WordPressのIPアドレス制限で不正アクセスを防ぐ方法を解説します。
また、固定IPがない場合の考え方もあわせてご紹介します。
ブログ収益化の教科書プレゼント
↓ ↓ ↓
WordPressのIPアドレス制限は何のため? まずは基本を整理
WordPressのIPアドレス制限とは、あらかじめ許可したIPアドレスからのアクセスだけを通し、それ以外のアクセスを止める仕組みです。とくに使われやすいのは、管理画面やログイン画面を守りたい場面です。外からの不要なアクセスを減らせるため、不正ログイン対策のひとつとしてよく検討されます。たとえるなら、家の玄関に鍵をかけるだけでなく、そもそも玄関の前まで来られる人をしぼるようなイメージです。パスワードだけに頼るより、入口そのものをしぼるほうが安心しやすいケースがあります。
IPアドレス制限でできること
| 項目 | 内容 |
|---|---|
| 不正ログイン対策 | 管理画面やログイン画面への不要なアクセスを減らしやすくなります |
| 総当たり対策 | パスワードを何度も試すようなアクセスを受けにくくなります |
| 管理画面の限定公開 | 社内や自宅など、決めた場所からだけ管理画面に入れるようにできます |
| 攻撃の入口を減らす | だれでもログイン画面に触れられる状態を避けやすくなります |
| 運用上の安心感 | 更新担当者が限られているサイトでは特に安心材料になります |
私が実務で感じるのは、IPアドレス制限は目立つ対策ではないものの、守りの土台としてかなり堅実だということです。
とくに、更新する人が少ないサイトや、社内からしか管理画面に入らないサイトとは相性がよいです。
パスワードだけでは不十分になりやすい理由
「強いパスワードを使っていれば大丈夫では」と感じる方も多いと思います。
もちろん、推測されにくいパスワードを使うことはとても大切です。
ただ、ログイン画面が外に開かれたままだと、攻撃する側は何度でも試しやすくなります。
たとえば、次のような状態は珍しくありません。
- ログインURLが一般的なままになっている
- 何度もログインを試されている
- 使っていないユーザー名が残っている
- 別の入口になりそうな機能がある
このときIPアドレス制限を入れておくと、ログイン画面の手前でアクセスを止めやすくなります。
つまり、パスワード対策を置き換えるのではなく、パスワード対策をより生かしやすくする考え方です。
どんなサイトなら向いている?
WordPressのIPアドレス制限は便利ですが、どのサイトにも同じように向いているわけではありません。
先に向き不向きを知っておくと、設定後のトラブルを防ぎやすくなります。
向いているサイト
- 社内や自宅など、限られた場所から更新するサイト
- 更新担当者が少ないサイト
- 一般公開サイトの管理画面だけを守りたいサイト
- 制作会社や担当者が固定回線を使っているサイト
向きにくいサイト
- 外出先やモバイル回線から頻繁に更新するサイト
- 複数の担当者がさまざまな場所からログインするサイト
- 外部ライターやクライアントが出入りするサイト
- 固定IPがなく、接続場所がよく変わるサイト
固定IPがない環境では、制限を厳しくしすぎると正しい担当者まで入れなくなることがあります。
そのため、便利そうだからとすぐ導入するのではなく、自分の運用に合うかを見極めることが大切です。
どこに制限をかけるべき? 守る場所を先に決める
IPアドレス制限という言葉を聞くと、サイト全体にかけるものだと思う方もいるかもしれません。ですが、一般的にはサイト全体ではなく、守りたい場所をしぼって設定します。ここが曖昧だと、必要な人まで見られなくなったり、本当に守りたい場所が守れていなかったりします。
最優先で考えたいのは wp-login.php と wp-admin
多くのWordPressサイトで、最初に検討したいのは次の2つです。
- wp-login.php
- wp-admin
wp-login.phpはログイン画面そのものです。
wp-adminは管理画面に関わるエリアです。
不正アクセス対策としてIPアドレス制限を考えるなら、まずこの2つを見るのが基本になります。
読者向けの公開ページではなく、管理者向けの入口を守るイメージです。
サイト全体に制限をかけるケースは多くない
一般公開しているブログや企業サイトで、サイト全体にIPアドレス制限をかけてしまうと、読者まで見られなくなります。
