手持ちのWordPressサイトにプラグイン「Limit Login Attempts Reloaded」を入れてあるのですが、
- 連続して3回ログイン失敗したらブロックする
- ブロックした旨をメールする
という設定にしてあり、www.limitloginattempts.comから以下のようなメールが届きました。
■メールの件名
Failed login by IP 34.74.247.252 www.limitloginattempts.com
■メール内容
This notification was sent automatically via Limit Login Attempts Reloaded Plugin.
This is installed on your ほにゃらら.com WordPress site.
The failed login details include:
9 failed login attempts (3 lockout(s)) from IP 34.74.247.252
Last user attempted: ほにゃらら
IP was blocked for 24時間
Please visit your WordPress dashboard for additional details, investigation options, and help articles.
IPアドレス:34.74.247.252 を調べてみると
Hostname:252.247.74.34.bc.googleusercontent.com とあるように、252.247.74.34.bc.googleusercontent.com からの不正アクセスであることがわかりました。
また、ISP:Google LLCと書いてありますが別にGoogle関係がアクセスして来ているわけではなく、誰かがGoogle Cloud web hosting のサービスを利用して、不正アクセスしているだけです!
さらに色々調べると、252.247.74.34.bc.googleusercontent.com 以外にも、252.247.74.34の箇所だけが違う ◯.◯.◯.◯.bc.googleusercontent.com からの不正アクセスが世界中で多数報告されてるみたいでした。
そこで今回は、◯.◯.◯.◯.bc.googleusercontent.com を全部まとめてブロックする3つの方法をご紹介します。
■注意■
3つのやり方をご紹介しますが3つとも設定する必要はなく、基本的にはどれか1つの方法で設定すればOKです。
もちろん念の為に3つとも設定しておいても問題ありません。
私は、
- 2つ目の、WordPressのプラグイン「Limit Login Attempts Reloaded」でブロックする
- 3つ目の、Cloudflareのセキュリティ ルール(旧:WAF)でブロックする
の2つでブロックする設定にしてあります。
.htaccessでブロックする
.htaccessの先頭に以下の記述を追記します。
■◯.◯.◯.◯.bc.googleusercontent.com だけを全部まとめてブロックする場合※■仮です。
#■不正アクセス・怪しいアクセスをブロック
order allow,deny
allow from all
deny from *.bc.googleusercontent.comorder allow,denyのやり方は古いので、もしかしたらうまく動かないかもしれません。
その場合は以下の記述に変更してください。
※お使いのサーバーが比較的新しいApache 2.4以降の場合、以下の記述のほうが良いみたいです。
#■不正アクセス・怪しいアクセスをブロック
<IfModule mod_authz_core.c>
<RequireAll>
Require all granted
Require not host .*\.bc\.googleusercontent\.com
</RequireAll>
</IfModule>これでも良いのですが、色々調べると、◯.◯.◯.◯.bc.googleusercontent.com以外にも
service.●ローマ字4つ + 数字1つ●.com
◯.◯.◯.◯.static.netvigator.com
も不正アクセスの常連みたいですので、
*.bc.googleusercontent.com
service.*.com
*.static.netvigator.com
の3つまとめてブロックするほうが良いかと思います。
↓
■それ以外の怪しいアクセスもまとめてブロックする場合※■こっちがオススメです。
#■不正アクセス・怪しいアクセスをブロック
order allow,deny
allow from all
deny from *.bc.googleusercontent.com
deny from service.*.com
deny from *.static.netvigator.com同様にorder allow,denyのやり方は古いので、もしかしたらうまく動かないかもしれません。
その場合は以下の記述に変更してください。
※お使いのサーバーが比較的新しいApache 2.4以降の場合、以下の記述のほうが良いみたいです。
