• WordPress
  • Macintosh
  • WEB関連
    • Git
  • プログラム
    • mySQL
  • Google
  • 雑記

WordPress/PHP/HTML/Marketing

NullNote

  • WordPress
  • Macintosh
  • WEB関連
    • Git
  • プログラム
    • mySQL
  • Google
  • 雑記
  1. HOME >
  2. WEB関連 >

WEB関連

【WordPress】セキュリティの強化

2013年8月23日

Wordpressロゴ

またまたエラーログを見ていて気付いた(会社の)。
早朝の4時台にWPにログインをしようとしていたヤツがいたらしい・・・。いわゆる不正アクセスってヤツです。

基本的に会社では全てMTなのですが、1個だけ、試しにWPで作ったサイトがあるのです。
今回はそこに行ってないけど、放置はダメだなーってことで、会社のと同時にここのサイトもセキュリティ強化!

ユーザー名はデフォルトのadminから変えましょう

デフォルトのままだと、それだけでユーザー名は突破できてしまうのでここは変えましょう。

1.ユーザー > 新規追加 で、新たにアカウントを作成します。

ここで、メアドが既に登録済みだと登録できませんので、既存アカウントのメアドをあらかじめ変更しておくか、別メアドで登録してください。後に、メアドは変更できますのでご安心を。

新規ユーザーを追加する

2.新規アカウントを作成したら、ログアウトして新規アカウントでログインし直します。

ログアウトせずにそのまま削除しようとすると、エラーが出て削除できません。
ログインアカウントを変更しないとエラーが出る

3. ユーザー > ユーザー一覧 でadmin(既存アカウント)の削除を選択します。

ここで、記事の投稿者情報を変更します。

記事の投稿者情報の変更

4.完了!!

ログイン画面にベーシック認証かけましょう

ベーシック認証はとても簡単です。テキスト書き込んだファイルをサーバーに放り込むだけです。

1.自サイトのログイン画面と同じ階層に、設定のためのファイル(.htaccess)を作成・アップロードします。

FTPツールがない人は、レンタルサーバーの管理画面にもあったりするのでそれを使ってみてください。
(ここでは、ロリポのFTPツールでのやり方を記載します。)

サイトのindex.phpファイルと同じ階層に、.htaccessというファイルがあるか確認します。
ある場合は、そのファイル名をクリックするとそのまま編集できます。
ない場合は、ページ上部にある『新規ファイル作成』のボタンをクリックします。

htaccess

以下を必要に応じて編集してコピペして保存してください。

[code]
# protect wp-login.php
<Files wp-login.php>
AuthName "●●●" /*--認証用の名前になります------*/
AuthType Basic
AuthUserFile /●●●フルパス●●●/.htpasswd  /*--.htpasswdファイルの場所をフルパスで記述---*/
require valid-user
</files>
[/code]

2013年8月23日追記
[code]
<Files wp-login.php>・・・</files>
[/code]
を追記しました。
↑これ書かないと、サイト全体のベーシック認証になってまう…>_<

htaccess編集

暗号化したパスワードと、パスワードファイルを用意する

パスワードはそのまま記述するのではなく、暗号化します。
暗号化は以下サイトで出来ます。(ページ中ほど)

http://w3g.jp/others/htaccess/basic_authentication

[browser-shot width="600" url="http://w3g.jp/others/htaccess/basic_authentication"]

名前・パスワードを入れ生成ボタンを押してできたコードを全てコピーし、
1でやったように、ページ上部にある『新規ファイル作成』のボタンをクリックし、ペーストし保存します。

passwd

以上で完了!!

ちなみに、私は元々.htaccessファイルが存在していたのでロリポFTP上で編集しました。
文字コードもデフォルトのASCIIのまま使ってます(特に問題なし)。

wp-config.phpも保護します

以下も.htaccessファイルに記述します。

[code]
# protect wp-config.php
<Files wp-config.php>
Order deny,allow
deny from all
</files>
[/code]

2013年8月23日追記
[code]
<Files wp-config.php>・・・</files>
[/code]
を追記しました。

上記は簡単に設定できるものですが、やるとやらないでは大きく違うので対応しておくと安心かと思います!

追記

記事公開同日、ロリポより不正ログインに関する注意喚起のメールが飛んでました。
私が作業し気付いた会社のサーバーはhetemlで、1~2週間程前に気付きました。
メールのコピペですが、
-----------------------------------------------
・英数を組み合わせた8桁以上の複雑なもの
・辞書などに載っている言葉を使っていないもの
・ドメイン名から推測しにくいもの
・サイト毎に異なるもの
-----------------------------------------------
IDとパスワードは上記のようにすることをお勧めします。
古いバージョンのWPも危ないとのこと、アップグレードしましょう!

参考URL

  • http://coliss.com/articles/blog/wordpress/security-tipps-for-wordpress-install.html
  • Post
  • Share
  • Pocket
  • Hatena
  • Pinterest
  • LINE
  • この記事を書いた人

サオリサン

WEB制作のディレクター・制作・運営支援をしてます(フリーランス&会社員)。アクセス解析してサイト改善するのが好き。

-WEB関連
-WordPress, wp-login.php, セキュリティ, 不正アクセス

author

関連記事

楽天などでネットショップをやってみた感想を書くよ

WEB関連

ネットショップ構築して運営してみた、私の感想

私が勤めてる会社は物を売る業種ではないのですが、ひょんなことからネットショップを構築して運営し始めました。MakeShop・ヤフオクストア・楽天と、既存のショッピングモールで出店して使ってみた感想をま ...

Web担当者Forumミーティング2014秋

WEB関連

Web担当者フォーラムセミナー2014秋に参加してきました。

Web担当者フォーラムセミナー2014秋に参加してきました。 今回の目的は、ほぼコンテンツ・マーケティングについての情報収集でした。 案の定、会場内に置いてあったチラシもコンテンツ・マーケティングの運 ...

ウェブクリップ、設定前と設定後のアイコン

WEB関連

【web】faviconやったら web clipも設定!

かつてファビコンの設定をせっせとした記憶がありますが、時代が変わりましたね~。 スマホやタブレット用に、ホーム画面ショートカット用アイコンを用意する時代です。 サーバーのエラーログで、画像がないという ...

Sass、始めました。

WEB関連

【CSS】基本だけまとめた!これでSassデビュー★

2014年の勉強目標だった、Sassを勉強中です。なんとなく使い方が分かってきたところで、 基礎知識を脳外に放出する悪い癖が出てきそうだったので、忘れないように図にして頭に叩き込もうと思います。 皆さ ...

オムロンのUSB通信トレイと婦人体温計

WEB関連 雑記

婦人体温計+USB通信トレイ=Bluetoothの方が断然便利だよ!っていうお話。

婦人体温計を新しく買いました。 オムロンのヤツ。MC-642L。 で、流れで同じくオムロンのUSB通信トレイ HHX-IT4 買いました。 というわけでそのレビュー。 MacでiPhoneな私に、世間 ...

Wordpressテーマ|montezuma編集画面 【WordPress】テーマのカスタムをやってみた

【web】faviconやったら web clipも設定! ウェブクリップ、設定前と設定後のアイコン

  • プライバシーポリシー

WordPress/PHP/HTML/Marketing

NullNote

© 2024 NullNote