• WordPress
  • Macintosh
  • WEB関連
    • Git
  • プログラム
    • mySQL
  • Google
  • 雑記

WordPress/PHP/HTML/Marketing

NullNote

  • WordPress
  • Macintosh
  • WEB関連
    • Git
  • プログラム
    • mySQL
  • Google
  • 雑記
  1. HOME >
  2. WEB関連 >

WEB関連

【WordPress】セキュリティの強化

2013年8月23日

Wordpressロゴ

またまたエラーログを見ていて気付いた(会社の)。
早朝の4時台にWPにログインをしようとしていたヤツがいたらしい・・・。いわゆる不正アクセスってヤツです。

基本的に会社では全てMTなのですが、1個だけ、試しにWPで作ったサイトがあるのです。
今回はそこに行ってないけど、放置はダメだなーってことで、会社のと同時にここのサイトもセキュリティ強化!

ユーザー名はデフォルトのadminから変えましょう

デフォルトのままだと、それだけでユーザー名は突破できてしまうのでここは変えましょう。

1.ユーザー > 新規追加 で、新たにアカウントを作成します。

ここで、メアドが既に登録済みだと登録できませんので、既存アカウントのメアドをあらかじめ変更しておくか、別メアドで登録してください。後に、メアドは変更できますのでご安心を。

新規ユーザーを追加する

2.新規アカウントを作成したら、ログアウトして新規アカウントでログインし直します。

ログアウトせずにそのまま削除しようとすると、エラーが出て削除できません。
ログインアカウントを変更しないとエラーが出る

3. ユーザー > ユーザー一覧 でadmin(既存アカウント)の削除を選択します。

ここで、記事の投稿者情報を変更します。

記事の投稿者情報の変更

4.完了!!

ログイン画面にベーシック認証かけましょう

ベーシック認証はとても簡単です。テキスト書き込んだファイルをサーバーに放り込むだけです。

1.自サイトのログイン画面と同じ階層に、設定のためのファイル(.htaccess)を作成・アップロードします。

FTPツールがない人は、レンタルサーバーの管理画面にもあったりするのでそれを使ってみてください。
(ここでは、ロリポのFTPツールでのやり方を記載します。)

サイトのindex.phpファイルと同じ階層に、.htaccessというファイルがあるか確認します。
ある場合は、そのファイル名をクリックするとそのまま編集できます。
ない場合は、ページ上部にある『新規ファイル作成』のボタンをクリックします。

htaccess

以下を必要に応じて編集してコピペして保存してください。

[code]
# protect wp-login.php
<Files wp-login.php>
AuthName "●●●" /*--認証用の名前になります------*/
AuthType Basic
AuthUserFile /●●●フルパス●●●/.htpasswd  /*--.htpasswdファイルの場所をフルパスで記述---*/
require valid-user
</files>
[/code]

2013年8月23日追記
[code]
<Files wp-login.php>・・・</files>
[/code]
を追記しました。
↑これ書かないと、サイト全体のベーシック認証になってまう…>_<

htaccess編集

暗号化したパスワードと、パスワードファイルを用意する

パスワードはそのまま記述するのではなく、暗号化します。
暗号化は以下サイトで出来ます。(ページ中ほど)

http://w3g.jp/others/htaccess/basic_authentication

[browser-shot width="600" url="http://w3g.jp/others/htaccess/basic_authentication"]

名前・パスワードを入れ生成ボタンを押してできたコードを全てコピーし、
1でやったように、ページ上部にある『新規ファイル作成』のボタンをクリックし、ペーストし保存します。

passwd

以上で完了!!

ちなみに、私は元々.htaccessファイルが存在していたのでロリポFTP上で編集しました。
文字コードもデフォルトのASCIIのまま使ってます(特に問題なし)。

wp-config.phpも保護します

以下も.htaccessファイルに記述します。

[code]
# protect wp-config.php
<Files wp-config.php>
Order deny,allow
deny from all
</files>
[/code]

2013年8月23日追記
[code]
<Files wp-config.php>・・・</files>
[/code]
を追記しました。

上記は簡単に設定できるものですが、やるとやらないでは大きく違うので対応しておくと安心かと思います!

追記

記事公開同日、ロリポより不正ログインに関する注意喚起のメールが飛んでました。
私が作業し気付いた会社のサーバーはhetemlで、1~2週間程前に気付きました。
メールのコピペですが、
-----------------------------------------------
・英数を組み合わせた8桁以上の複雑なもの
・辞書などに載っている言葉を使っていないもの
・ドメイン名から推測しにくいもの
・サイト毎に異なるもの
-----------------------------------------------
IDとパスワードは上記のようにすることをお勧めします。
古いバージョンのWPも危ないとのこと、アップグレードしましょう!

参考URL

  • http://coliss.com/articles/blog/wordpress/security-tipps-for-wordpress-install.html
  • Post
  • Share
  • Pocket
  • Hatena
  • Pinterest
  • LINE
  • この記事を書いた人

サオリサン

WEB制作のディレクター・制作・運営支援をしてます(フリーランス&会社員)。アクセス解析してサイト改善するのが好き。

-WEB関連
-WordPress, wp-login.php, セキュリティ, 不正アクセス

author

関連記事

Web担当者Forumミーティング2014秋

WEB関連

Web担当者フォーラムセミナー2014秋に参加してきました。

Web担当者フォーラムセミナー2014秋に参加してきました。 今回の目的は、ほぼコンテンツ・マーケティングについての情報収集でした。 案の定、会場内に置いてあったチラシもコンテンツ・マーケティングの運 ...

WiMAXと光とLTE、何が違うの?

WEB関連

それ何?状態からの、初めてのWiMAX2+♪

これまでの私のネット環境は、引っ越してもNTT光のままです。理由は簡単で、工事とか解約とかまた契約とかいろいろと面倒くさいので、プロバイダは変えてもこれはこのまま使ってます。 外ではiPhoneでテザ ...

社内SNS、どうですか?

WEB関連

社内SNSどれ使ってる?使ってみたSNSの比較まとめ!!

私が勤めている会社(一般企業)でも社内SNS導入しています。ほぼ各部署の日報報告しかされていないという利用状況なので、導入成功した?と問われると甚だ疑問ですが…(´・ω・`)。でも、導入する時はいくつ ...

Sass、始めました。

WEB関連

【CSS】基本だけまとめた!これでSassデビュー★

2014年の勉強目標だった、Sassを勉強中です。なんとなく使い方が分かってきたところで、 基礎知識を脳外に放出する悪い癖が出てきそうだったので、忘れないように図にして頭に叩き込もうと思います。 皆さ ...

コンバージョン祭2014

WEB関連

コンバージョン祭2014、行ってきた!

タイトル通り、『コンバージョン祭2014 コンバージョン改善によるデジタルマーケティングの明るい未来』に参加してきました。 私はベンダーではなく事業主側の人間なので、そりゃ持ち帰れる内容が多くて、本当 ...

Wordpressテーマ|montezuma編集画面 【WordPress】テーマのカスタムをやってみた

【web】faviconやったら web clipも設定! ウェブクリップ、設定前と設定後のアイコン

  • プライバシーポリシー

WordPress/PHP/HTML/Marketing

NullNote

© 2025 NullNote