概要
ログイン攻撃の対策として「SiteGuard WP Plugin」を導入するのも1つの方法です。
ログイン画面は、以下の2種類あります。
- 管理画面である「〜/wp-login.php」
- 〜/wp-adminディレクトリ
インストール
プラグインの追加から 「SiteGuard WP Plugin」をインストールして有効化します。
インストールが終了したら、プラグインの画面の上の方に「ログインURLが変更されました。新しいログインページURLをブックマークしてください。」が表示されます。
これをクリックすると、新しいログインページで以下のような画面が表示され、ユーザー名とパスワードを今まで通り入力し、表示された文字を入力し、ログインします。
ログインできたら、以下のようなメールが届きログインURLが変更されます。
以下の新しいログインページURLを、ブックマークしてください。
https://www.xxxx.xxxxx.jp/wp-loginxxxx
--
SiteGuard WP Plugin試しにhttps:XXXX.xx.jp/wp-login.phpにアクセスすると、以下のようにエラーになります。
どのようなしくみになっているかというと、.htaccessを見てみると 新しいログインがlogin_XXXXX をとなって、 wp-login.phpに転送されていることが分ります。
#SITEGUARD_PLUGIN_SETTINGS_START
#==== SITEGUARD_RENAME_LOGIN_SETTINGS_START
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteBase /
RewriteRule ^wp-signup\.php 404-siteguard [L]
RewriteRule ^wp-activate\.php 404-siteguard [L]
RewriteRule ^login_XXXXX(.*)$ wp-login.php$1 [L]
</IfModule>
#==== SITEGUARD_RENAME_LOGIN_SETTINGS_END
#SITEGUARD_PLUGIN_SETTINGS_END
その他のオプション
その他のオプションはSiteGuardの箇所で各種設定できます。
参考になるページ:http://websae.net/siteguardwpplugin-20150106/
IPアドレス制限
WordPressへの攻撃は、
- 管理画面である「〜/wp-login.php」
- 〜/wp-adminディレクトリ
に対して行われます。
「.htaccess」でその2つへのアクセスを固定IPアドレスからのみに制限します。
「〜/wp-login.php」のディレクトリの.htaccess
~/ .htaccess に以下の内容を追加します。
<Files "wp-login.php">
order deny,allow
deny from all
allow from 固定IPアドレスを入力
</Files>〜/wp-adminディレクトリ
〜/wp-admin/.htaccess に 以下の内容を追加します。
order deny,allow
deny from all
allow from 固定IPアドレスを入力
