実際の設定方法(詳細)
ここでは、「IP Location Block」を使って 管理画面へのログインは日本からのみに制限し、記事ページは世界中の誰でも閲覧できる状態を保ちつつ、不正ログインを防ぎやすくする設定手順を具体的に説明します。
1. プラグインのインストールと有効化
- WordPress管理画面の左メニューから「プラグイン」>「新規追加」をクリック
- 検索窓に「IP Location Block」と入力
- 該当プラグインを見つけたら「今すぐインストール」→「有効化」
2. 設定画面へアクセス
- 左メニューの「設定」>「IP Location Block」を選択
- 「検証ルールと動作」セクションが開かれます
3. 国別アクセス制御の設定
基本ルールの設定
- 「一致ルール」:ホワイトリストを選択(※ホワイトリストに含まれない国をブロックする)
- 「国コードまたはパターンのホワイトリスト」:
JPと入力(日本のみ許可) - 「自律システム番号の使用」:必要なければ無効のままでOK
- 「余分な IP アドレスを取得するための $SERVER キー」:
HTTP_X_FORWARDED_FORを入力(クラウド環境などで有効)
その他の詳細設定(任意)
- 「悪意のあるファイルのアップロードを防止する」:必要に応じて「無効化」または制限設定
- 「レスポンスコード」:403 Forbidden(不正なアクセスを拒否)
- 「レスポンスメッセージ」:
Sorry, your request cannot be accepted.など任意に記入
管理エリアの保護
- ページ下部の「バックエンドのターゲット設定」で以下にチェック:
- 「ログインフォーム」:
Block by location - 「管理画面」:
Block by location
- 「ログインフォーム」:
4. 動作確認(GeoPeekerなどを使用)
VPNが用意できない場合、以下のようなオンラインVPNチェックツールでも挙動確認が可能です。
- サイト:GeoPeeker
- 確認方法:
- 記事ページ(フロントエンド):各国から正常に表示されることを確認
- ログインページ(
wp-login.php):海外からは403エラーなどでブロックされていることを確認
※GeoPeekerは一部の国(米国・欧州・アジアなど)からの閲覧状態を簡易的に確認できるツールです。
気づいたこと・反省点
- IP制限は一見むずかしそうでも、考え方さえわかれば意外とシンプル
- ChatGPTなどに画面を見せながら聞けるのは初心者の味方
あと、今回の件で「WordPressのセキュリティ対策=難しい」という思い込みがだいぶ和らぎました。
おわりに
セキュリティ(リスク管理)は、個人ブログであっても無視できない大事な要素です。
「どう守るか」の選択肢として今回のような対策もあるということを、共有の意味で残しておきたくなりました。
特に、ブログや個人サイトの運営者が最低限やっておくべき設定として、今回のような「海外ログイン制限」はおすすめしたいポイントの一つ。
ChatGPTと一緒に、迷子にならず進められたことも良い体験でした。
次はもう少し、コメント欄やBot対策も考えてみたいなと思っています。