WordPressでWebサイトを運用するにあたってトラブルになりやすいのが、管理画面への不正アクセスです。
多くの被害が発生している一方で、IDとパスワードによる一般的なセキュリティ対策だけでは、万が一のリスクを容易には排除しきれません。
そこで有効とされる安全対策の一つが「IPアドレス制限」。
しかし、IPアドレスの追加や更新、在宅やスマホなど環境ごとの対応が必要になり、導入すると管理負担が大きくなってしまうのが実状です。
当社の『XServer 固定IPアクセス』は、こうした運用の課題を解消し、スムーズなIPアドレス制限を実現できます。
専用のネットワークを経由することで、複数名での利用はもちろん、在宅やスマホなどの接続環境に左右されることなく、特定の固定IPアドレスを利用可能です。
この記事では、『XServer 固定IPアクセス』で、WordPressのセキュリティ強化と管理負担の軽減を両立する方法を解説します。
利用手順も紹介しているので、実際の運用をイメージし、導入の参考にしてください。
WordPress運用におけるセキュリティ上のリスク
WordPressは、世界的にもシェアが高いCMSです。
カスタマイズ性が高く、Web制作やサイト運用に広く利用される一方で、利用者を狙ったサイバー攻撃の標的になりやすいという側面があります。
WordPressは、システムの仕組み(ソースコード)が無償で公開されている「オープンソース」のソフトウェア。
オープンソースには誰でも自由に開発や改変などができるメリットがありますが、「システムの弱点(脆弱性)を見つけ出しやすい」というデメリットも持ち合わせています。
そのため、セキュリティ対策を怠っていると、そうした弱点を突いた不正アクセスの被害を受けるリスクが高くなるのです。
具体的には、以下のような被害が考えられます。
- Webサイトの乗っ取り:
ログイン情報の書き換えなどにより権限を第三者に奪われ、管理画面にアクセスできなくなったり、サイトの所有権を失ったりする。 - Webサイトの改ざん・マルウェア感染:
公式サイトやブログのデータを書き換えられ、フィッシングサイトへの誘導リンクを埋め込まれたり、訪問したユーザーの端末をウイルスに感染させる「踏み台」にされたりする。 - 機密情報・個人情報の漏洩:
データベース内に蓄積された「問い合わせデータ」「会員情報」「顧客の個人情報」などの機密情報が外部に盗み見られ、流出してしまう。
このような被害を受けてしまうと、サイトの規模に関わらず、自社や取引先に致命的なダメージを与えてしまいます。
まず、自社だけの被害であっても、復旧に多くの手間や時間がかかるうえに、ユーザーからの信頼やブランドイメージの低下は避けられないでしょう。
さらに、その影響が取引相手にまで及んだ場合、被害に遭った顧客への対応として、多額の損害賠償を請求されるといったケースも考えられます。
結果として、重大なセキュリティ事故を起こした会社として社会的信用は失墜し、取引停止や今後のビジネスの継続すら危うくなるでしょう。
以上のことから、WordPressを運用するうえでは、不正アクセスを防ぐための対策が必須なのです。
WordPressに「IPアドレス制限」が必要な理由
不正アクセスによる被害を防ぐため、WordPressにはさまざまなセキュリティ対策が存在します。
そのなかでもとくに有効性の高い対策が、接続元の「IPアドレス制限」です。
WordPressを運用するうえで、一般的には「複雑なパスワードを設定しているから大丈夫」と思われがちです。
しかし、IDとパスワードによる認証情報だけの管理では、以下のようなリスクを完全に排除することはできません。
- メンバーの誰かが推測されやすい簡単なパスワードを設定してしまい、容易に破られてしまう
- フィッシング詐欺や、パスワードを使い回していた他のサービスから流出する
- 総当たり攻撃(ブルートフォースアタック)を受ける
※自動プログラムなどを用いて、IDとパスワードの膨大なパターンの組み合わせを機械的に試し、強引に認証を突破する手口のこと。
このように、どれほど厳重なルールを定めていたとしても、パスワード認証だけに頼る運用には、突破されるリスクが潜んでいます。
だからこそ、あらかじめ指定したIPアドレス以外からのアクセスを遮断(拒否)する「IPアドレス制限」が非常に有効。
WordPressの管理画面(wp-login.phpやwp-adminなど)に設定しておけば、許可されたIPアドレス以外からのアクセスは、ログイン画面にすらたどり着けません。
そのため、万が一、IDやパスワードが漏れてしまったとしても、部外者による不正アクセスを防ぐことができるのです。
【注意点】ユーザー権限管理と併用する
「IPアドレス制限で管理画面への入口を遮断すれば万全」というわけではありません。
より安全なWordPress環境を維持するためには、適切なユーザー権限管理との併用が重要です。
具体的には、IPアドレス制限に加えて、以下の管理を徹底する必要があります。
- 強力なパスワードの設定:
