【改ざん防止】海外からWordPressの管理画面にアクセス出来ないようにする方法

WordPressの管理画面への攻撃がハンパないです。

ログを見ると、怪しいアクセスが大量に来ています。管理画面は僕しか見ないはずなので、全部、ブログを改ざんする目的の攻撃です。

こうな底辺ブログまで攻撃するとはご苦労なことですね(笑)

基本的にこういった不正アクセスはほぼ100%海外から。管理画面への日本国外からのアクセスを遮断することで対応しました。

自分のIPアドレス以外からのアクセスを遮断したほうが、より安全ですが、クライアント側のインターネットは固定IPではないのでやめました。



スポンサーリンク

海外からのアクセスを遮断する方法

アクセス制限をかけるファイル・ディレクトリは以下の2つ。

  • /wp-login.php
  • /wp-admin/

これらへは日本国内からアクセス出来ないようにします。

まずは、このサイトから.htaccessファイルをダウンロードしておきます。

/wp-login.phpへのアクセス制限

まずは/wp-login.phpへのアクセス制限です。

FTPなどでサーバーに接続。WordPressのファイルが置いてある場所に移動します。

その中に.htaccessというファイルがあるとおもいます。

これを編集します。

一番下の行に

<Files wp-login.php>

■■■■

</Files>

と追記します。

■■■■の部分は、http://www.cgis.biz/tools/access/からダウンロードした.htaccessファイルの中身をそのままコピーして貼り付けます。

サーバーに編集した.htaccessをアップロードすれば完了です。

.htaccessが改ざんされるのを防ぐためにパーミッションは604にします。

/wp-admin/へのアクセス制限

/wp-admin/のディレクトリにhttp://www.cgis.biz/tools/access/からダウンロードした.htaccessファイルをそのままアップロードするだけです。

注意点としては、ファイル名がちゃんと「.htaccess」になっているか確認してください。先頭にドットが必要です。

Windowsは「.」から始まるファイルを扱えないので、違う名前になっている場合があります。

同様にパーミッションは604に変更します。

ユーザー名:adminを削除する

結構重要なのがWordPressのユーザー名です。ほぼ全ての攻撃はadminという名前のユーザー名で攻撃を仕掛けます。

もしadminというユーザーが存在する場合は別のIDを作って削除してください。これだけでも、ブログを改ざんされるリスクが大幅に減ります。

正直言って、アクセス制限よりこっちのが重要かもしれません。



スポンサーリンク

/wp-config.phpのパーミッションを変更する

最も重要な情報が記述されている/wp-config.phpのパーミッションを変更します。

WordPressの公式マニュアルでは600が推奨されています。最も安全なのは400ですが、WordPressが動作しなくなるサーバーもあるようです。

僕は600にしておきました。

WordPressを最新にアップデートする

WordPressは必ず最新にアップデートしてください。

特に4.7.0と4.7.1には致命的な脆弱性があります。直ぐにでも最新版に更新しましょう。

スポンサーリンク