ロリポップ!から「不正なアクセスを検知いたしました」というメールが来て、ちょっとビビったローカルブロガーの小梅太郎(@koume_taro)です。
昨年、大規模なサイト改ざんの問題があったりもしたので、こういう連絡がくるとドキドキしてしまいますよね。
メールの内容は次の通りです。
アクセスの内容より、総当たり攻撃や辞書攻撃など、WordPress への
不正なログインを試みるアクセスの可能性が高いと判断されたため、
弊社側で .htaccess による wp-login.php へのアクセス制限を実施し、
WordPress ダッシュボードへのログインができないよう対応を行っております。
とのことで、つまりはロリポップのほうで、不正なアクセスを検知したのでその対応をしてくれたわけですね。
実際にWordPressのダッシュボードへログインしようとすると、このような画面が表示されます。
この件については、昨年のロリポップからのこちらのお知らせによるもののようですね。
→WordPressへの攻撃に対する検知・防御機能を導入いたしました – 2013年11月22日 / 新着情報 / お知らせ – レンタルサーバーならロリポップ!
ただ、WordPressのダッシュボードへのログインが急にできなくなってしまうのは、初心者的には正直焦ってしまいます。
で、肝心のWordPressにログインできるようにするための方法については、自分で.htaccess を編集しアクセス制限を解除する必要があるとのことです。
.htaccess を編集しアクセス制限を解除する
.htaccessの編集方法については、ロリポップでマニュアルを用意してくれています。
(メールに「WordPressの.htaccess編集方法」というリンクがあって、そのリンク先になります)
WordPressの.htaccess編集 / ブログ / マニュアル – レンタルサーバーならロリポップ!
ちなみに、ロリポップのユーザー専用ページに行っても、緊急連絡として、その旨が書かれてるんですよね。
実際の編集作業ですが、今回はマニュアルの通り、「ロリポップ!FTP」にて作業しました。
.htaccessファイルは、WordPressフォルダの直下にあり、 それをクリックして開くと、下の方に「Allow from IPADDRESS」を含む記述があります。
# BEGIN Lolipop [ http://lolipop.jp/manual/blog/wp-htaccess/ ] <Files wp-login.php> ErrorDocument 403 /lolipop_service_documents/wp-login-deny.html Order deny,allow Deny from all Allow from IPADDRESS </Files> # END Lolipop
ロリポップのマニュアル内には接続元、つまり自分のIPアドレスが表示されているので、「IPADDRESS」の部分をその接続元IPアドレスに変更して、保存すればOKですね。作用は単純ですが、ファイルの扱いは慎重に。
(画像はマニュアルより)
これで、WordPressにログインできるようになりました。ホッ!
マニュアル内には、
・複数の端末からアクセスする場合
・アクセスするIPがすぐに変わってしまう場合
についての説明もあるので参考までに。
【おまけ】
実はメールが来てからしばらくは、何事も無かったように普通にログインできてて、これはこれで何でだろう?って感じでよく分からなかったので、ロリポップに質問しちゃったんです。(すぐ返事がきたのはさすがです)
返答では、それはキャッシュが残っているためでは、ということだったのですが、実はキャッシュを空にしても、その後も相変わらずログインできてたんですよね。
何でログインできているのかという、別にログインできるのはいいものの(汗)、これはこれで何だかすっきりしない状態だったのですが、9日後、いつものようにアクセスしたら、何の前触れもなく、いきなり接続できなくなって、今回の編集作業をしました。
う〜ん、いったいなんだったんだろう。