それでは公開サイトとしての役割を果たせません。
サイト全体への制限が向くのは、たとえば次のようなケースです。
- 社内向けポータルサイト
- 限られた人だけに見せる仮公開サイト
- テスト環境
- 開発中の確認用サイト
通常の公開サイトなら、まずは管理画面やログイン画面に絞って考えるほうが自然です。
一部ページだけを制限したい場合もある
WordPressのIPアドレス制限は、管理画面だけでなく、一部ページだけにかけたい場面もあります。
たとえば、次のようなケースです。
- 関係者だけが確認する資料ページ
- 顧客向けの限定ページ
- 限定公開のランディングページ
- 一時的な確認ページ
ただし、この用途は管理画面を守る話とは少し目的が違います。
管理画面の防御なのか、公開ページの限定閲覧なのかを分けて考えると、設定方法も整理しやすくなります。
WordPressにIPアドレス制限をかける方法は3つある
WordPressでIPアドレス制限を行う方法は、大きく分けると3つです。どの方法が合うかは、サイトの運用体制や、自分がどこまで設定に触れられるかによって変わります。
.htaccessで設定する方法
.htaccessは、サーバーの動きを細かく調整するための設定ファイルです。
これを使うと、特定の場所へのアクセスをIPアドレスで制限できます。
特徴は次のとおりです。
- 比較的軽く動かしやすい
- サーバー側で制御しやすい
- 細かい設定をしやすい
- 書き方を誤ると自分も入れなくなる
初心者の方には少し緊張する方法ですが、考え方としてはとても王道です。
バックアップを取り、制限する範囲をしぼったうえで進めれば、十分現実的な選択肢です。
プラグインで設定する方法
プラグインを使う方法は、管理画面から設定しやすいのが大きな魅力です。
設定ファイルを直接触るのが不安な方でも、取り組みやすい方法といえます。
メリット
- 画面から設定しやすい
- 機能がまとまっていて管理しやすい
- ほかのセキュリティ対策も一緒に入れやすい
デメリット
- プラグインごとに考え方が違う
- 機能が多くて迷いやすい
- 相性や不具合の確認が必要なことがある
便利な方法ですが、何となくで追加すると管理が複雑になりがちです。
まずは何を守りたいのかを決めてから選ぶと失敗しにくくなります。
サーバーの管理画面で設定する方法
レンタルサーバーによっては、管理画面からアクセス制限や類似の機能を設定できる場合があります。
この方法は、できるだけ難しい設定を避けたい方にとって使いやすい選択肢です。
特徴は次のとおりです。
- 画面操作で進めやすい
- サーバー側で処理されるため考えやすい
- 提供会社の案内を参考にしやすい
- 細かい例外設定までは難しいことがある
私としては、まずサーバー側の機能を確認し、それで足りないところだけ別の方法で補う考え方が現実的だと感じます。
3つの方法をどう選ぶ? 比較して考える
| 方法 | 向いている人 | メリット | 注意点 |
|---|---|---|---|
| .htaccess | 設定にある程度慣れている人 | 軽くて細かく制御しやすい | 記述ミスでアクセスできなくなることがある |
| プラグイン | 管理画面から設定したい人 | 導入しやすく機能をまとめやすい | 機能過多や相性確認が必要 |
| サーバー機能 | できるだけ簡単に進めたい人 | 画面操作で扱いやすい | サーバーごとに機能差がある |
迷ったときは、次のように考えると選びやすいです。
- 簡単さを重視するならサーバー機能
- 柔軟さを重視するなら.htaccess
- 管理画面で完結したいならプラグイン
この順番で見ていくと、自分に合う方法を決めやすくなります。
.htaccessで考えるWordPressのIPアドレス制限|基本と注意点
ここでは、.htaccessでIPアドレス制限を考えるときの基本を整理します。大切なのは、コードをそのまま写すことではなく、何をどこで止めるのかを理解することです。
.htaccessは管理画面を守る定番の方法
.htaccessがよく使われるのは、サーバー側で入口をしぼりやすいからです。
WordPressの画面が動き出す前の段階でアクセスを止めやすいため、管理画面を守る方法として理にかなっています。
ただし、何を止めるかをはっきりさせないまま進めると、必要な通信まで止めてしまうことがあります。