制限されたネットワーク内であっても、メンバー各自が推測されにくいパスワードを設定する。 - 必要最小限の権限付与:
WordPressを扱う社内スタッフや外部パートナーに対し、「編集者」や「投稿者」など、業務に必要な最小限の権限のみを付与する。
IPアドレス制限の運用管理が困難な理由
WordPressの安全性を高められるIPアドレス制限ですが、いざ導入しようとすると、スムーズにいかない問題があります。
セキュリティ対策として有効な反面、主に以下2つの理由がIPアドレス制限の運用において課題となるのです。
それぞれの具体的な課題について解説します。
多様な働き方との両立がしづらい
オフィスに出社し、固定の回線からのみWordPressを利用する環境であれば、IPアドレス制限は比較的スムーズに管理できるでしょう。
しかし、現代の多様な働き方のなかでは、主に以下の3つのシーンにおける「社外からのアクセス管理」が大きな課題となります。
- リモートワークにおける動的IP問題
- 外部パートナーのIPアドレス管理
- 外出先や出張先からのアクセス遮断
たとえば、リモートワークのスタッフが使う一般的な自宅回線は、接続するたびにIPアドレスが変わる「動的IP」であることが多いです。
そのため、一度IPアドレスを許可しても、数日後には管理画面にアクセスできなくなります。
また、WordPressの編集を社外のライターや制作会社などの「外部パートナー」に委託している場合、全員の接続元IPを常に正確に把握し、管理し続けるのは現実的ではありません。
さらに、モバイルルーターや出張先のWi-Fiなどから緊急でWordPressを修正したくても、事前にIPアドレスが許可されていない環境からは、アクセスそのものが遮断されてしまいます。
管理者の負担が大きい
IPアドレス制限の導入や運用には、以下の理由により管理者への負担が大きくなります。
- IPアドレスが変わるたびに発生する設定変更の手間
- 設定の削除漏れによるリスク
たとえば、メンバーの自宅IPアドレスが変わったり、新しいスタッフが増えたりするたびに、管理者は手作業でWordPressやサーバーの設定を書き換えなければなりません。
業務に携わる人数が多いほど、この変更対応だけで時間が掛かってしまいます。
また、契約が終了した外部パートナーや、退職したスタッフのIPアドレスは、その都度削除しなければなりません。
しかし、IPアドレスを多く管理するほど、対応は複雑化し、削除漏れが発生しやすくなります。
さらに、動的IPアドレスの仕組み上、許可していたIPアドレスが、将来的に全く別の第三者に割り当てられることも。
そのため、削除漏れはセキュリティリスクを放置していることになるのです。
『XServer 固定IPアクセス』で安全対策と負担軽減を両立
前述した「多様な働き方との両立」や「管理者の負担」といった課題は、当社が提供する『XServer 固定IPアクセス』を導入することで解決可能です。
具体的な解決の仕組みについて、以下3つのメリットから解説します。
当サービスを活用すれば、IPアドレス制限によるWordPressのセキュリティ対策を行いながら、リモートワークや外部委託などをスムーズに行える環境を構築できます。
1. どこからアクセスしてもIPアドレスが変わらない
『XServer 固定IPアクセス』は、普段ご利用の端末から専用のネットワークを経由してインターネットに接続する仕組みです。
これにより、自宅や外出先などに関わらず、メンバーがどこにいても「許可された1つの固定IPアドレス」からWordPressへアクセスできるようになります。
リモートワークによる動的IP問題や、外出先でのアクセス遮断に悩まされることなく、安全な接続環境を確保できます。
2. サーバー側の設定は初回設定時だけ
従来の運用では、メンバーの接続環境が変わったり、新しいメンバーが増えたりするたびに、管理者がその都度サーバーの設定(アクセス許可リスト)を書き換える必要がありました。
しかし『XServer 固定IPアクセス』を導入すれば、サーバー側への設定が必要になるのは、固定IPアドレスを追加したときの初回設定時だけです。
一度設定を行えば、メンバーの接続環境に左右されないので、「突発的に何度も設定変更をしなければならない」といった作業は発生しません。
(※新しい固定IPアドレス自体を追加契約した場合は、サーバー側への初回設定が別途必要です)
そのため、日々の運用にかかる手間を大幅に減らせます。
3. 端末紛失やメンバー退職時の管理負担を軽減
万が一、社員が端末を紛失した場合や、スタッフの退職、外部パートナーとの契約終了が発生したときのリスク管理も迅速に行えます。
管理者は、サービスの管理画面から該当するライセンスを停止するだけで、WordPressへのアクセスを即座に遮断可能です。
一般的な運用では、端末の紛失が発生すると漏洩防止のためにWordPress全体のパスワードを変更したり、他の全メンバーに新しいパスワードを周知や再設定してもらったりといった、膨大な手間が発生します。
