All In One WP Security & Firewall ロック解除方法
WordPressでセキュリティ対策してますか?
昨年秋頃、WordPressプラグインの脆弱性を突かれ不正アクセス被害に遭いました。それまでもセキュリティには気を使っていた(IPアドレス制限やログインURLを変更したり・・・)のですが、見事にやられたのです。
wordPressファイル内にファイルを仕込まれました。使っていたのはエックスサーバーだったのですが、同じ契約サーバー内にある違うサイトにも拡散したひどい状況でした。
エックスサーバーから
お客様のサーバーアカウントにおいて、
不正なファイル(ウイルス、マルウェアなど)の検出がございました。お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、
当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございます。
という通知がきてはじめてわかったのです。
復旧までには時間がかかりましたがそれはまたの機会にして、そんなことがあってよりセキュリティを強化せねばと選んだのが、「All In One WP Security & Firewall」です。
All In One WP Security & FirewallはWordPressを総合的にセキュリティを強化する機能が揃っているのですが気に入っているのは、WordPress内をスキャンし、変更があったファイルをメールで通知してくれる「FileChangeDetection」という機能です。
ファイルの変更・追加・削除をスキャンしてくれ、時間ごと、日にちごととスケジュールの指定もできるのです。同じようにファイルスキャンしてくれる他のプラグインもありましたがスケジュールまでは指定できませんでした。
このようなファイルスキャン機能の他、一定回数ログインを間違えるとロックされる機能も付いています。今回はこのロックダウンが起きた場合に解除する方法をメモとして残します。
WordPressへのログインに複数回失敗すると、ロックダウンイベントが起きます。ログインページは以下のように表示されます。
日本語では、「セキュリティ上の理由から、IPアドレスからのアクセスがブロックされています。 管理者に連絡してください。」というメッセージ。
これが出ると一定時間はログインできなくなるようです(実際の動作は未確認)
これを強制的にロック解除するためには・・・
1)スマホ経由のテザリングなどで違うIPからログインする
2)WPSecurityのダッシュボード>Locked IP Adressへ移動
3)自分がアクセスしたIPアドレス、ユーザー名を「unlock」または「deleate」する
※もしログインページへのアクセス制限をしている場合は、.htaccessを編集してアクセスするIPを追加する必要があります。
All In One WP Security & FirewallではロックされたIPアドレスの履歴を見ることができます。User Login > Failed Login Recordsから
また、自分のIPアドレスなどはロックされないよう、ホワイトリストにIPアドレスを登録しておくことができます。User Login > Login Lockdownの設定ページの下の方にホワイトリストを設定する部分があります。