たとえば、次のように分けて考えると整理しやすいです。
- ログイン画面だけを守る
- 管理画面全体を守る
- テスト環境だけを守る
- 特定のディレクトリだけを守る
この整理ができていると、設定の精度がかなり変わってきます。
ApacheとNginxでは考え方が少し違う
同じIPアドレス制限でも、サーバーの種類によって設定の考え方は少し変わります。
ざっくり分けると、次のようなイメージです。
| 項目 | Apache系 | Nginx系 |
|---|---|---|
| よく見る設定方法 | .htaccessを使うことが多い | サーバー設定側で行うことが多い |
| 初心者の見えやすさ | 情報が見つけやすい | やや上級者向けに感じやすい |
| 柔軟さ | 比較的扱いやすい | 管理権限が必要なことがある |
| 注意点 | 記述ミスに注意 | 反映方法や権限の確認が必要 |
共有レンタルサーバーでは、Nginxの設定を自由に触れないこともあります。
その場合は、サーバーの標準機能や別の方法を選ぶ流れになります。
見つけた設定例をそのまま使わない
検索すると、昔から読まれている記事も多く出てきます。
そのため、今の自分の環境ではそのまま使いにくい設定例が混ざっていることがあります。
大切なのは、見つけた書き方を丸ごと信じるのではなく、自分の環境に合っているかを確認することです。
【稼げるキーワード教えます】
▼ ▼ ▼
確認したいポイントは次のとおりです。
- 使っているサーバーはApache系か
- 共有サーバーか専用環境か
- 管理画面だけ守りたいのか
- 固定IPか変わりやすいIPか
- 非同期通信を使う機能がないか
私も設定例を見るときは、まず「だれを通して、だれを止めるのか」を先に整理します。
このひと手間があるだけで、設定ミスのリスクはかなり減らせます。
プラグインでIPアドレス制限を行うときの考え方
プラグインは、設定ファイルを直接触りたくない方にとって心強い方法です。ただ、手軽なぶん、何をしているのか見えにくくなることもあります。
プラグインは便利 でも万能ではない
プラグインのよさは、設定画面が用意されていて、管理画面から扱いやすいことです。
一方で、IPアドレス制限だけをしたいのに、たくさんの機能がセットになっている場合もあります。
よく見かける機能の例は次のとおりです。
- ログイン試行回数の制限
- 国や地域ごとのアクセス制御
- 管理画面の保護
- ログの記録
- 二段階認証
- 不審なアクセスの遮断
これは便利な反面、全部を使う必要があるとは限りません。
必要な機能を整理しないまま導入すると、設定が複雑になりやすいです。
選ぶ前に 何を守りたいか を決める
プラグイン選びで大切なのは、人気だけで決めないことです。
何を守りたいかがはっきりしていれば、選ぶ基準がぶれにくくなります。
たとえば、次のように考えると整理しやすいです。
| 目的 | 考え方 |
|---|---|
| ログイン画面を守りたい | ログイン保護機能が充実したものを検討する |
| 管理画面を限定したい | ホワイトリスト機能があるものを検討する |
| 海外からの不要アクセスを減らしたい | 地域制限や遮断機能があるものを確認する |
| まとめて守りたい | 総合セキュリティ系を検討する |
読者としては、おすすめのプラグイン名だけを知りたくなるかもしれません。
ただ、本当に役に立つのは、どういう基準で選ぶかを理解することです。
設定後は 別の回線でも必ず確認する
プラグインで制限をかけたあと、同じ環境だけで確認して終わるのは危険です。
自宅のWi-Fiだけでなく、別の回線や別の端末でも確かめておくと安心です。
確認したいことは次のとおりです。
- 許可したIPアドレスから正常に入れるか
- 許可していない回線からは制限されるか
- ログイン画面以外に影響が出ていないか
- 投稿画面や管理機能が壊れていないか
鍵を閉めたあとに、外から本当に閉まっているか確かめる作業に近いです。
設定しただけで安心せず、実際の動きを確認することがとても大切です。
見落としやすい注意点|設定前に知っておきたいこと
ここは、実際につまずきやすいところです。記事としても、この部分が丁寧だと読者の安心感につながります。
固定IPがないと 自分まで入れなくなることがある
自宅回線やスマホ回線では、IPアドレスが変わることがあります。
そのため、昨日までは入れたのに今日は入れない、ということが起こりえます。
