一月時の設定に戻す
激重になるらしいから ログインに限定する
define('FORCE_SSL_LOGIN', true);
の方が良いかも
FTPのSSL/SSH暗号化通信とアクセス制限
FTPは、通信されるデータが平文のままで暗号化されていないので、第三者による盗聴(ファイルを覗き見る行為)の恐れがあり、FTPパスワードが盗聴され、サイトを改ざんされることもあります。
さらに、FTPサーバーへのアクセス制限を設定しFTP接続元を制限します。
FTPのSSL/SSH暗号化通信
SSL/SSH暗号化通信が使用できる場合は、サーバーへのログインやファイルアップロードは、FTP接続ではなく、FTPS(File Transfer Protocol over SSL/TLS)または SFTP(SSH File Transfer Protocol)を使ってサーバーへ接続を行います。
「wp-config.php」に以下を追記してSSLを強制させます。
define('FORCE_SSL_ADMIN', true);
1
define('FORCE_SSL_ADMIN', true);
※WordPressの標準機能では、SFTPには対応していないので、プラグインが必要です。
.ftpaccess によるIPアドレス制限
ログイン元のIPが一定である場合、サーバーの「/」直下など、アクセスを規制するディレクトリの中に下記内容で .ftpaccess を設置しFTP接続元を制限します(xxxはIP)。
<Limit ALL>
order allow,deny
allow from xxx.xxx.xxx.xxx
deny from all
</Limit>
1
2
3
4
5
<Limit ALL>
order allow,deny
allow from xxx.xxx.xxx.xxx
deny from all
</Limit>
define('FORCE_SSL_LOGIN', true);
の方が良いかも
FTPのSSL/SSH暗号化通信とアクセス制限
FTPは、通信されるデータが平文のままで暗号化されていないので、第三者による盗聴(ファイルを覗き見る行為)の恐れがあり、FTPパスワードが盗聴され、サイトを改ざんされることもあります。
さらに、FTPサーバーへのアクセス制限を設定しFTP接続元を制限します。
FTPのSSL/SSH暗号化通信
SSL/SSH暗号化通信が使用できる場合は、サーバーへのログインやファイルアップロードは、FTP接続ではなく、FTPS(File Transfer Protocol over SSL/TLS)または SFTP(SSH File Transfer Protocol)を使ってサーバーへ接続を行います。
「wp-config.php」に以下を追記してSSLを強制させます。
define('FORCE_SSL_ADMIN', true);
1
define('FORCE_SSL_ADMIN', true);
※WordPressの標準機能では、SFTPには対応していないので、プラグインが必要です。
.ftpaccess によるIPアドレス制限
ログイン元のIPが一定である場合、サーバーの「/」直下など、アクセスを規制するディレクトリの中に下記内容で .ftpaccess を設置しFTP接続元を制限します(xxxはIP)。
<Limit ALL>
order allow,deny
allow from xxx.xxx.xxx.xxx
deny from all
</Limit>
1
2
3
4
5
<Limit ALL>
order allow,deny
allow from xxx.xxx.xxx.xxx
deny from all
</Limit>
ネタンクさんのやり方で
もっかい
wp-login.php
wp-admin
にアクセス制限をかける
wp-login.php は
piblic htmlディレクトリの中に.htaccessを設置
wp-admin は
wp-adminディレクトリの中に.htaccessを設置
共にパーミッションは604にしたが これが何がベストか良くわからない
そして
wp-config.phpのパーミッションを 400 に変更する
もっかい
wp-login.php
wp-admin
にアクセス制限をかける
wp-login.php は
piblic htmlディレクトリの中に.htaccessを設置
wp-admin は
wp-adminディレクトリの中に.htaccessを設置
共にパーミッションは604にしたが これが何がベストか良くわからない
そして
wp-config.phpのパーミッションを 400 に変更する
【C】/wp-admin/ディレクトリの保護
投稿一覧、テーマ編集、ウィジェット、プラグインなどの管理画面(ダッシュボード)は /wp-admin/ 以下にあります。ただし admin-ajax.php のみプラグインで使っている物があるのでアクセス制限の対象から除外します。
.htaccess によるIPアドレス制限
