WordPress導入時にやっておく簡単セキュリティ
15分ほどの作業で簡単にWordPressのログイン画面への不正アクセスをブロックする設定と、プラグインです。
ログイン画面への不正アクセスが多いと、サーバーにも負荷がかかり、表示速度も落ちてしまいますので、海外からのログイン画面へアクセスを防ぎ、ログイン画面へのブルートフォースアタックも防ぐ設定をおこないます。
[myphp file="mod-ad"]
.htaccessで不正アクセスを防ぐ設定
海外からのログイン画面へのアクセスをブロックします。
さらに「wp-config」ファイルや「htaccess」ファイルへのアクセスをブロックします。
wp-configファイルをhtaccessで保護。
wp-config.phpのパーミッションを400や404などに変更する方法もありますが、htaccessで保護します。
下記のコードを.htaccessに記入します。
<files wp-config.php> order allow,deny deny from all </files>
海外からのログイン画面へのアクセスを拒否
ログを調べると、不正アクセスのほとんどが海外からのアクセスです。
wp-login.phpへは国内からのみアクセスできるように、htaccessに「allow from .jp」を記入します。
担当者のプロバイダーがYahoo!BBの場合は「allow from .bbtec.net」も記入します。
<Files wp-login.php> Order deny,allow Deny from all allow from .jp aloow from .bbtec.net </Files>
htaccessの保護
ついでに「htaccess」ファイルもアクセスできないように保護しておきます。
<Files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </Files>
セキュリティ系プラグイン
不正ログインをブロックするプラグインはいくつかありますが「SiteGuard WP Plugin」がお薦めです。
以前は「simple login lockdown」や「Acunetix Secure WordPress」など利用していましたが、「SiteGuard WP Plugin」だけで十分です。
セキュリティ系プラグインを入れすぎて、重くなるというのも本末転倒ですからね。
SiteGuard WP Plugin
「SiteGuard WP Plugin」はログインのURL変更や、ひらがなcaptcha認証などを簡単に設定できます。特にログイン画面のURL変更と、ひらがなcaptcha認証は効果的です。
設定も簡単なので導入コストもかからないでしょう。
不正アクセスのブロック数を表示
複合プラグイン「Jetpack」の「プロテクト」機能をONにすると、不正アクセスをブロックした回数が記録されていきます。
比較的簡単に導入できる不正アクセス対策ですので、セキュリティ対策の打一歩としておこなってみてはいかがでしょうか。