• No : 5386
  • 公開日時 : 2021/08/12 00:00
  • 更新日時 : 2021/08/27 09:40
  • 印刷

WordPressのセキュリティ対策を行いたいです。

回答

昨今、WordPressへの不正アクセスによる改ざん被害が多発しております。

当記事では、対策として以下3つの方法をご紹介いたします。
是非、設定をお願いいたします。

■WordPress管理画面にBasic認証を設定する
■WordPress管理画面にIPアドレス制限をかける
■攻撃されやすいファイルにアクセス制限をかける
 

■WordPress管理画面にBasic認証を設定する

こちらのBasic認証設定については、
「CMSサーバー(VPS)オプション」のご契約時に初期設定しております。
基本的に解除しないことをおすすめしますが、解除されてしまった場合以下の方法で再設定が可能です。

1:.htpasswdファイルを設置する

以下のツール等で出力した内容を、.htpasswdのファイルに貼り付けて保存します。

【.htpasswd生成ツール】http://www.luft.co.jp/cgi/htpasswd.php

保存したら、CMS用FTPサーバーのpublic_htmlフォルダと同じ領域に、.htpasswdを設置します。

2:.htaccessにBasic認証設定を追記する

WordPress設定ファイルが設置されている領域内の「.htaccess」に、以下を追記します。

<Files ~ (wp-login.php|setup-config.php)>
  AuthName "Administrator Only"
  AuthType Basic
  AuthUserFile /home/homepage/.htpasswd
  Require valid-user
</Files>



以上で設定完了です。

設定後、WordPress管理画面のログイン時にこのような画面が表示されます、
1:で設定したIDとパスワードを入力ください。

 

■WordPress管理画面にIPアドレス制限をかける

IPアドレス制限をかけることで、管理者以外のアクセスを許可しないように設定することが可能です。

CMSサーバー内のWordPressが設置されている領域内の「.htaccess」に、以下を追記します。

<files "wp-login.php">
SetEnvIf X-Forwarded-For "^0.0.0.0" allowip
order deny,allow
deny  from all
allow from env=allowip
</files>

0.0.0.0にはアクセスを許可する管理者様の接続元IPアドレスを入れてください。

 

■攻撃されやすいファイルにアクセス制限をかける

WordPressへの不正アクセスにあたって、
特に「wp-config.php」「wp-cron.php」「xmlrpc.php」の設定ファイルが攻撃されやすい傾向あります。
ブラウザからのアクセス制限をかけることで攻撃を防ぐことができますので、お試しください。

CMSサーバー内のWordPressが設置されている領域内の「.htaccess」に、以下を追記します。

<FilesMatch "^(wp-config\.php|wp-cron\.php|xmlrpc\.php)">
    order deny,allow
    deny from all
</FilesMatch>