wp-login.phpへのアクセスをある程度制限

先日のロリポップ騒動の記事でwp-login.phpへのアクセスを制限する…に、ついて。

また、対応ページにあるようにログインを固定IPからだけというのは現実的じゃないのではと思います。外出中に外から更新できないとノマドさんたちは即死です。またたいていの方はDHCPですのでルータを再起動するだけで変わってしまいます。日本最大のケーブルTVのJcomさんはたぶん固定IPのサービスがありません(自分もJcomなので調べたけどサイトに出てない・・)

引用元: 続) ロリポップのWordPress大量乗っ取りについての推測と対応 | More Access! More Fun!.

読んでて「じゃ、固定IPをやめて範囲を指定すれば良いんじゃネ？」と思った。アチキは職場と自宅が同じISPなんで、このプロバイダが使用しているIPアドレス範囲なら問題ないと思って。

まぁ、自分と同じISPからの攻撃は防げないけど、少なくとも外国からのアクセスは防げそうな気がする。ハッカーにかかればドメインやIPアドレス詐称は当たり前だったらどうしよう…。

ロリポップの対策を参考に、IPアドレスをドメイン名にし.htaccessに記述してみた。

—-ここから—–

Order deny,allow

Deny from all

Allow from 111.222.33.44

—–ここまで—–

引用元: 【重要】WordPressをご利用のお客様へ / 新着情報 / お知らせ – レンタルサーバーならロリポップ！.

間違ったらアクセス出来ませんので注意。そんときゃ.htaccessを書き換えて再アップする等しか無いでしょね。

※追記：確かめるためにいろいろやってみた。
職場ONUを再起動してISPから割り振られたIPアドレスを変えようと思ったら変わらなかった。タイミングが悪かった？のか、この実験はまた後日でもやってみよう。※追記：ルーターから回線切断、接続してIPアドレスが変わったのを見てログインしてみた→成功。

スマホ（N-06C）を職場でWi-Fi接続して標準ブラウザでログイン→できた。

同じくOpera miniでログインしようとするとエラー。なんで？
「確認くん」で接続情報を見てみると「Opera net」何々で、アチキが契約しているISPのものではなかった。ああ、なんか聞いたことがある。Opera miniはデータを圧縮するとか何とか。そのために専用の接続を経由しているのかな？