ログイン元のIPが一定である場合、/wp-admin/ ディレクトリの中に下記内容で .htaccess を設置します。
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
<Files "admin-ajax.php">
order allow,deny
allow from all
satisfy any
</Files>
1
2
3
4
5
6
7
8
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
<Files "admin-ajax.php">
order allow,deny
allow from all
satisfy any
</Files>
いつもの
エックスサーバーのサーバーパネルの phpMyAdmin
ログインからの DBバックアップ
このログインの際 もはやユーザーは WP○ になってる事
エックスサーバーのサーバーパネルの phpMyAdmin
ログインからの DBバックアップ
このログインの際 もはやユーザーは WP○ になってる事
再度 くるみさんのWordPress学習記
WordPressの認証用ユニークキーを変更する
から
FFFTPを起動し、wp-config.phpをダウンロードします
テキストエディタを起動し、ダウンロードしたwp-config.phpを開く
ブラウザを起動し
https://api.wordpress.org/secret-key/1.1/salt/
にアクセスする
ランダムな認証用ユニークキーとシークレットキーが自動で生成されるので、全ての文字を選択し、コピーする
wp-config.phpの
define(‘AUTH_KEY’, ‘・・・’); から
define(‘NONCE_SALT’, ‘・・・’); までの行を選択し、貼り付ける
文字コードがUTF-8になっているか確認し、上書き保存する
保存した後はテキストエディタは閉じる
FFFTPでwp-config.phpをアップロードする(アスキーモードで!)
WordPressの認証用ユニークキーを変更する
から
FFFTPを起動し、wp-config.phpをダウンロードします
テキストエディタを起動し、ダウンロードしたwp-config.phpを開く
ブラウザを起動し
https://api.wordpress.org/secret-key/1.1/salt/
にアクセスする
ランダムな認証用ユニークキーとシークレットキーが自動で生成されるので、全ての文字を選択し、コピーする
wp-config.phpの
define(‘AUTH_KEY’, ‘・・・’); から
define(‘NONCE_SALT’, ‘・・・’); までの行を選択し、貼り付ける
文字コードがUTF-8になっているか確認し、上書き保存する
保存した後はテキストエディタは閉じる
FFFTPでwp-config.phpをアップロードする(アスキーモードで!)
.htpasswdファイルはユーザIDとパスワードを記述したファイルで.htaccessと合わせて利用するもの。
パスワードは暗号化したものを記述するようにします。
パスワードの暗号化には
.htaccessEditor
http://www.htaccesseditor.com/#a_basic
とかのパスワードを暗号化してくれる便利なサービスを使いましょう。
上記のサイトで左側のメニューの「ベーシック認証」をクリックしてユーザ名、パスワードを入力して【.htpasswdを作成】ボタンをクリックするだけです。
【ユーザ名:terasol】、【パスワード:terasolpass】で作ったものが以下になります。
terasol:rruPl/ZNh7Wns
それをそのままテキストエディタに張り付けて、ファイル名【.htpasswd】で保存してください。
このファイル名で保存が出来なかった場合は、【htpasswd.txt】とかの拡張子を付けて保存して、FTPでサーバーにアップロードしてから【.htpasswd】にリネームしてください。
パスワードは暗号化したものを記述するようにします。
パスワードの暗号化には
.htaccessEditor
http://www.htaccesseditor.com/#a_basic
とかのパスワードを暗号化してくれる便利なサービスを使いましょう。
上記のサイトで左側のメニューの「ベーシック認証」をクリックしてユーザ名、パスワードを入力して【.htpasswdを作成】ボタンをクリックするだけです。
【ユーザ名:terasol】、【パスワード:terasolpass】で作ったものが以下になります。
terasol:rruPl/ZNh7Wns
それをそのままテキストエディタに張り付けて、ファイル名【.htpasswd】で保存してください。
このファイル名で保存が出来なかった場合は、【htpasswd.txt】とかの拡張子を付けて保存して、FTPでサーバーにアップロードしてから【.htpasswd】にリネームしてください。
ネタンクさん
