ラッコサーバー

ラッコサーバーでサイトを管理すると売却時の価値を高く保てます!
サイト/ドメインの売却をシームレスに実現します。

ラッコサーバー詳細
オンライン事業売買
WordPressサイト売買
ドメイン売買
データを読み込み中...
データを読み込み中...
データを読み込み中...

【WordPress】管理画面へのアクセスをIPアドレスで制限して不正ログインを防ぐ方法(SiteGuard WP Plugin)

WordPressの管理画面(/wp-admin/)に誰でもログインできる状態のままだと、不正アクセスが心配…

管理画面にログインできる人をIPアドレスで絞り込み、第三者からのアクセスを制限したい——そんな悩みは、無料プラグイン「SiteGuard WP Plugin」で解決できます。本記事では以下の3点を画像付きで解説します。

  • SiteGuard WP PluginでIPアドレス制限を有効にする手順
  • IPアドレスが変わったときに一時的にアクセスできなくなる仕組み
  • その場合の対処法

プラグインを有効にするだけで、面倒なIPアドレスの入力は不要です。サーバーの設定ファイルを触る必要もなく、WordPressの管理画面だけで作業が完結します。

ラッコサーバー

ラッコサーバーでサイトを管理すると売却時の価値を高く保てます!
サイト/ドメインの売却をシームレスに実現します。

ラッコサーバー詳細
オンライン事業売買
WordPressサイト売買
ドメイン売買
データを読み込み中...
データを読み込み中...
データを読み込み中...

SiteGuard WP PluginでIPアドレス制限をする前に知っておきたいこと

SiteGuard WP Pluginの「管理ページアクセス制限」機能は、あらかじめ許可するIPアドレスを自分で入力・登録する仕組みではありません。

ログインに成功したIPアドレスを自動的に「許可済み」として記憶し、それ以外のIPアドレスからの管理ページ(/wp-admin/以降)へのアクセスをブロックする、という自動判定型の仕組みです。

許可されていないIPアドレスから管理ページにアクセスすると、404 Not Found(ページが見つかりません)が表示されます。一方、ログインページ(/wp-login.php)は制限の対象外なので常にアクセスでき、そこから改めてログインすれば、そのIPアドレスもすぐに許可されます。

自分で許可リストを作る必要はありません。「ログインできた場所」を自動で覚えてくれる仕組みなんですね。

IPアドレスが変わったときの挙動

自宅の回線でログインして作業していたところ、外出先やモバイル回線に切り替えると、グローバルIPアドレスが変わります。この新しいIPアドレスは「ログイン済み」として記憶されていないため、管理ページへのアクセスが一時的にブロックされ、404が表示されます。

この場合も慌てる必要はありません。ログインページに移動して再度ログインするだけで、その新しいIPアドレスも自動的に許可され、以降は通常どおり管理ページにアクセスできるようになります。

許可は24時間で自動的に失効する

一度許可されたIPアドレスも、24時間が経過すると「ログイン済み」の状態が解除されます(同じIPアドレスからしかログインしていない場合を除く)。翌日以降にひさしぶりに管理画面を開いたときに一度だけ404が表示されるのは、この仕様によるものです。

いずれの場合も、ログインページから再ログインすれば解決します。手間に感じる場合は、この機能自体をオフに戻すことも可能です。

なお、本記事の内容はWordPress 7.0 + SiteGuard WP Plugin v1.8.6 で動作確認しています。

STEP1:SiteGuard WP Pluginをインストール・有効化する

管理画面の「プラグイン」→「新規プラグインを追加」で「SiteGuard」と検索し、表示された「SiteGuard WP Plugin」の「今すぐインストール」→「有効化」を順にクリックすれば準備は完了です。有効化すると左メニューに「SiteGuard」という項目が追加されます。この時点でログインページのURLが自動的に変更される場合があるため、表示される案内メッセージは必ず確認しておきましょう。

プラグイン一覧画面—SiteGuard WP Pluginが有効化された状態
▲ 有効化後のプラグイン一覧

STEP2:管理ページアクセス制限を有効にする

左メニューの「SiteGuard」から「管理ページアクセス制限」を開きます。SiteGuard WP Pluginには複数の保護機能が並んでいるので、その中からこの項目を選択してください。

設定画面には「有効」「無効」のラジオボタンと、「除外パス」という入力欄があります。「除外パス」には、この制限の対象から外すパスをあらかじめ指定でき、初期状態でも管理画面の一部の処理に使われるパス(admin-ajax.phpなど)がいくつか設定済みです。通常はこの初期値のまま変更する必要はありません。

管理ページアクセス制限の設定画面—有効/無効の選択欄
▲ 「管理ページアクセス制限」の設定画面

「有効」を選択したら、画面下部の保存ボタンをクリックします。IPアドレスを入力する欄はないため、これだけで設定は完了です。保存が成功すると、画面上部に設定を保存しました。という完了メッセージが表示されます。

設定保存後の完了メッセージ画面
▲ 保存後に表示される完了メッセージ

「有効」を選んで保存するだけ!IPアドレスを自分で調べて入力する手間がないのは助かるね。

STEP3:設定が反映されたか動作確認する

保存が終わったら、今使っている回線から管理画面に問題なくアクセスできるか確認しましょう。今ログイン中のIPアドレスはすでに「許可済み」として記録されているため、設定を有効にした直後でも、これまでどおり管理画面が表示されます。

注意

外出先やモバイル回線など、いつもと違うIPアドレスから管理ページにアクセスすると、その場では404(ページが見つかりません)と表示されることがあります。これは異常ではなく、そのIPアドレスがまだ「許可済み」として記録されていないためです。ログインページから再ログインすれば、そのIPアドレスもすぐに許可されて管理ページに戻れます。慌てて設定を無効化する必要はありません。

第三者があなたのIDとパスワードを入手していたとしても、これまでにログインしたことのないIPアドレスからは管理ページ自体にたどり着けないため、不正ログインのリスクを大きく下げられます。

よくある質問

WordPressの管理画面へのアクセス制限をプラグインでするには?

