こんにちは宮川(@miyakawa2449)です。
10回に分けてWordPressの脆弱性・改ざん対策を記事にしています。
前回は「3.WordPress ユーザーの強力なパスワードの設定方法」のお話でした。
今回はWordPressのログイン画面を守る方法を紹介します。
4.WordPressのログイン画面を守る2つの方法
WordPressのログイン画面へのアクセスするためのURLは非常に重要なので一般には公開するべきではありません。
そのためのURLを安易にアクセスできる状態にするのは控えた方がいいでしょう。
■ログイン画面への「ログイン」リンクを非公開にする
WordPressのブログのサイドバー(カテゴリーや、最新記事リストなど)の部分に上記画像のように「メタ情報」というものが表示されているブログをときどき見かけます。
メタ情報内の「ログイン」のリンク先はWordPressのログイン画面へのURLになっており、クリックすると次の画面が表示されます。
ログイン画面を晒す行為はメリットがないばかりか、ログイン画面を他人に触らせるというデメリットしかありません。
もしも、単純なユーザ名「admin」と、パスワードを「12345678」にしていたら乗っ取られてしまいます。
よって、サイドバーの「メタ情報」は公開しないほうがいいと私は考えます。
WordPressの知識がある人なら「メタ情報」を隠しても、ログイン画面の入り口のURLはすぐわかるので気休めでしかありませんが。
「メタ情報」をサイドバーから外す方法
「外観」メニューから「ウィジェット」を開いてください。
上記画像の右下「メタ情報」を開き、「削除」をクリックすれば「メタ情報」エリアがブログから外されます。
■ログイン画面URLへのアクセス制限(BASIC認証)をかける
「メタ情報」を外して、ログイン画面にアクセスするリンクを非公開にしても、URL自体は存在しています。
先ほども説明しましたが、ログイン画面のURLはWordPressに詳しい人は誰でも見つけることができます。
そこで、WordPressのログイン画面のURLにアクセスできないようにアクセス制限(BASIC認証)しておきましょう。
BASIC認証とは「ユーザー名」と「パスワード」を設置して、Web上のファイルやディレクトリにアクセスできないように制限をかけることをいいます。
BASIC認証を利用して、ログイン画面自体にアクセスできないようにします。
BASIC認証の設定方法は「BASIC認証 ジェネレータ」などでググると出てくるので都合のいいのを見つけてください。
参考までに私が設定している BASIC認証の参考例は次の通りです。
.htaccess ファイルの中身の例です。
この.htaccessファイルと .htpasswdファイルをWebサーバ上のWordPress関連ファイルを設置しているディレクトリのルートに設置しています。
<Files wp-login.php>
AuthName "Input ID & Password"
AuthType Basic
AuthUserFile /xxxxxxxx/.htpasswd
Require valid-user
</Files>
WordPressを設置しているディレクトリのルートに2種類のファイルを設置してます。
BASIC認証の検証
ブラウザのセッションをリセット(ブラウザの全てのウインドを全て閉じた状態にして)してから、WordPressのログイン画面のURLにアクセスしてください。
上記のようにBASIC認証の認証画面が表示されます。
BASIC認証用の「ユーザー名」と「パスワード」を正しく入力しログインすれば、WordPressのログイン画面にアクセスできるようになります。
BASIC認証に失敗すると次の画面が表示されます。
なお、BASIC認証の「ユーザー名」と「パスワード」はWordPressと同じ組み合わせにしないようにしてください。
コメント
[…] WordPressのログイン画面へのアクセスを制限する【8/3更新】 […]
[…] 前回は「4.WordPressのログイン画面へのアクセスを制限する」のお話でした。 […]