【改ざん防止】海外からWordPressの管理画面にアクセス出来ないようにする方法
から
基本的にこういった不正アクセスはほぼ100%海外から。管理画面への日本国外からのアクセスを遮断することで対応しました。
自分のIPアドレス以外からのアクセスを遮断したほうが、より安全ですが、クライアント側のインターネットは固定IPではないのでやめました。
海外からのアクセスを遮断する方法
アクセス制限をかけるファイル・ディレクトリは以下の2つ。
/wp-login.php
/wp-admin/
これらへは日本国内からアクセス出来ないようにします。
まずは、このサイトから.htaccessファイルをダウンロードしておきます。
http://www.cgis.biz/tools/access/
/wp-login.phpへのアクセス制限
まずは/wp-login.phpへのアクセス制限です。
FTPなどでサーバーに接続。WordPressのファイルが置いてある場所に移動します。
その中に.htaccessというファイルがあるとおもいます。
これを編集します。
一番下の行に
<Files wp-login.php>
■■■■
</Files>
と追記します。
■■■■の部分は、http://www.cgis.biz/tools/access/からダウンロードした.htaccessファイルの中身をそのままコピーして貼り付けます。
サーバーに編集した.htaccessをアップロードすれば完了です。
.htaccessが改ざんされるのを防ぐためにパーミッションは604にします。
/wp-admin/へのアクセス制限
/wp-admin/のディレクトリにhttp://www.cgis.biz/tools/access/からダウンロードした.htaccessファイルをそのままアップロードするだけです。
注意点としては、ファイル名がちゃんと「.htaccess」になっているか確認してください。先頭にドットが必要です。
Windowsは「.」から始まるファイルを扱えないので、違う名前になっている場合があります。
同様にパーミッションは604に変更します。
ユーザー名:adminを削除する
結構重要なのがWordPressのユーザー名です。ほぼ全ての攻撃はadminという名前のユーザー名で攻撃を仕掛けます。
もしadminというユーザーが存在する場合は別のIDを作って削除してください。これだけでも、ブログを改ざんされるリスクが大幅に減ります。
正直言って、アクセス制限よりこっちのが重要かもしれません。
/wp-config.phpのパーミッションを変更する
最も重要な情報が記述されている/wp-config.phpのパーミッションを変更します。
WordPressの公式マニュアルでは600が推奨されています。最も安全なのは400ですが、WordPressが動作しなくなるサーバーもあるようです。
僕は600にしておきました。
WordPressを最新にアップデートする
WordPressは必ず最新にアップデートしてください。
特に4.7.0と4.7.1には致命的な脆弱性があります。直ぐにでも最新版に更新しましょう。
【改ざん防止】海外からWordPressの管理画面にアクセス出来ないようにする方法
から
基本的にこういった不正アクセスはほぼ100%海外から。管理画面への日本国外からのアクセスを遮断することで対応しました。
自分のIPアドレス以外からのアクセスを遮断したほうが、より安全ですが、クライアント側のインターネットは固定IPではないのでやめました。
海外からのアクセスを遮断する方法
アクセス制限をかけるファイル・ディレクトリは以下の2つ。
/wp-login.php
/wp-admin/
これらへは日本国内からアクセス出来ないようにします。
まずは、このサイトから.htaccessファイルをダウンロードしておきます。
http://www.cgis.biz/tools/access/
/wp-login.phpへのアクセス制限
まずは/wp-login.phpへのアクセス制限です。
FTPなどでサーバーに接続。WordPressのファイルが置いてある場所に移動します。
その中に.htaccessというファイルがあるとおもいます。
これを編集します。
一番下の行に
<Files wp-login.php>
■■■■
</Files>
と追記します。
■■■■の部分は、http://www.cgis.biz/tools/access/からダウンロードした.htaccessファイルの中身をそのままコピーして貼り付けます。
サーバーに編集した.htaccessをアップロードすれば完了です。
.htaccessが改ざんされるのを防ぐためにパーミッションは604にします。
/wp-admin/へのアクセス制限
/wp-admin/のディレクトリにhttp://www.cgis.biz/tools/access/からダウンロードした.htaccessファイルをそのままアップロードするだけです。
注意点としては、ファイル名がちゃんと「.htaccess」になっているか確認してください。先頭にドットが必要です。
