Allow from 115.0.0.0/8
Allow from 116.0.0.0/8
Allow from 117.0.0.0/8
Allow from 118.0.0.0/8
Allow from 119.0.0.0/8
Allow from 120.0.0.0/8
Allow from 122.0.0.0/8
Allow from 123.0.0.0/8
Allow from 124.0.0.0/8
Allow from 125.0.0.0/8
Allow from 126.0.0.0/8
Allow from 153.0.0.0/8
Allow from 163.0.0.0/8
Allow from 175.0.0.0/8
Allow from 180.0.0.0/8
Allow from 182.0.0.0/8
Allow from 183.0.0.0/8
Allow from 202.0.0.0/8
Allow from 203.0.0.0/8
Allow from 210.0.0.0/8
Allow from 211.0.0.0/8
Allow from 219.0.0.0/8
Allow from 220.0.0.0/8
Allow from 221.0.0.0/8
Allow from 222.0.0.0/8
Allow from 223.0.0.0/8
</Files>方法②:セキュリティプラグインで海外IPを自動遮断する
.htaccessの編集が不安な方や、リアルタイムで自動的にブロックしたい方にはセキュリティプラグインが最適です。不正なIPを自動検知してリストに追加してくれるため、管理の手間がほとんどかかりません。
クイックレスキュー365の不正ログインブロック機能
わたしが開発した無料プラグイン「クイックレスキュー365」は、海外からの不正ログイン対策に必要な機能を1つのプラグインにまとめています。インストール後すぐに有効化でき、設定も非常に簡単です。
- 不正ログインブロック:一定回数ログインに失敗したIPを自動ロック
- ログインURL変更:wp-login.phpの場所を変えて攻撃対象から外す
- XMLRPC遮断:xmlrpc.php経由の攻撃を完全シャットアウト
- ユーザー名漏えい防御:URLからユーザー名を特定させない
- IPアドレス拒否:怪しいIPを個別に永続ブロック
Wordfenceで不正IPをリアルタイムブロック
Wordfence Securityは、不正アクセスをリアルタイムで検知・ブロックできる世界的に有名なセキュリティプラグインです。無料版でも十分な機能があり、IPブロックや国別制限にも対応しています。
- 管理画面 → Wordfence → Firewall を開く
- 「Blocking」タブをクリックする
- 「IP Address to Block」にブロックしたいIPを入力する
- 「Block this IP Address」をクリックして完了
Wordfenceには「Live Traffic」という機能もあり、リアルタイムでアクセスしているIPを確認しながら即座にブロックすることができます。不正アクセスのIPを見つけたらワンクリックでブロックリストに追加できるため、運用が非常に楽になります。
QuickRescue365プラグインで不正IPをWordpress到達前にブロック
IPアドレス拒否へ入力して保存するだけで、Wordpress到達前にブロックします。
- 管理画面 → QuickRescue365 → 設定 を開く
- 「htaccessハードニング」内のIPアドレス拒否を確認
- 「IPアドレス拒否」にブロックしたいIPを入力する
- 「変更を保存」をクリックして完了
方法③:サーバー設定で国別アクセスを制限する
レンタルサーバーのコントロールパネルを使えば、国単位でアクセスを制限できます。この方法はWordPress側の設定が不要で、サーバーレベルで処理されるため最も負荷が少なく確実です。
エックスサーバーのWordPressセキュリティ設定
エックスサーバーには管理画面から設定できる「WordPressセキュリティ設定」があり、
海外からのWP管理画面へのアクセスを制限できます。
- エックスサーバー サーバーパネルにログインする
- 「WordPress」セクション → 「WordPressセキュリティ設定」をクリック
- 対象のドメインを選択する
- 「海外からのWordPress管理画面へのアクセスを制限する」をONにする
- 「設定する」をクリックして完了
ConoHa WINGの国別IP制限
ConoHa WINGでも、コントロールパネルの「セキュリティ」メニューから国別のアクセス制限を設定できます。
国を選んでトグルをオンにするだけで設定が完了するため、サーバー知識がなくても簡単に使えます。
- ConoHa WINGコントロールパネルにログインする
- 「サイト管理」→「セキュリティ」→「国外IPアクセス制限」を開く
- 「管理画面アクセス制限」をONにして保存する
3つの方法を比較して自分に合ったものを選ぼう
3つの方法にはそれぞれ特徴があります。どれが自分のサイトに合っているかは、技術レベルとサーバー環境によって変わります。迷ったらプラグインから始めるのがおすすめです。
- .htaccess:設定が残り続け最も確実。ただし記述ミスのリスクがあるため中級者向け
- セキュリティプラグイン:管理画面から操作でき初心者向け。リアルタイム検知も可能だがプラグイン障害時は機能しない
- サーバー設定:最も負荷が少なくWordPressに依存しない。対応しているサーバーが限られる
最も効果的なのは、.htaccessとプラグインの両方を組み合わせる方法です。
.htaccessでサーバーレベルの防御を固め、プラグインでリアルタイムの監視・ブロックを行う2段構えにすることで、より強固なセキュリティを実現できます。
海外IPからの不正アクセス遮断 方法まとめ
WordPressへの海外IPからの不正アクセスは、.htaccess・プラグイン・サーバー設定の3つの方法で確実に遮断できます。
どれか1つだけでも効果はありますが、組み合わせて使うことでより強力な防御になります。
- まず.htaccessでwp-login.phpを日本IP限定にする(最優先)
- クイックレスキュー365をインストールして不正ログインブロックを有効にする
- エックスサーバーやConoHa WINGなら管理画面の国外アクセス制限も活用する
- Wordfenceで定期的にログを確認し、怪しいIPを手動でブロックする
不正アクセスへの対策は「完璧にしなければいけない」と思う必要はありません。まず1つ実施するだけでも、大幅にリスクを下げることができます。
万が一すでにハッキングやマルウェア感染の被害に遭っている場合は、自己対処よりも早めに専門家に相談することをおすすめします。
海外からの不正アクセスを拒否が自分で解決できない時は
ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。
- ホームページが乗っ取られた・改ざんされた
- 管理画面にログインできなくなった
- 変なサイトにリダイレクトされている
- Googleに危険なサイトと表示されている
- 自分で復旧しようとしたが直らない
- WordPressを復旧・修正したい
- 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
- 90日間再感染保証・動作保証で安心
- 初期費用・調査費用0円で安心
