またまたエラーログを見ていて気付いた(会社の)。
早朝の4時台にWPにログインをしようとしていたヤツがいたらしい・・・。いわゆる不正アクセスってヤツです。
基本的に会社では全てMTなのですが、1個だけ、試しにWPで作ったサイトがあるのです。
今回はそこに行ってないけど、放置はダメだなーってことで、会社のと同時にここのサイトもセキュリティ強化!
ユーザー名はデフォルトのadminから変えましょう
デフォルトのままだと、それだけでユーザー名は突破できてしまうのでここは変えましょう。
1.ユーザー > 新規追加 で、新たにアカウントを作成します。
ここで、メアドが既に登録済みだと登録できませんので、既存アカウントのメアドをあらかじめ変更しておくか、別メアドで登録してください。後に、メアドは変更できますのでご安心を。
2.新規アカウントを作成したら、ログアウトして新規アカウントでログインし直します。
ログアウトせずにそのまま削除しようとすると、エラーが出て削除できません。
3. ユーザー > ユーザー一覧 でadmin(既存アカウント)の削除を選択します。
ここで、記事の投稿者情報を変更します。
4.完了!!
ログイン画面にベーシック認証かけましょう
ベーシック認証はとても簡単です。テキスト書き込んだファイルをサーバーに放り込むだけです。
1.自サイトのログイン画面と同じ階層に、設定のためのファイル(.htaccess)を作成・アップロードします。
FTPツールがない人は、レンタルサーバーの管理画面にもあったりするのでそれを使ってみてください。
(ここでは、ロリポのFTPツールでのやり方を記載します。)
サイトのindex.phpファイルと同じ階層に、.htaccessというファイルがあるか確認します。
ある場合は、そのファイル名をクリックするとそのまま編集できます。
ない場合は、ページ上部にある『新規ファイル作成』のボタンをクリックします。
以下を必要に応じて編集してコピペして保存してください。
# protect wp-login.php <Files wp-login.php> AuthName "●●●" /*--認証用の名前になります------*/ AuthType Basic AuthUserFile /●●●フルパス●●●/.htpasswd /*--.htpasswdファイルの場所をフルパスで記述---*/ require valid-user </files>
2013年8月23日追記
<Files wp-login.php>・・・</files>を追記しました。
↑これ書かないと、サイト全体のベーシック認証になってまう…>_<
暗号化したパスワードと、パスワードファイルを用意する
パスワードはそのまま記述するのではなく、暗号化します。
暗号化は以下サイトで出来ます。(ページ中ほど)
http://w3g.jp/others/htaccess/basic_authentication
[browser-shot width="600" url="http://w3g.jp/others/htaccess/basic_authentication"]
名前・パスワードを入れ生成ボタンを押してできたコードを全てコピーし、
1でやったように、ページ上部にある『新規ファイル作成』のボタンをクリックし、ペーストし保存します。
以上で完了!!
ちなみに、私は元々.htaccessファイルが存在していたのでロリポFTP上で編集しました。
文字コードもデフォルトのASCIIのまま使ってます(特に問題なし)。
wp-config.phpも保護します
以下も.htaccessファイルに記述します。
# protect wp-config.php <Files wp-config.php> Order deny,allow deny from all </files>
2013年8月23日追記
<Files wp-config.php>・・・</files>を追記しました。
上記は簡単に設定できるものですが、やるとやらないでは大きく違うので対応しておくと安心かと思います!
追記
記事公開同日、ロリポより不正ログインに関する注意喚起のメールが飛んでました。
私が作業し気付いた会社のサーバーはhetemlで、1~2週間程前に気付きました。
メールのコピペですが、
-----------------------------------------------
・英数を組み合わせた8桁以上の複雑なもの
・辞書などに載っている言葉を使っていないもの
・ドメイン名から推測しにくいもの
・サイト毎に異なるもの
-----------------------------------------------
IDとパスワードは上記のようにすることをお勧めします。
古いバージョンのWPも危ないとのこと、アップグレードしましょう!
参考URL
。 早朝の4時台にWPにログインをしようとしていたヤツがいたらしい・・・。 ...){kind=link}