【アップデート情報】IP-LOGIN-RESTRICTOR v1.2.0 をリリースしました

WordPress のログイン画面は、常に攻撃対象になりやすいポイントです。 ブルートフォース攻撃、BOT による総当たり、WAF や VPN との相性問題……。

今回リリースした IP-LOGIN-RESTRICTOR v1.2.0 は、そうした「ログイン周りの不安」を シンプルかつ現実的に減らすためのプラグインです。

GitHub: https://github.com/taman777/ip-login-restrictor ※GitHub のURLを出しますが、ダウンロードはこの下にありますのでそちらをご利用ください。

このプラグインでできること

IP-LOGIN-RESTRICTOR は、その名の通り ログイン画面へのアクセスを IP アドレス単位で制限します。

• 許可した IP からのみ /wp-login.php にアクセス可能
• 許可されていない IP からのアクセスは即ブロック
• WordPress 本体やテーマを汚さず、安全に制御

「ID・パスワード以前のレイヤーで弾く」

これが最大のポイントです。

検証環境や限定公開を作りたいけれど、Basic認証だとログイン情報の共有が面倒…
→ この IP 制御機能なら「到達すらできない」形で環境を作れます。

なぜ IP 制限なのか

セキュリティ対策というと、

• CAPTCHA
• 二段階認証
• ログイン URL 変更

などが思い浮かびますが、 管理者が限られているサイトでは IP 制限が最もシンプルで強力です。

• BOT はそもそもログイン画面に到達できない
• WAF やサーバー負荷を減らせる
• プラグイン同士の相性問題が起きにくい

特に

自分しか管理画面に入らない 固定IPやVPNを使っている

という環境では、非常に相性が良い方法です。

v1.2.0 の主なアップデート内容

✅ フロント側のIP制御機能を追加

v1.2.0 で新たに追加したのが、フロント側（公開画面）への IP 制御機能です。

これにより、

• サイトのフロント画面自体を
• 特定の IP アドレスからのみ閲覧可能

という状態を作れるようになりました。

単なる「ログイン画面の保護」ではなく、 「触っていい人だけが触れる検証用・限定公開用の環境」 を作り出せるのがポイントです。

フロント側IP制御でできること

この機能を使うと、例えば以下のような使い方が考えられます。

• 制作途中のサイトを、クライアントや関係者だけに公開
• リニューアル前の検証環境を、社内メンバー限定で共有
• 開発中テーマ・プラグインの動作確認を、特定メンバーだけで実施
• 一般公開前のコンテンツを、事前チェック用に限定公開

いわば、

パスワード不要の「IP限定ステージング環境」

を、WordPress 側だけで実現するイメージです。

なぜ「フロント側IP制御」なのか

Basic認証やメンテナンスモードでも似たことはできますが、

• 認証情報の共有が面倒
• URL を知っていれば誰でも触れてしまう
• 一時的に外したつもりが戻し忘れる

といった事故も起きがちです。

IP 制御であれば、

• そもそも対象者以外は画面に到達しない
• 解除・有効化が明確
• WordPress の認証フローに干渉しない

というメリットがあります。

使いどころは「思った以上に多い」

今回の機能追加は、

ログイン制限だけではもったいないのでは？

という発想から生まれました。

フロント側を IP で制御できるようになると、

• 検証環境
• 限定公開
• 開発途中の一時共有

といった場面で、 WordPress をそのまま使いながら、安全なクローズド環境を簡単に作れます。

「これはいろいろ使いようがありそうだな……」

と感じた方は、ぜひ試してみてください。

実際のユースケース

最近よくあるのが、

• 一般的なWAFの動作（検知 → ブロック）
• ログインへの到達前に弾かれる理由

というケースです。

IP-LOGIN-RESTRICTOR を使って

• 管理用 IP を明示的に許可
• それ以外はログイン画面に入れない

という構成にしておくことで、

• 「自分だけは確実に入れる」
• 「それ以外は触らせない」

という状態を作れます。

ダウンロード

ダウンロードはこちらから、または GitHubのリリースページ からダウンロードできます。

※ GitHub からダウンロードする場合の説明は省略します。

WordPressログインIP制限プラグイン

1 ファイル 290.60 KB

ダウンロード

今回のプラグインはアップデート対応なので GitHub に新バージョンが出ればアップデートを促されます。

固定IPアクセスサービスは…　ロリポップ！固定IPアクセス

※ 以下のリンクは固定IPサービスの紹介　おすすめの サービス です！

固定IPがどこからでもすぐに使えて月額539円～｜ロリポップ！固定IPアクセス

月額539円〜で固定IPが即日利用可能。最大2ヶ月無料お試しあり。「ロリポップ！固定IPアクセス」は自宅・カフェ・出張先から固定IPアドレスを必要とする社内ネットワークへの接続ができます。複数人で同時利用対応。

固定IPがどこからでもすぐに使えて月額539円～｜ロリポップ！固定IPアクセス

注意点（正直な話）

このプラグインは 万人向けではありません。

• 管理者が複数いる
• IP が頻繁に変わる
• 外出先からよくログインする

といった環境では、運用が大変になります。

その場合は、二段階認証や他のセキュリティ対策の方が向いています。

「用途がハマる人にだけ、強く効く」

それが IP-LOGIN-RESTRICTOR です。

まとめ

IP-LOGIN-RESTRICTOR v1.2.0 は、

• ログイン画面という「一番狙われる場所」を
• 一番シンプルな方法で守る

ためのプラグインです。

派手な機能はありませんが、

余計なことをしない でも、やるべきことは確実にやる

そんなセキュリティ対策を求めている方には、 ちょうど良い選択肢になると思います。

今後も実運用で得た知見をもとに、 少しずつ改善していく予定です。