WordPress管理画面を不正アクセスから守る

投稿日:2015年11月13日
最終更新日:

WordPressを使用する場合は、セキュリティ対策も自分で施すことになります。そうなれば、管理画面への不正アクセス対策はしておきたいところです。このページで対策例を解説します。

目次

  • 防御すべき対象
  • .htaccess記述例
  • 注意点

防御すべき対象

WordPressで防御しなければならない箇所は、wp-login.phpになります。wp-login.phpに誰でもアクセスできる状態だと、ユーザー名とパスワードの総当たり攻撃で突破される可能性があります。wp-adminディレクトリには、管理する上で重要な機能が詰まっているので、やはり誰でもアクセスできる状況はよろしくありません(が、ログインしてないユーザーがアクセスしてきたら問答無用でwp-login.phpに飛ばすのでそこまで神経質にならなくても大丈夫です。)

今回は、防御対象について、.htaccessを用いてアクセス規制を敷きます。

.htaccess記述例

というわけで、早速.htaccess記述例です。 [VIM] #管理人のアクセスを判定する(Remote_Addr と Remote_HostのどちらかをセットすればOK) SetEnvIf Remote_Addr (自分のIPアドレス) wpadmin SetEnvIf Remote_Host (自分のホスト名 ダブルクォーテーションで囲うこと) wpadmin #アクセス制御の設定 order deny,allow #一旦全部拒否する deny from all #管理人のアクセスだけ許可する allow from env=wpadmin [/VIM] こんな感じの.htaccessファイルをwp-login.phpがあるディレクトリに配置すればOKです。自分のIPアドレスやホスト名は、診断くんで調べることができます。


こんな感じで診断結果が表示されるので、ここからIPアドレスやリモートホスト名を取得して設定します。基本的にはIPアドレスを記述すればいいです。IPアドレスが頻繁に変わる環境ならリモートホスト名での記述を検討…といったところでしょうか。

注意点

この設定により、記述していない環境からの管理画面へのアクセスは(たとえ自分のアクセスでも)遮断されます。サーバーのFTP(SFTP,SSHなどを含む)アカウントのログインパスを失った地点で、自分のアクセスもできなくなるも同然なので、少なくともサーバーのログインパスはきちんと管理しましょう(と言うか各種サービスのアカウント管理はきちんとしましょう)。

その他関連記事

  1. .htaccessを使ってファイルごとにアクセス制御を行う
  2. 特定のディレクトリ等でHTTP/1.0によるアクセスを遮断する方法 Apache2.4用
  3. WordPressのスパム対策 まとめのメモ
  4. PHPでREMOTE_HOSTを取得するために必要なApacheの設定
  5. WordPressからhttp/1.0スパマーを本気で追い出す
  6. Apache2.4での.htaccessによるアクセス制御
  7. .htaccessとは何か
投稿者名: Koguma

このブログを応援する・寄付する

当ブログでは暗号通貨による寄付を募っております。

モナゲボタン モナゲボタン

Bitcoin:

Monacoin:

Litecoin: