wp-includes ディレクトリのアクセス制限

2014-10-10

wp-includes ディレクトリ内のファイルに、改ざん事故を起こすような脆弱性が発見された時のために、wp-includes ディレクトリへのアクセスを制限します。もちろん、脆弱性さえなければ wp-includes ディレクトリへのアクセスを制限する必要はありません。脆弱性対策の補強という趣旨です。

なお、WordPress Ver3.7 から自動でアップデートが入ります。したがって脆弱性対策としては、アップデート、隠ぺい、アクセス制限の 3 本になります。

ちなみに厳密には wp-includes ディレクトリへのアクセスを一部制限することになります。完全に制限してしまうと例えばプラグインが正常に動作しないなど、不具合のオンパレードになります。あくまでも一部制限のため、アップデートが最も重要な対策です。

概要

wp-includes ディレクトリへのアクセス制限は、.htaccess ファイルで行います。一部の .php ファイルへのアクセスを制限します。

ちなみに誤解が生じないよう WordPress Codex(公式オンラインマニュアル)のままの記述にしてあります。他の対策と重複した記述がありますがこの影響はありません。

手順

「 /bi400/si300/ 」に以下の .htaccess を設置します。

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

作業が完了したら、wp-config.php のアクセス制限を行います(次の記事に進んでください)。

関連リンク

レジュメ: WordPress 隠ぺい方法 完成図 : 隠ぺい方法はこちらからスタートしています。
隠ぺいの総仕上げ 完成時のビデオです。
WordPress の安全性を高める WordPress Codex(公式オンラインマニュアル)

Copyright© 2014 WordPress セキュリティ対策デモサイト - 隠ぺいによるセキュリティ対策 - All Rights Reserved.
オレンジセキュアサービス株式会社
千代田区神田佐久間河岸70 第二田中ビル5F
www.orange-ss.com