海外から不正ログイン、WordPressのIPアクセス制限が無効になった理由

WordPress IPBAN 03

なんかいっぱい来た。
ログインしようと必死なやつが。

以前、「はじめまして、このドメイン俺にくれ」みたいなメールが海外から届いて、無視していたらこういう状態になってきました。

こわいわ。

確か、WordPressは管理画面に入れないようにIP制限しているはずだけど？

さくらのサーバーがApache 2.4になりアクセス制限の書式変更してた

さくらインターネットのレンタルサーバーが知らない間にApache 2.4になっていたらしく、.htaccessの書式が変わり、Movable Typeのmt.cgiに使っていた、これまでのアクセス制限ができなくなっていました。

2.4での書式はシンプルになっているので、これまでより分かりやすいのですが、何故か大ハマリ。

理由は、さくらインターネットの国外IPアドレス制限機能にありました。

WordPressのXML-RPCやログイン画面に、日本国外からアクセスを拒否する.htaccess を設定している場合、CDNサービスの「Cloudflare」からのアクセスも拒否してしまいます。

日本国外からのアクセスを拒否しながら、Cloudflareからのアクセスは許可するには、.htaccessにCloudflareのIPレンジを追記します。

サーバーモニタリングサービス「SavaMoni」は、サーバーの稼働状況に異常が無いかを監視して、異常があればメールで通知してくれます。URL 5個までなら無料で使う事ができるので、利用しない手はありません。

普通のWebサイトやブログなら、PingとHTTP、DNSを監視すれば良いでしょう。

.htaccessファイルで、Movable Typeのmtフォルダに自分以外がアクセスできないようにしたい。この場合、一番簡単な方法として自分のIP以外を弾けばいいのですが、固定IPで無いとこの方法は使えません。

妥協点としては、ホスト名の下の部分だけで弾く方法があります。これでも、同じ地域に住んでいて同じプロバイダーを契約していて、自分のブログにアタックしてくる人以外は弾けるので、ほぼ問題無いでしょう。