WordPress脆弱性・改ざん対策 − 4.WordPressのログイン画面を守る2つの方法

▲10回シリーズの目次へ戻る

こんにちは宮川(@miyakawa2449)です。

10回に分けてWordPressの脆弱性・改ざん対策を記事にしています。

前回は「3.WordPress ユーザーの強力なパスワードの設定方法」のお話でした。

今回はWordPressのログイン画面を守る方法を紹介します。

4.WordPressのログイン画面を守る2つの方法

WordPressのログイン画面へのアクセスするためのURLは非常に重要なので一般には公開するべきではありません。

そのためのURLを安易にアクセスできる状態にするのは控えた方がいいでしょう。

■ログイン画面への「ログイン」リンクを非公開にする

メタ情報

WordPressのブログのサイドバー(カテゴリーや、最新記事リストなど)の部分に上記画像のように「メタ情報」というものが表示されているブログをときどき見かけます。

メタ情報内の「ログイン」のリンク先はWordPressのログイン画面へのURLになっており、クリックすると次の画面が表示されます。

ログイン画面

ログイン画面を晒す行為はメリットがないばかりか、ログイン画面を他人に触らせるというデメリットしかありません。

もしも、単純なユーザ名「admin」と、パスワードを「12345678」にしていたら乗っ取られてしまいます。

よって、サイドバーの「メタ情報」は公開しないほうがいいと私は考えます。

WordPressの知識がある人なら「メタ情報」を隠しても、ログイン画面の入り口のURLはすぐわかるので気休めでしかありませんが。

「メタ情報」をサイドバーから外す方法

ウィジェット画面

「外観」メニューから「ウィジェット」を開いてください。
上記画像の右下「メタ情報」を開き、「削除」をクリックすれば「メタ情報」エリアがブログから外されます。

■ログイン画面URLへのアクセス制限(BASIC認証)をかける

ログイン失敗例

「メタ情報」を外して、ログイン画面にアクセスするリンクを非公開にしても、URL自体は存在しています。

先ほども説明しましたが、ログイン画面のURLはWordPressに詳しい人は誰でも見つけることができます。

そこで、WordPressのログイン画面のURLにアクセスできないようにアクセス制限(BASIC認証)しておきましょう。

BASIC認証とは「ユーザー名」と「パスワード」を設置して、Web上のファイルやディレクトリにアクセスできないように制限をかけることをいいます。

BASIC認証を利用して、ログイン画面自体にアクセスできないようにします。

BASIC認証の設定方法は「BASIC認証 ジェネレータ」などでググると出てくるので都合のいいのを見つけてください。

参考までに私が設定している BASIC認証の参考例は次の通りです。

.htaccess ファイルの中身の例です。
この.htaccessファイルと .htpasswdファイルをWebサーバ上のWordPress関連ファイルを設置しているディレクトリのルートに設置しています。

<Files wp-login.php>
AuthName "Input ID & Password"
AuthType Basic
AuthUserFile /xxxxxxxx/.htpasswd
Require valid-user
</Files>

ファイル設置例

WordPressを設置しているディレクトリのルートに2種類のファイルを設置してます。

BASIC認証の検証

BASIC認証画面例

ブラウザのセッションをリセット(ブラウザの全てのウインドを全て閉じた状態にして)してから、WordPressのログイン画面のURLにアクセスしてください。
上記のようにBASIC認証の認証画面が表示されます。

BASIC認証用の「ユーザー名」と「パスワード」を正しく入力しログインすれば、WordPressのログイン画面にアクセスできるようになります。

BASIC認証に失敗すると次の画面が表示されます。

ログイン失敗例

なお、BASIC認証の「ユーザー名」と「パスワード」はWordPressと同じ組み合わせにしないようにしてください。

▲10回シリーズの目次へ戻る

“WordPress脆弱性・改ざん対策 − 4.WordPressのログイン画面を守る2つの方法” への2件のコメント

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です