ログイン画面のアクセス制限

2014-10-04

外部からのログイン画面へのアクセスをブロックします。ログイン画面にアクセスできなければパスワードクラックを試すことはできません。ログイン画面隠ぺいの補強という趣旨です。

なお、「編集スタッフが大勢いて…」というケースでは、自宅からの接続や退職後の接続はスタッフの良識に任せているというのがよくある話だったりします。隠ぺいを施しても、自宅や退職後の接続はリスクがあります。また過去には、Wordpress の脆弱性から「ログイン画面を通過せずに管理画面が開ける」問題もありました。

厳密には管理画面のアクセス制限になりますが、会社からしか接続できないように制限します。ちなみに wp-login.php に制限をするのではなく wp-admin ディレクトリに制限をかけます。

概要

ログイン画面へのアクセス制限は、.htaccess ファイルで行います。basic 認証(パスワード)による制限もできますが、ここでは IP アドレスによる制限を行います。

ちなみにサーバによっては IP アドレスによる制限が上手く機能しないなんてこともあったりします。もし改善しない場合は basic 認証(パスワード)による制限を行ってください。

手順

「 /bi400/si300/wp-admin/ 」に以下の .htaccess を設置します。

Order deny,allow
Deny from all
Allow from xxx.xxx.xxx.xxx(xは自社の IP アドレスに変更)
<FilesMatch "(admin-ajax.php)$">
Satisfy Any
Order allow,deny
Allow from all
Deny from none
</FilesMatch>

basic 認証(パスワード)による制限を行う場合です。

AuthUserFile /home/orangess/www/.htpasswd(パスワードファイルの場所)
AuthGroupFile /dev/null
AuthName "認証サイト"
AuthType Basic
require valid-user
<FilesMatch "(admin-ajax.php)$">
Satisfy Any
Order allow,deny
Allow from all
Deny from none
</FilesMatch>

作業が完了したら、wp-includes ディレクトリのアクセス制限を行います(次の記事に進んでください)。

関連リンク

レジュメ: WordPress 隠ぺい方法 完成図 : 隠ぺい方法はこちらからスタートしています。
隠ぺいの総仕上げ 完成時のビデオです。
WordPress の安全性を高める WordPress Codex(公式オンラインマニュアル)

Copyright© 2014 WordPress セキュリティ対策デモサイト - 隠ぺいによるセキュリティ対策 - All Rights Reserved.
オレンジセキュアサービス株式会社
千代田区神田佐久間河岸70 第二田中ビル5F
www.orange-ss.com