#■不正アクセス・怪しいアクセスをブロック
<IfModule mod_authz_core.c>
<RequireAll>
Require all granted
Require not host .*\.bc\.googleusercontent\.com
Require not host service\..*\.com
Require not host .*\.static\.netvigator\.com
</RequireAll>
</IfModule>WordPressのプラグイン「Limit Login Attempts Reloaded」でブロックする
私はWordPressサイトでは必ずプラグイン Limit Login Attempts Reloaded をインストール・有効化してあります。
今回は「Limit Login Attempts Reloaded」での不正アクセス拒否設定の方法をご説明しますが、他のセキュリティプラグインでも基本的には同じ(あるいは似たような)手順かと思います。
「Limit Login Attempts Reloaded」の設定その1
「Limit Login Attempts Reloaded」をインストール・有効化したら、WordPress管理画面の左側の管理メニュー → Limit Login Attempts Reloaded → 設定にて、以下のように設定します。
画像クリックで拡大できます。※お使いの端末の横幅に準じます。
↓
■ローカルアプリ
【ロック】
3回までリトライを許可する
20分間ロックする
3回ロックされると24時間ロックする
24時間でリトライ数をリセットする
【信頼できる IP Origin】
●ご自身のパソコンのIPアドレスとか●, REMOTE_ADDR
例、123.456.789.000, REMOTE_ADDR
ご自身のパソコンのIPアドレスは
で確認できます。
「Limit Login Attempts Reloaded」の設定その2
次に、設定の右側のログ(WordPress管理画面の左側の管理メニュー → Limit Login Attempts Reloaded →ログ)にて、以下のように設定します。
【セーフリスト】
「1行につき1つの IP アドレス、またはIPアドレス範囲 (1.2.3.4-5.6.7.8) を入力 」の下の欄に
●ご自身のパソコンのIPアドレスとか●
【拒否リスト】
■「1行につき1つの IP アドレス、またはIPアドレス範囲 (1.2.3.4-5.6.7.8) を入力 」の下の欄に
34.74.0.0 - 34.74.255.255
をコピペして「設定を保存」をクリック
※上記設定は 34.74.247.252 関連のIPアドレスのみです。
◯.◯.◯.◯.bc.googleusercontent.com からの不正アクセスに関してだけなら上記でOKなんですが、後述の【拒否リスト】のデータは、私の手持ちのWordPressサイト複数サイトに過去に不正ログインしようとしたIPアドレス・ユーザー名のリストです。
私の手持ちのWordPressサイト複数サイトに不正ログインしようとした人物?が今まで使用した
- IPアドレス
- ユーザー名
の全リストなので、問答無用で【拒否リスト】に登録しちゃってOKです。
■注意■
後述の【拒否リスト】に関して、2026.3.19以降の追加ぶんは、
私の手持ちのCloudflareアカウントA・B・Cの管理画面の設定 → セキュリティ → Analyticsのログを
- マネージドチャレンジ
- ブロック
でエクスポートし、つまりエクスポートした6つのログを集計して、
- 5回以上アクセスした記録がある
- /wp-admin/ にアクセスした記録がある
- /xmlrpc.phpにアクセスした記録がある
- /wp-login.phpにアクセスした記録がある
というような、明らかに不正アクセスした記録が残っているIPアドレスを抽出し、それを【拒否リスト】のIPアドレスに追加してあります。
なお、ゼロトラスト導入後WordPress管理画面まで到達して不正にログイン試行したアクセスが皆無なので、【拒否リスト】のユーザー名のほうは今後追加するものは発生しないかと思います。
■2026.3.22 追記■
私の場合はCloudflareのWAF(独自追加したセキュリティルール)で適切に処理されていて、
- 不正野郎のIPアドレス
- 怪しいIPアドレス
はおそらくほぼ完璧に近い状態でマネージドチャレンジあるいはブロックされています。
・
・
・
という私の現状にもかかわらず、(たまにCloudflareのWAFのログを確認して)上記条件に該当した
- 不正野郎のIPアドレス
- 怪しいIPアドレス
をLimit Login Attempts Reloadedの拒否リストへ登録している理由は単に念のため・予備の予防策なだけなんですが、
- Limit Login Attempts Reloadedの拒否リスト、あるいは .htaccess
等で自分で手動追加して拒否するやり方は延々とイタチごっこなので賢いやり方ではないので、今後は滅多に下記登録データは更新しないかもです。
m(_ _)m
