WordPressを使ってサイトを作成すると、管理画面へのアクセスできるのが気になっておりました。
そこで、色々と調べてみた結果、以下のサイトを参考に「WordPressの管理画面へアクセスできなくする」方法を設定してみました。
もっと、良い方法があるのかもしれませんが、とりあえず編集する際は面倒ですが、とりあえず簡単に設定できましたので紹介します。
参考URLは、こちら。
WordPressのセキュリティを徹底強化 | CSSPRO
★インストールする際にできればやっておいた方がよい設定
WordPressをインストールすると、データベース内のテーブルに自分の好きなプレフィックス(接頭辞)を付けることが出来ます。
デフォルトでは全てのテーブルにwp_というプレフィックスが使われており、これを変更しなければ、ハッカーのお仕事を半分手伝ってしまったことになるそうです。
その為、変更することがお勧めだそうです。
この作業自体は、プラグインや手動でのWordPressインストール中にwp-config.phpを書き換える事により可能だそうです。
とりあえず、私は既にインストールしてしまっていたので、もっと簡単な方法を模索。
気になる方は、上記の「参考URL」を見てくださいね。
★「wp-config.php」ファイルの保護する。
wp-config.phpファイルはWordPress インストールで最も大切なファイルの1つだそうです。
ハッカーがWordPressデータベースへアクセスするのを容易にしてしまうような重要な管理権限が含まれているらしい。
それならば、保護しなければ!!
対策として、「.htaccess」ファイルに以下のコードを追記しましょう。
# protect wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
「.htaccess」ファイルはwwwのルートディレクトリにあるはずです。
なければ、ファイルを新規作成してください。
★ディレクトリ一覧の非表示する。
WordPress インストールには沢山のディレクトリがあります。
特に「wp-admin」ディレクトにはアクセスできないように設定しておいた方がよいと思います。
「wp-admin」ディレクトリに「.htaccess」ファイルを作り、以下のコードを加えることで、アクセスができなくなります。
Options –Indexes
なお、この変更を行うと、変更を行った特定のディレクトリの内のサブディレクトリへのアクセスが無効になります。
管理画面にアクセスする際は、一時的に上記のコードを削除しましょう。
★プラグイン(ログイン試行制限)を適用する。
「Login LockDown( target="_blank">http://wordpress.org/extend/plugins/login-lockdown/)」 WordPress pluginプラグイン
このプラグインを入れておくと、ログイン試行を失敗した特定範囲のIPアドレスをブロックします。
例えば、3回ログインに失敗すると、IPアドレスを1時間ブロックするといった設定ができます。
★ログイン画面をリダイレクトする。
「.htaccess」に以下のコードを追加して、wp-login.php のリダイレクト設定することで、ログイン画面自体が表示されなくなりますね。
Redirect permanent /topics/wp-login.php http://www.ts-ism.com/topics/index.php
これも、管理画面にログインする際に、一時的にコードを削除する必要がありますね。
★「.htaccess」自体を隠す
「.htaccess」ファイル自体が見えていたら意味ないので、以下のコードも追加しちゃいましょう。
AddHandler cgi-script htaccess
以上、つらつらと書いてみましたが、管理画面にログインする際、ちょっと面倒くさいかなぁ。
もっと、楽で簡単な方法を見つけたら、追記したいと思います。
0 件のコメント:
コメントを投稿