11月, 2014年

WordPress ログイン画面の暗号化(https)

2014-11-03

社内からのアクセスのみ管理画面へ通すため、確率的にはとても低いもののそれでもリスクは残ります。例えば社内のパソコンにウイルスが入り、パスワード漏えい及びリモートコントロールされるなど。そして通信を暗号化することはパスワードを秘密にし、不正なログインを防ぐ補強という趣旨です。

なお、よくある不正ログインによる改ざん事故は「 admin と簡単なパスワードの組み合わせ」と「 ID とパスワードの使い回し」です。暗号化をしないためにパスワードが漏えいすることは可能性としてあるものの確率的にはとても低いと言えます。

そこでレンタルサーバのプランによっては暗号化がサポートされていない( sftp も含め)なんてこともあり、できればプラン変更したほうが良いものの、もしプラン変更をしない場合は保有リスクとします。万が一、改ざん事故が起きた場合はパスワード漏えいを疑います。

概要

暗号化(https)を行うためのサーバの設定と WordPress の設定を行います。まずサーバの設定はお使いのレンタルサーバのマニュアルを読んでください。また WordPress 側の設定はどのレンタルサーバでも共通です。 wp-config.php を編集します。

ちなみにこのサイトではさくらインターネットさんのレンタルサーバ(共用プラン)を借りています。さくらインターネットさんでは https でアクセスするための SSL が無料で使えます(共有 SSL)。そして共有 SSL で利用可能な URL は「 https://初期ドメイン/ 」となります。初期ドメイン名が「 example.sakura.ne.jp 」である場合、共有 SSL を有効にすると「 https://example.sakura.ne.jp/ 」でアクセスできるようになります。このような暗号化(https)でアクセスするための設定をサーバに行います。

なお、WordPress の設定は wp-config.php の FORCE_SSL_LOGIN 定数を true にし、WordPress のログイン画面を https で受け付けるようにします。

これまでの記事で変更した WordPress をアップロードしていません(まだローカルで作業中です)。そのため、この作業の確認はアップロード後に行います。

手順

まずは https でアクセスできるよう、使っているレンタルサーバの共有 SSL を有効にします。 Google で「レンタルサーバ名 共有ssl」と検索すると簡単に調べられます。ちなみにですがレンタルサーバのプランによってはサポートされていないこともあります。よくわからない場合はレンタルサーバのサポートにお問い合わせください。
さくらインターネットさん
ロリポップさん
ヘテムルさん
エックスサーバさん
WebARENAさん

wp-config.php に以下の記述を追記します。なお、隠ぺいしているため「 /bi400/wp-config.php 」になります。

define('FORCE_SSL_LOGIN', true);

ちなみにログインするときですが、当サイト(さくらインターネットさん)であれば「 https://初期ドメイン.sakura.ne.jp/mission500/bi400/si300/wp-login.php 」にアクセスします。独自ドメインの URL は使いません。またまだローカルで作業中です。そのため、この作業の確認はアップロード後に行います。

作業が完了したら、【 公開前の準備 】編に移りましょう(次の記事に進んでください)。

関連リンク

レジュメ: WordPress 隠ぺい方法 完成図 : 隠ぺい方法はこちらからスタートしています。
隠ぺいの総仕上げ 完成時のビデオです。
管理画面での SSL 通信 WordPress Codex(公式オンラインマニュアル)

Copyright© 2014 WordPress セキュリティ対策デモサイト - 隠ぺいによるセキュリティ対策 - All Rights Reserved.
オレンジセキュアサービス株式会社
千代田区神田佐久間河岸70 第二田中ビル5F
www.orange-ss.com