Cloudflareのセキュリティルールに自分で適切なルールを追加した上でCloudflareのWAFに任せるのが楽ちん、かつ、漏れが少ないかと思います。
【拒否リスト】※2026.6.18時点
■「1行につき1つの IP アドレス、またはIPアドレス範囲 (1.2.3.4-5.6.7.8) を入力 」の下の欄に
4.193.168.228
4.193.177.110
4.204.204.10
4.227.232.143
4.232.80.255
4.232.184.93
13.79.87.25
13.112.74.63
20.9.25.20
20.12.202.181
20.63.209.197
20.68.10.178
20.84.63.27
20.100.177.179
20.120.18.145
20.151.2.122
20.163.110.166
20.197.28.155
20.197.232.12
20.205.120.43
20.205.226.191
20.205.227.70
20.211.123.94
20.214.137.177
20.216.146.160
20.219.138.200
20.220.15.47
20.222.18.47
20.226.2.115
20.226.116.19
20.250.14.139
23.101.8.77
34.10.237.12
34.19.52.106
34.26.30.12
34.42.34.237
34.42.58.208
34.42.193.224
34.46.69.141
34.46.107.224
34.58.124.86
34.59.12.236
34.74.0.0 - 34.74.255.255
34.90.252.174
34.122.16.212
34.123.82.129
34.138.198.0
34.146.5.155
34.146.20.135
34.168.247.255
34.169.250.159
35.78.95.114
35.233.133.156
37.140.223.242
38.80.119.222
40.69.27.251
40.69.61.115
40.76.137.160
40.113.19.56
40.114.79.135
45.92.229.50
45.94.31.0 - 45.94.31.255
45.94.58.22
45.130.83.40
45.131.193.80
45.132.115.249
45.156.87.138
46.101.111.185
51.79.18.6
51.79.180.235
51.83.2.135
51.178.81.248
52.138.39.105
52.169.5.4
52.169.20.82
52.169.166.70
52.243.57.116
60.111.52.180
64.89.162.33
64.89.163.29
68.183.180.73
82.102.18.182
89.42.154.60
93.123.109.152
94.156.152.43
100.52.195.126
103.59.161.173
103.125.146.0 - 103.125.146.255
103.163.220.0 - 103.163.221.255
104.234.53.70
104.238.222.26
104.248.163.215
107.180.112.0 - 107.180.119.255
109.205.176.96
116.48.143.166
118.139.176.86
118.179.82.165
120.77.84.25
122.17.135.89
123.57.95.146
129.80.234.214
130.195.241.9
132.243.161.99
142.93.143.8
142.93.211.25
143.244.57.82
143.244.57.120
146.70.40.70
146.70.178.164
146.103.126.160
146.190.63.248
149.88.110.48
150.242.200.204
156.228.98.212
157.245.50.177
157.254.225.15
159.89.202.235
159.223.33.61
159.223.49.50
162.55.149.149
162.158.170.121
162.240.238.246
172.94.9.253
172.173.67.22
172.190.142.176
173.239.211.16
173.239.240.17
173.244.42.153
185.177.72.17
185.177.72.52
193.37.32.228
194.61.40.15
194.61.40.51
195.3.220.7
198.235.24.25
203.25.124.209
207.148.72.213
216.73.160.90
2a01:4f9:6b:291e::2
2a06:98c0:3600::103
2602:fb54:1400::193
2804:93c:ffd5:8700:10e6:c934:1b90:c8d0
■注意■
上記IPアドレスの登録数が仮に1000件を超えるような数になった場合、適切にキャッシュ設定をしていない場合は表示速度に悪影響があります。
■(当サイトのように)CloudflareでHTMLファイルをキャッシュしている、かつ、ゼロトラストあるいは適切なセキュリティルール(CloudflareのWAF)で弾いている場合
●フロントページの表示速度:一切問題なし(0%影響)
Cloudflareのエッジキャッシュが HTML を返すため WordPress が動かない → Limit Login Attempts Reloaded の拒否リストは参照されないので影響は一切ありません。
●WordPress管理画面の表示速度:ほぼ問題なし(0~1%影響)
管理画面はキャッシュされないため WordPress は動く。しかし、ゼロトラストあるいはセキュリティルールが攻撃者を完全に弾く → 不正なWordPressログイン試行がほぼゼロ → Limit Login Attempts Reloaded の拒否リストの参照がほぼ発生しません。
というか私の場合、WordPress上では不正なWordPressログイン試行はかなり昔からずっとゼロ件です。
Cloudflareのセキュリティルールにより、WordPress到達前に不正アクセスはブロック・不審なアクセスはマネージドチャレンジです。
&
ゼロトラスト導入済みなので、そもそも私以外はWordPressログインURLおよび管理画面にアクセスできないです。

■CloudflareでHTMLファイルをキャッシュしているが、ゼロトラストあるいは適切なセキュリティルール(CloudflareのWAF)で弾いていない場合
●フロントページの表示速度:一切問題なし(0%影響)
CloudflareがHTMLファイルをキャッシュしている限り、フロントページは WordPress が動かないため影響ゼロです。
●WordPress管理画面の表示速度:影響が出る可能性あり(小〜中)
管理画面はキャッシュされない。攻撃者が /wp-login.php に大量アクセス → Limit Login Attempts Reloadedが拒否リストを頻繁に参照 → 拒否リストが多いほど PHP の処理が増える → WordPress管理画面が遅くなる可能性があります。
※ただし Cloudflare の WAF がある程度働いていれば、影響は軽微に収まるはずです。
■Cloudflareは使っていないが、サーバーキャッシュあるいはキャッシュ系プラグインで適切なキャッシュ設定にしてある場合
●フロントページの表示速度:一切問題なし(0%影響)
HTMLファイルがキャッシュされて返されるため WordPress が動かない → Limit Login Attempts Reloaded の拒否リストは参照されないので影響は一切ありません。。
●WordPress管理画面の表示速度:多少影響あり(1〜5%)
管理画面はキャッシュされない → WordPress が毎回動く → Limit Login Attempts Reloaded の拒否リストも毎回ロードされる → 拒否リストが多いほど負荷が微増。ただし、Limit Login Attempts Reloaded の処理は軽量なので“体感ではほぼわからない程度の負荷です。
■Cloudflareも使ってない上に、サーバーキャッシュ・キャッシュ系プラグインも使っていない場合(最悪の構成)
●フロントページの表示速度:遅くなる可能性大
すべてのアクセスで WordPress が動く → Limit Login Attempts Reloaded の拒否リストを毎回参照する → 拒否リストが多いほどフロントが遅くなります。
●WordPress管理画面の表示速度:確実に遅くなる(影響大)
すべてのアクセスで WordPress が動く → Limit Login Attempts Reloaded の拒否リストを毎回参照する → 拒否リストが多いほどWordPress管理画面が重くなります。
■「1行につき1人のユーザー名を入力」の下の欄に
03agmail-com
abdullah
admin
alimadmin
as92yas92
aszameitat
bbsommelier
bustle
erdalayfer97_par6041g
juluma
khk
konsaru33997711
limi
mdteditor
mens-esthe-guide
msengera
nception1
petra-van-kleef
q2epajg8en
revizto-jp
rottmufaddal53
shahzed
sharp
snooozer
somosvendelo-com
soramame0426
theprayerplacemeridian_0wxh3e
ticksy_test
xesaiuocnjliouhstr
yoshito
yurany
をコピペして「設定を保存」をクリック
■注意■
「1行につき1人のユーザー名を入力」の箇所は、(必要に応じて)ご自身のユーザー名を除いて登録してください。
「admin」も記述してありますのでご注意ください。
まさかWordPressでログインユーザー名を「admin」に設定して使ってないですよね?ねっ!!