とくに注意したいのは次のような方です。
- 外出先から更新することが多い人
- スマホのテザリングを使う人
- 複数の場所を移動しながら作業する人
- 外部スタッフと共同運用している人
こうした環境では、IPアドレス制限だけに頼りすぎないほうが安全です。
ログインURL変更や二段階認証、Basic認証などを組み合わせて、無理のない運用にすることをおすすめします。
admin-ajax.php など例外が必要なこともある
WordPressでは、目に見えないところで非同期通信が動いていることがあります。
その代表として知られているのが、admin-ajax.phpです。
この通信を使うテーマやプラグインがあると、管理画面まわりにIPアドレス制限をかけた結果、一部機能が正常に動かなくなることがあります。
たとえば、次のようなケースです。
- 管理画面の一部ボタンが反応しない
- 動的な設定画面がうまく動かない
- 予約や検索などの機能に影響が出る
だからこそ、すべてを一気に閉じるのではなく、必要な通信は残しつつ不要な入口を閉じる考え方が大切です。
共同運用のサイトは例外設計が欠かせない
一人で更新するサイトなら、設定は比較的シンプルです。
ですが、複数人で運用するサイトでは事情が変わります。
たとえば、こんな場面があります。
- 社内担当者は固定回線
- 外部ライターは自宅回線
- 制作会社は別拠点
- クライアントがときどき確認で入る
この場合、ひとつの固定IPだけを許可する設計では回りにくいことがあります。
運用のたびにIPを追加していくと、管理そのものが負担になりやすいです。
共同運用サイトでは、次のような方向が考えやすくなります。
- IPアドレス制限は最小限にする
- Basic認証を併用する
- 二段階認証を導入する
- ログイン権限を整理する
- 不要なアカウントを削除する
守りを強くすることと、更新しやすさのバランスを取ることが大切です。
IPアドレス制限と一緒に考えたい対策
IPアドレス制限は有効な対策ですが、単独ですべてを解決するものではありません。いくつかの対策を組み合わせると、より現実的で使いやすい守り方になります。
Basic認証を組み合わせる
Basic認証は、WordPressのログイン画面に入る前に、別のIDとパスワードを求める仕組みです。
つまり、ログイン画面の前にもう一枚ドアを置くようなイメージです。
向いている場面は次のとおりです。
- 固定IPがない
- 少人数で運用している
- 一時的に管理画面を強く守りたい
- 開発中サイトを限られた相手に見せたい
動的IPの環境では、IPアドレス制限より運用しやすいこともあります。
二段階認証で本人確認を強くする
二段階認証は、パスワードに加えて、スマホなどで確認するコードを使う方法です。
たとえログイン画面にたどり着かれても、本人確認をもう一段強くできます。
相性がよい理由は次のとおりです。
- IPアドレスが変わっても使いやすい
- 共同運用サイトでも導入しやすい
- パスワード漏えいへの備えになる
管理画面を守るなら、IPアドレス制限だけにこだわらず、こうした方法も一緒に考えると現実的です。
ログインURL変更や試行回数制限も有効
入口の場所を見つけにくくしたり、何度も試せないようにしたりする対策も役立ちます。
組み合わせの考え方を表にすると、次のようになります。
| 対策 | 役割 | 向いているケース |
|---|---|---|
| IPアドレス制限 | 通れる相手をしぼる | 固定回線中心の運用 |
| Basic認証 | ログイン前にもう一段守る | 少人数運用、仮公開 |
| 二段階認証 | 本人確認を強くする | 共同運用、動的IP環境 |
| ログイン試行制限 | 総当たりを減らす | ほぼすべてのサイト |
| ログインURL変更 | 入口を見つけにくくする | 一般公開サイトの補助対策 |
このように見ると、IPアドレス制限は単独の正解というより、守りの一部として位置づけるとわかりやすいです。
失敗しない進め方|設定前の準備が大切
ここからは、実際に設定する前にやっておきたいことを整理します。この順番で進めると、焦らず判断しやすくなります。
まずは更新体制を整理する
最初に確認したいのは、技術の話ではなく運用の話です。
チェックしたい項目は次のとおりです。
- だれが更新するのか
- どこからログインするのか
- 固定IPかどうか