Windowsは「.」から始まるファイルを扱えないので、違う名前になっている場合があります。
同様にパーミッションは604に変更します。
ユーザー名:adminを削除する
結構重要なのがWordPressのユーザー名です。ほぼ全ての攻撃はadminという名前のユーザー名で攻撃を仕掛けます。
もしadminというユーザーが存在する場合は別のIDを作って削除してください。これだけでも、ブログを改ざんされるリスクが大幅に減ります。
正直言って、アクセス制限よりこっちのが重要かもしれません。
/wp-config.phpのパーミッションを変更する
最も重要な情報が記述されている/wp-config.phpのパーミッションを変更します。
WordPressの公式マニュアルでは600が推奨されています。最も安全なのは400ですが、WordPressが動作しなくなるサーバーもあるようです。
僕は600にしておきました。
WordPressを最新にアップデートする
WordPressは必ず最新にアップデートしてください。
特に4.7.0と4.7.1には致命的な脆弱性があります。直ぐにでも最新版に更新しましょう。
グローバルIPアドレスってやつ
これが変わるともうログインできないじゃん さっき出来なくて非常に焦った
頻繁に前二つ(wp-login.phpとwp-config.phpにIPアドレスの制限)(wp-adminにIPアドレスの制限)の設定でIPアドレスを変えないといけないのか
それは簡便だろ
これが変わるともうログインできないじゃん さっき出来なくて非常に焦った
頻繁に前二つ(wp-login.phpとwp-config.phpにIPアドレスの制限)(wp-adminにIPアドレスの制限)の設定でIPアドレスを変えないといけないのか
それは簡便だろ
再度 くるみさんのWordPress学習記
から
前回は、管理画面へのログイン画面(wp-login.php)へのセキュリティ強化のための
htaccessファイルでApacheにアクセス制限の設定をしました
今回は、管理画面へセキュリティ強化のためのIPアドレス制限をします
wp-adminフォルダを丸ごと制限します
テキストエディタを起動して
IPアドレス制限
order deny,allow
deny from all
allow from 自分のIPアドレス
と入力します
※自分のIPアドレスの部分は、192.168.1.1 などに置き換えてください
自分のIPアドレスを調べるにはコチラ
order deny,allow = 特定のホストだけのアクセスを許可します
deny from all = 全てのホストを拒否します
allow from 192.168.1.1 = 192.168.1.1のIPアドレスからのアクセスを許可します
※複数のIPアドレスを許可するには、「allow from IPアドレス」を書き足していきます
ファイル > 名前を付けて保存 の順にクリックします
ファイル名に「htaccess.txt」と入力し
[保存]をクリックします
FileZillaを起動して
設定>ファイルの種類 標準の転送モードはアスキーに
ローカルのhtaccess.txtを右クリックし
名前を変える
ファイル名を
「htaccess.txt」から「.htaccess」に書き換えます
※頭の.(ドット)を忘れないように!
右クリックし
アップロードをクリックします
サーバー側の同名ファイルに上書き
アップロード完了です
これで、ダッシュボード等の管理画面へのアクセスは設定されたIPアドレスからしかできません
から
前回は、管理画面へのログイン画面(wp-login.php)へのセキュリティ強化のための
htaccessファイルでApacheにアクセス制限の設定をしました
今回は、管理画面へセキュリティ強化のためのIPアドレス制限をします
wp-adminフォルダを丸ごと制限します
テキストエディタを起動して
IPアドレス制限
order deny,allow
deny from all
allow from 自分のIPアドレス
と入力します
※自分のIPアドレスの部分は、192.168.1.1 などに置き換えてください
自分のIPアドレスを調べるにはコチラ
order deny,allow = 特定のホストだけのアクセスを許可します
deny from all = 全てのホストを拒否します
allow from 192.168.1.1 = 192.168.1.1のIPアドレスからのアクセスを許可します
※複数のIPアドレスを許可するには、「allow from IPアドレス」を書き足していきます
ファイル > 名前を付けて保存 の順にクリックします
ファイル名に「htaccess.txt」と入力し
[保存]をクリックします
FileZillaを起動して
設定>ファイルの種類 標準の転送モードはアスキーに
ローカルのhtaccess.txtを右クリックし
名前を変える
ファイル名を
「htaccess.txt」から「.htaccess」に書き換えます
※頭の.(ドット)を忘れないように!