■参考■
私の手持ちのWordPressサイトの全サイトに
でのWAF(私独自の強固なセキュリティルール)、および
を導入済みなので、しばらく前からWordPress管理画面への不正アクセスはゼロ件です。
たまに気が向いた時にCloudflareのセキュリティログを確認して、気になった
- 不正アクセスと断定できるIPアドレス
- 不正アクセスの可能性が超高いIPアドレス
を念のため「Limit Login Attempts Reloaded」の拒否リストに登録更新していますが、そもそもCloudflareの時点でブロックあるいはマネージドチャレンジになっているのでサーバーに到達していません。
そのため、上記拒否リストへの登録判断は入念にチェックしているわけではなく、漏れはかなりあります。
■Cloudflareのセキュリティログ
■CloudflareのWAF(私独自の強固なセキュリティルール)
不正アクセスをしっかり防止したい場合は
でのWAF(私独自の強固なセキュリティルール)、および
をご検討ください。
上記2つのパッケージにてWordPressサイトへの不正アクセスはほぼ完璧に防げるようになると思いますが、(万が一の時のために)WordPress内の各種セキュリティ設定もしっかりと設定しておくことも必要です。
【オススメ】Cloudflareのセキュリティ ルール(旧:WAF)でブロックする
Cloudflareで不正アクセスをブロックするのが1番オススメです。
なぜなら、
- .htaccessでブロックする
- WordPressのプラグイン「Limit Login Attempts Reloaded」でブロックする
の2つは、サーバーにアクセスがあった時点で処理してアクセス拒否・アクセスブロックするので、サーバーのリソース(CPUなりメモリなり)を使います。
それに対してCloudflareのセキュリティ ルール(旧:WAF)でブロックする場合は、サーバーの手前でブロックします。
参考:当サイトのこのページの 【参考】色々なキャッシュについて の箇所
しかもCloudflareでのアクセス拒否は、設定が超簡単かつ拒否手順が豊富です。
■Cloudflareでのアクセス拒否の設定手順
Cloudflareの管理画面にログイン → アカウントホームにて、該当ドメインを選択 → 画面左側にあるメニューにて、セキュリティ → セキュリティ ルール(旧:WAF)にて、「+ルールを作成」 → カスタムルールをクリックして以下のように作成・設定します。
■カスタム ルールを編集する
ルール名:■不正アクセス・怪しいアクセスをブロック
フィールド:ホスト名
オペレーター:ワイルドカード
値:*.bc.googleusercontent.com
or
フィールド:ホスト名
オペレーター:ワイルドカード
値:service.*.com
or
フィールド:ホスト名
オペレーター:ワイルドカード
値:*.static.netvigator.com
「式を編集」なら、「式を編集」をクリック
↓
(http.host wildcard "*.bc.googleusercontent.com") or (http.host wildcard "service.*.com") or (http.host wildcard "*.static.netvigator.com")を入力して、「式ビルダーを使用」をクリックするだけで全て入力できます。
アクションを選択する:ブロック
場所:最初
「デプロイ」をクリック
Cloudflareなら、簡単に設定してアクセス拒否できる上、サーバー到達前にアクセス拒否するので余計なサーバーリソースを使わなくて済みます。
拒否の条件は、必要に応じてIPアドレスその他たくさんの条件が設定可能です。
*.bc.googleusercontent.com
service.*.com
*.static.netvigator.com
の不正アクセスを拒否する3つの方法は以上です。