しかし、『XServer 固定IPアクセス』であれば、紛失したメンバーのライセンスだけを停止し、アクセスを遮断できるため、他のメンバーにはその影響が及びません。
サーバー側の設定変更も不要なため、対応漏れによる二次的なセキュリティリスクの防止にも繋がります。
『XServer 固定IPアクセス』の利用手順
『XServer 固定IPアクセス』の導入にあたって、高度な専門知識は不要です。
初回の設定を済ませれば、以降は接続用アプリを有効化するだけで、固定IPアドレス経由の接続に切り替えられます。
以下の手順で、メンバーごとの安全な接続環境を整えることが可能です。
それぞれの手順を詳しく解説します。
本記事では、『エックスサーバー』で運用しているWordPressを例に手順を解説します。
なお、『XServerビジネス』でも手順は変わりません。
手順1:【管理者】管理画面でライセンスを発行
まずは、管理者が『XServer 固定IPアクセス』の管理画面から、対象者のライセンスを発行します。
『XServer 固定IPアクセス』の管理画面にログインし、ライセンスを追加するIPアドレスの詳細をクリックします。
ライセンス追加をクリックします。
追加するライセンス数を入力してプランを選択し、入力確認画面に進むをクリックします。
内容を確認し、お支払いへ進むをクリックします。
お支払い内容を確認し、支払い方法に「クレジットカード」を選択して、決済画面へ進むをクリックします。
決済方法は、クレジットカード支払いのみに対応しています。
お支払いを行うクレジットカード情報を選択または入力し、確認画面へ進むをクリックしてください。
内容を確認し、支払いをするをクリックすれば、ライセンスの追加手続きは完了です。
5分~10分程度で、新しいライセンスが利用可能になります。
発行したライセンスの詳細をクリックします。
表示された「設定ファイル」をメンバーの利用環境(PCまたはモバイル)に合わせてダウンロードし、共有してください。
メンバーを追加する場合は、同じ手順でライセンスを人数分発行してください。
手順2:【利用者】接続用アプリをインストールして接続
次は、WordPressを利用するメンバー(スタッフや外部パートナー)各自の端末で行う手順です。
お使いの端末(PCやスマートフォン)に、接続用のWireGuardアプリをインストールします。
アプリを起動し、ファイルからトンネルをインポートをクリックします。
管理者から共有された設定ファイルを読み込みます。
追加されたトンネルの有効化をクリックします。
状態が「有効」に切り替われば、完了です。
アプリのインストールとライセンスの設定は初回のみです。
次回以降は、アプリを起動して「有効化」するだけで、固定IPアドレス経由の接続に切り替わります。
手順3:【管理者】サーバーパネルで固定IPアドレスを登録
続いて、発行した固定IPアドレス以外からの接続を遮断する設定を、『エックスサーバー』のサーバーパネルで行います。
なお、メンバーの設定が完了する前にこの設定を行うと、一時的に管理画面へアクセスできなくなります。
そのため、すべてのメンバーが接続用アプリ(WireGuard)を利用して、固定IPアドレス経由で接続できることを確認したうえで、設定を行ってください。
この設定では、『エックスサーバー』の「WordPressセキュリティ設定」機能を使用するため、設定ファイル(.htaccess など)を直接編集する必要はありません。
設定を行うことで、WordPressの以下の箇所へのアクセスが制限されます。
- /wp-admin:ダッシュボード のフォルダ
- /wp-login.php:ダッシュボード ログイン時にアクセスするファイル
手順は以下のとおりです。
『エックスサーバー』の管理画面(サーバーパネル)にログインします。
「メニュー > WordPress > WordPressセキュリティ設定」をクリックします。
対象ドメインにある「IPアドレス制限」のペンアイコンをクリックします。
契約時に発行された固定IPアドレスを入力し、設定するをクリックします。
設定状況が「ON」になり、ホワイトリストの項目に追加されていれば、サーバー側の準備は完了です。
固定IPアドレスを追加で契約した場合は、同じ手順でサーバーパネルに登録してください。
手順4:【利用者】いつものブラウザでWordPressにログイン
IPアドレス制限の設定が完了したあとは、利用者側での特別な操作などは一切不要です。
普段使用しているブラウザの接続が自動的に固定IPアドレス経由に切り替わり、WordPressのログイン画面や管理画面にアクセスできます。
いつもどおりWordPressへログインし、安全な環境で作業を始めてください。
『XServer 固定IPアクセス』で安全な運用環境を手軽に実現
当社が提供する『XServer 固定IPアクセス』を活用すれば、IPアドレス制限の負担を軽減しながら、WordPress運用におけるセキュリティ対策が行えます。
WordPressの安全な運用環境の構築に、ぜひお役立てください。