- 外部スタッフはいるか
- スマホから更新することはあるか
- 緊急時にだれが復旧できるか
この整理をしないまま進めると、守りを強くしたのにだれも更新できないという状態になりかねません。
いきなり本番で試さない
IPアドレス制限は、うまくいけば安心材料になりますが、設定を誤ると自分も入れなくなります。
だからこそ、いきなり本番で一気に変えないことが大切です。
おすすめの進め方は次のとおりです。
- バックアップを取る
- まずは小さな範囲で試す
- 許可するIPアドレスを控えておく
- 別端末や別回線でも確認する
- 復旧手順を手元に残す
こうしたひと手間が、あとで大きな安心につながります。
復旧方法を先に決めておく
設定前に復旧方法を考えるのは、後ろ向きではありません。
むしろ、落ち着いて作業するための前向きな準備です。
たとえば、次のような手段を用意しておくと安心です。
- サーバーのファイルマネージャーから設定を戻す
- FTPで対象ファイルを修正する
- バックアップから戻せるようにしておく
- 管理者どうしで連絡手段を共有しておく
もし入れなくなったらどう戻すかが見えているだけで、設定作業の怖さはかなり和らぎます。
自分に向いている? 向かない? 判断の目安
ここまで読んで、自分は本当にやるべきなのかと感じた方も多いと思います。そこで、判断しやすいように整理しておきます。
IPアドレス制限が向いている人
- 自宅や社内など、決まった場所から更新する人
- 担当者が少ないサイトを運用している人
- 管理画面への不要なアクセスを減らしたい人
- サーバーや設定にある程度触れられる人
IPアドレス制限が向かない人
- 外出先から頻繁に更新する人
- 複数拠点、複数人で運用する人
- 固定IPがなく、接続場所がよく変わる人
- 緊急時に復旧できる体制がない人
迷ったときの判断基準
| 状況 | おすすめの考え方 |
|---|---|
| 固定回線中心で少人数運用 | IPアドレス制限を前向きに検討しやすい |
| 外出先やスマホ更新が多い | 二段階認証やBasic認証を優先しやすい |
| 共同運用で拠点が多い | IP制限は弱めにして別対策を併用する |
| テスト環境や仮公開サイト | IPアドレス制限と相性がよい |
迷ったまま無理に導入するより、運用に合った形で守り方を選ぶほうが結果的に安心です。
よくある質問
WordPressのIPアドレス制限は、管理画面だけにかければ大丈夫ですか?
多くの一般公開サイトでは、WordPressのIPアドレス制限は管理画面やログイン画面を中心に考えれば十分なケースが多いです。サイト全体に制限をかけると、読者まで見られなくなるためです。まずはwp-login.phpとwp-adminを守るところから考えると、失敗しにくくなります。
WordPressのIPアドレス制限は、固定IPがなくても使えますか?
WordPressのIPアドレス制限は、固定IPがあるほうが運用しやすいです。固定IPがないと、自分のIPアドレスが変わってログインできなくなることがあります。そのため、固定IPがない場合は、Basic認証や二段階認証、ログイン試行制限などを組み合わせて考えるほうが現実的です。
WordPressのIPアドレス制限をかけると、機能に影響は出ますか?
WordPressのIPアドレス制限のかけ方によっては、管理画面まわりの一部機能に影響が出ることがあります。とくに、非同期通信を使う機能がある場合は注意が必要です。設定後はログイン確認だけで終わらせず、投稿画面や管理機能までひと通りチェックしておくと安心です。
まとめ|まずは運用に合う守り方を選ぶ
- WordPressのIPアドレス制限は、管理画面やログイン画面を守る基本的で効果的な対策です
- 向いているのは、固定回線中心で少人数運用のサイトです
- 方法は.htaccess、プラグイン、サーバー機能の3つが代表的です
- 固定IPがない環境や共同運用では、Basic認証や二段階認証との組み合わせが現実的です
- 設定後は別回線や別端末でも確認し、復旧方法まで用意しておくことが大切です
今日からできる最初の一歩は、だれが、どこから、どの回線でWordPressにログインしているのかを書き出してみることです。
この整理ができれば、自分のサイトにIPアドレス制限が向いているか、どの方法を選ぶべきかがぐっと見えやすくなります。
記事を読んだらコチラ
▼ ▼ ▼
