こんにちは。
ブリュの公式ブログ.netにお越しいただきまして、ありがとうございます。
このサイトは、IT関係について説明しています。
今回は、WordPressの強固な壁として、.htaccessによるセキュリティを紹介します。
管理画面へのアクセス制限は、たとえユーザー名とパスワードが漏洩したとしても最後の強固な壁になりますし、wp-config.phpへのアクセスを禁止することは、WordPressのデータベースへの攻撃を防ぐことができます。
目次
WordPressのパスワードが漏れたら?最後の砦はIPアドレス制限!
WordPressのユーザー名が漏洩し、パスワードも盗聴され、ログイン画面もバレているとき、最後の砦となるのがIPアドレス制限です。
このIPアドレス制限があれば、WordPressのログイン画面に移動することができなくなるため、ブラウザ上からの突破は不可能になります。
もしも、パスワードが漏れた心当たりがあれば、パスワード変更を行う余裕が生まれるので、WordPressのセキュリティをかなり高めることができます。
なお、.htaccessは、サーバーの挙動を制御するファイルです。
書き間違えるとサイトが表示されなくなるので、かならずバックアップを取ってから作業してください。
ログイン画面へのIPアドレス制限方法
.htaccessでのIPアドレス制限は、ドメイン直下の.htaccessに次の記述をしてください。
|
1 2 3 4 5 |
<Files "wp-login.php"> order deny,allow deny from all allow from ご自身のIPアドレス </Files> |
この記述をすることで、サイト内のwp-login.phpという名前のファイルには、指定したIPアドレス以外のユーザーはアクセスできなくなります。
あなたのIPアドレスは、以下の数字です。
→IPアドレスが表示されてビックリされた方は、「IPアドレスを取得されることは安全上何の問題もない。」をご覧ください。IPアドレスは公開情報であり、誰でも取得できます。
個人情報が洩れる心配もありません。
インターネットを利用するうえでの知識が増えますよ。
試しに、自宅のIPアドレスを登録し、WiFiを切断したスマートフォンでログイン画面にアクセスしてみてください。
自宅のPCからはWordPressのログイン画面へアクセスできますが、スマートフォンでWordPressのログイン画面にアクセスすると、「403」エラーが返ると思います。
「403」は「アクセス禁止」を意味するため、ハッカーもあきらめて帰ってくれるでしょう。多分。
このログイン画面へのIPアドレス制限により、万が一ユーザー名やログインパスワードが漏れたとしても、IPアドレスの制限に引っ掛かり、ログイン画面への到達を防ぎます。
最後にして最強の壁です。
この方法のデメリットとしては、固定IPアドレスの環境でない場合には使うことは困難です。
また、旅行先の無料WiFiなどで、自分自身もブロックされます。
wp-config.phpへのアクセスを禁止し、データベースへのハッキングを防止する
WordPressは、データベースを狙われてもまずいです。
ドメイン直下にWordPressをインストールしている場合には、http://example.com/wp-config.phpを悪用されると、データベースの情報が筒抜けになります。
データベースにアクセスされ、破壊されると、WordPress本体が無事であってもサイトは完全に破壊されます。
これを防ぐ方法として、wp-config.phpへの外部からのアクセスを禁止します。
.htaccessに次のように記述してください。
|
1 2 3 4 |
<files "wp-config.php"> order allow,deny deny from all </files> |
これによって、wp-config.phpへの外部からのアクセスを禁止することができます。
試しに、ご自身のwp-config.phpにアクセスしてみてください。
上記のコードを書く前には真っ白な画面が表示されていますが、コードを書き加えると403のエラーが返ると思います。
これで、自分自身も含めた外部からwp-config.phpへアクセスすることが不可能になるので、必ず設定しておきましょう。
なお、wp-config.phpは、WordPressとデータベースを紐づけるファイルです。
自分自身がアクセスできないと困るのでは・・・と思うかもしれませんが、サーバー内部での処理におけるアクセスは許可しているので安心してください。
また、WordPressの動作時には、サーバー内部からアクセスしているファイルなので、間違っても削除だけはしないように注意してください。
削除すると、データベース情報の再設定が必要になり、ちょっと面倒な作業になります。
ここまで行えばセキュリティは、ほぼ完ぺき!?
ここまでセキュリティを行えば、リスクは限りなく小さくなります。
ログイン画面の突破は、ご自身のIPアドレスでのみ許可しているので、ご自身のパソコンが誰かに遠隔操作されない限りは大丈夫です。
そのため、ウイルスセキュリティソフトは、しっかりとしたものを購入しましょう。
※私はノートンを使っています。
ただし、ログイン画面へのIPアドレス制限は最後の砦なので、WordPressのログインパスワードは予測されにくいものを使うなどの基本対策はしっかり行ってくださいね。
wp-config.phpをブロックすれば、データベースへのアクセスも限りなく低くなります。
そのほかの突破手段としては、FTP自体への突破でしょう。
FTPもIPアドレスによるアクセス制限を行うことが可能なので、合わせて行うといいでしょう。
ロリポップ!では、管理画面からアクセス制限が行えるので、便利です。
ロリポップ!以外を利用している場合には、FTPアクセス時のルートディレクトリの「.ftpaccess」内に、次のコードを記述してください。
もしも.ftpaccessがない場合には、新しく作成してください。
|
1 2 3 4 5 |
<Limit ALL> Order Allow,Deny Allow from ご自身のIPアドレス Deny from all </Limit> |
これで、FTPからの突破も防ぐことができます。
まとめ
さまざまなセキュリティ対策を紹介しましたが、WordPressを利用する場合には、必ずサイトを常時SSL化してください。
ここで紹介したセキュリティ対策を行い、セキュリティ系のプラグインを導入すれば、かなり強固なセキュリティになると思います。
ここまでのセキュリティ対策を行えば、かなり強固と思います。
あとは、WordPressを最新バージョンにする、プラグインを最新バージョンにする、コメント欄を設置しないなどが考えられます。
コメント欄も、悪用されるとハッキングに利用される可能性があるので、ブラウザ上からの入力フォームを可能な限り減らすというのもセキュリティ対策になるでしょう。
以上、WordPressでのサイト運営の参考になれば幸いです。
