Written by mochi
WordPressの管理ページを狙った攻撃が続いています。ITmediaニュース記事ご参照。攻撃者は管理ページのログインユーザーIDとパスワードを総当りにして、ログイン情報を入手しWordPressサーバを制御可能にするのが目的です。対策としてログインのユーザーIDとパスワードを推測されにくく長くてランダムな値にする事が推奨されておりますが、「ホープムーン」では以下の方法で、管理ページにIPアドレス制限をかけることを推奨いたします。
IPアドレス制限をかけることで、このような攻撃から管理ページを完全に守ることができます。ユーザーIDとパスワードを変更する方法では、定期的にパスワードを変更する手間も大変です。固定IPアドレスでIP制限してセキュリティを高め、手間も省きましょう。
IP制限をかけるのは「/wp-admin/フォルダ」「wp-login.php」の2つです。
[/wp-admin/フォルダのIP制限]
/wp-admin/フォルダ内の.htaccessに、以下のようにVPNサーバーIPアドレスを許可する設定を行います。
これにより「固定IPモバイル」からのアクセスだけが、/wp-admin/フォルダにアクセスできるようになります。
order deny,allow deny from all allow from VPNサーバーIPアドレス① allow from VPNサーバーIPアドレス②
[wp-login.phpのIP制限]
wp-login.phpのあるフォルダ内の.htaccessに、以下のようにVPNサーバーIPアドレスを許可する設定を行います。
これにより「固定IPモバイル」からのアクセスだけが、wp-login.phpにアクセスできるようになります。
<Files "wp-login.php"> order deny,allow deny from all allow from VPNサーバーIPアドレス① allow from VPNサーバーIPアドレス② </Files>