右クリックし
アップロードをクリックします
サーバー側の同名ファイルに上書き
アップロード完了です
これで、ダッシュボード等の管理画面へのアクセスは設定されたIPアドレスからしかできません
くるみのWordPress学習記
から
wp-login.phpはWordPressの管理画面にログインするファイルで
wp-config.phpはWordPressの環境設定を行うファイルです
なにも設定をしていなければ、管理画面に簡単にアクセスされてしまうので
誰でもアクセスできないようにhtaccessファイルでApacheにアクセス制限の設定をしセキュリティを強化してみます
テキストエディタを起動して
IPアドレス制限
<Files “wp-login.php”>
order deny,allow
deny from all
allow from 自分のIPアドレス
</Files>
<Files “wp-config.php”>
order allow,deny
deny from all
</Files>
と入力します
※自分のIPアドレスの部分は、192.168.1.1 などに置き換えてください
自分のIPアドレスを調べるにはコチラ
http://www.cman.jp/network/support/go_access.cgi
<Files “wp-login.php”> ~ </Files> はwp-login.phpファイルへの設定
<Files “wp-config.php”> ~ </Files> はwp-config.phpファイルへの設定です
order deny,allow = 特定のホストだけのアクセスを許可します
deny from all = 全てのホストを拒否します
allow from 192.168.1.1 = 192.168.1.1のIPアドレスからのアクセスを許可します
※複数のIPアドレスを許可するには、「allow from IPアドレス」を書き足していきます
wp-login.phpはログインする人のIPアドレスを設定し、
wp-config.phpは誰もアクセスする必要がないので全て拒否しておきます
ファイル > 名前を付けて保存 の順にクリックします
ファイル名に「htaccess.txt」と入力し
[保存]をクリックします
FileZillaを起動して
設定>ファイルの種類 標準の転送モードはアスキーに
ローカルのhtaccess.txtを右クリックし
名前を変える
ファイル名を
「htaccess.txt」から「.htaccess」に書き換えます
※頭の.(ドット)を忘れないように!
右クリックし
アップロードをクリックします
サーバー側の同名ファイルに上書き
アップロード完了です
これで、wp-login.phpへのアクセスは設定されたIPアドレスからしかできません
wp-config.phpへのアクセス制限はこれだけでは不十分です(記事はそのうちに・・・)
から
wp-login.phpはWordPressの管理画面にログインするファイルで
wp-config.phpはWordPressの環境設定を行うファイルです
なにも設定をしていなければ、管理画面に簡単にアクセスされてしまうので
誰でもアクセスできないようにhtaccessファイルでApacheにアクセス制限の設定をしセキュリティを強化してみます
テキストエディタを起動して
IPアドレス制限
<Files “wp-login.php”>
order deny,allow
deny from all
allow from 自分のIPアドレス
</Files>
<Files “wp-config.php”>
order allow,deny
deny from all
</Files>
と入力します
※自分のIPアドレスの部分は、192.168.1.1 などに置き換えてください
自分のIPアドレスを調べるにはコチラ
http://www.cman.jp/network/support/go_access.cgi
<Files “wp-login.php”> ~ </Files> はwp-login.phpファイルへの設定
<Files “wp-config.php”> ~ </Files> はwp-config.phpファイルへの設定です
order deny,allow = 特定のホストだけのアクセスを許可します
deny from all = 全てのホストを拒否します
allow from 192.168.1.1 = 192.168.1.1のIPアドレスからのアクセスを許可します
※複数のIPアドレスを許可するには、「allow from IPアドレス」を書き足していきます
wp-login.phpはログインする人のIPアドレスを設定し、
wp-config.phpは誰もアクセスする必要がないので全て拒否しておきます
ファイル > 名前を付けて保存 の順にクリックします
ファイル名に「htaccess.txt」と入力し
[保存]をクリックします
FileZillaを起動して
設定>ファイルの種類 標準の転送モードはアスキーに
ローカルのhtaccess.txtを右クリックし
名前を変える
ファイル名を
「htaccess.txt」から「.htaccess」に書き換えます
※頭の.(ドット)を忘れないように!
右クリックし
アップロードをクリックします
サーバー側の同名ファイルに上書き
アップロード完了です
これで、wp-login.phpへのアクセスは設定されたIPアドレスからしかできません
wp-config.phpへのアクセス制限はこれだけでは不十分です(記事はそのうちに・・・)