SiteGuard WP Pluginの管理ページアクセス制限機能を有効にするだけで、サーバー操作やIPアドレスの入力なしに設定できます。具体的な手順はSTEP1〜STEP2を参照してください。

設定後に急に管理画面にアクセスできなくなった場合はどうすればいい?

自宅からモバイル回線に切り替えるなどでIPアドレスが変わったか、許可の有効期限(24時間)が切れた可能性があります。ログインページ(/wp-login.php)はこの制限の対象外なので常にアクセスでき、そこから再ログインすれば、そのIPアドレスがすぐに許可されて管理ページに戻れます。

万が一ログインページ自体にたどり着けない場合は、FTPソフトやレンタルサーバーのファイルマネージャーでwp-content/plugins/siteguardフォルダの名前を変更してください。フォルダ名を変えるとプラグインが自動的に無効化され、制限が解除されます。

自宅・外出先など複数の場所から管理画面にアクセスしたい場合はどうすればいい?

特別な事前登録は必要ありません。それぞれの場所でログインページから一度ログインすれば、そのIPアドレスが自動的に許可され、以降は通常どおり管理ページにアクセスできます。ただし許可は24時間で失効するため、翌日以降にその場所からアクセスする際は再度ログインが必要です。

サーバー側の.htaccessでのIP制限との違いは?

.htaccesshttpd.confといった設定ファイルを直接編集する方法は、FTP接続や記述ルール(構文)の知識が必要です。記述を1文字でも誤ると、管理画面だけでなくサイト全体が表示されなくなるリスクがあります。

一方、SiteGuard WP Pluginの管理ページアクセス制限は、有効にするだけでログイン済みのIPアドレスを自動的に判定してくれるため、設定ファイルを直接触る必要も、IPアドレスを自分で入力する必要もありません。

海外からのアクセスだけを制限したい場合は?

この機能は「ログインに成功したIPアドレスを許可する」仕組みのため、そのままでは「海外だけをブロックする」といった国単位の制限には向きません。海外からのアクセスをまとめて遮断したい場合は、レンタルサーバー側に用意されている海外IPアクセス制限機能などを併用する方法があります。

第三者がログインに成功した場合、そのIPアドレスも許可されてしまいますか?

この機能は「ログインに成功したIPアドレス」を自動的に許可する仕組みのため、万一IDとパスワードが漏洩して第三者がログインに成功した場合、そのIPアドレスも同様に許可されてしまいます。IPアドレス制限だけでは不正ログインそのものを防げないため、パスワードの強化やログインURLの変更と併用し、ログイン履歴を定期的に確認することをおすすめします。

設定してからどのくらいで反映されますか?

保存した直後から有効になります。反映を待つ必要はなく、現在ログイン中のIPアドレスはそのまま管理ページにアクセスできます。実際の反映状況はSTEP3で確認できます。

WordPressの管理画面ではなくサイト全体にアクセスできない場合は?

本記事で紹介するIPアドレス制限は管理画面(/wp-admin/)のみが対象で、トップページなどの公開ページの表示には影響しません。サイト全体が表示されない、あるいは制限とは関係なくログインできないといった場合は、別の原因が考えられます。ログイン方法・ログインできない場合の対処法をあわせて確認してください。

💡 サーバー側でもアクセス制限を強化しませんか?

SiteGuard WP PluginによるIPアドレス制限は手軽ですが、「ログインページ自体をBasic認証で二重に保護したい」「サーバー側でもアクセス制限をかけたい」という場合は、レンタルサーバー側の機能を使う方法もあります。

ラッコサーバーでは、管理画面から簡単にBasic認証や.htaccessの編集ができ、WordPressのプラグインと組み合わせてサイトのセキュリティをさらに強化できます。

月額330円(税込)〜から利用でき、30日間の無料お試し期間中に設定を試すことも可能です。

まとめ

WordPressの管理画面へのアクセスをIPアドレスで制限する方法を、SiteGuard WP Pluginを使って解説しました。サーバーの設定ファイルを触らず、管理画面だけで安全に設定できるのが最大のメリットです。

最後に、設定の流れをおさらいします。

  • STEP1:SiteGuard WP Pluginをインストール・有効化する
  • STEP2:管理ページアクセス制限の設定画面で「有効」を選択して保存する
  • STEP3:今使っている回線から管理画面に問題なくアクセスできるか確認する

IPアドレスを自分で調べて入力する必要はなく、有効にするだけで設定は完了します。外出先やモバイル回線に切り替えて一時的に404が表示されても、ログインページから再ログインすればすぐに解決するので、慌てず対応しましょう。IPアドレスが変動しやすい環境では、ログインURLの変更など、ほかの防御策との組み合わせもぜひ検討してみてください。