森の夢

前回の
Wordpressセキュリティ向上①-robots.txtでログイン画面のインデックス化を防ぐ-
の記事で紹介したのは、
あくまでも管理画面のログイン画面がgoogleなどの検索ページへの露出を防ぐだけである。
なので、直接ＵＲＬをたたけば、ログイン画面にアクセスできる。
今回は、そもそもアクセスできないようにしようというお話。

アクセスできないようにするためにいろいろ考えたが、やはりＩＰブロックが一番安全と考える。
今回はレンタルサーバーでもＩＰブロックが行える.htaccessで、ＩＰの制御を行う。

①まずはＩＰのチェック

ココであなたが普段WordPressを更新する環境のＩＰを検索してください。
「上記が現在あなたがアクセスしているIPアドレスです」の一つ上の行の数字がＩＰアドレスです。
ただ、注意しなければならないのは普通のプロバイダ契約だとこのＩＰは固定ではないので、変わる可能性が大いにあります。最近は常時接続なので再接続しないかぎりＩＰは変わりませんが、ルーターの再起動等によって再接続した際はＩＰが変わりますので、再度ＩＰを調べて設定してください。
※ＩＰを固定にしたい場合は、割とお金と手間がかかるようです。

②.htaccessを編集・設置

「wordpressまでのパス]wordpress/wp-admin/以下に.htaccessというファイルを作り、以下の内容を記述して保存してください。
「255.255.255.255」の部分は上記で調べたＩＰを入れてください。

Order Deny,Allow
Deny from all
Allow from 255.255.255.255

上記の①と②だけで、特定ＩＰ以外からの管理画面へのアクセスを簡単に制御することができる。
これだけで、セキュリティはグっとあがったはずである。

written by YSU \\ tags: wordpress, セキュリティ, ワードプレス

今回からはword pressのセキュリティ向上のお話。
まずは第一回目。
テーマは「管理画面をインデックスされないようにする」こと。

以前別のドメインでwordpressを展開していたのだが、
困ったことにログイン画面がgoogleにインデックス化されてしまったことがある。
（インデックス化とは、検索されうる状態にあること）
この状態は当然のことながら危険であるし、危険・危険じゃないの前にみっともない。

一般的にインデックスされないためには、
サーバーのドキュメントルートにrobots.txtというテキストファイルを作成すればＯＫである。
robots.txtにはインデックスされないだけでなく、クロールの頻度やキャッシュの可否なども設定できるようなので、
詳しくはコチラを参考にするとよいだろう。

今回は以下のようなrobots.txtをつくり、ドキュメントルートに設置した。
やっていない方はいますぐにでもやったほうがいいだろう。

User-Agent: *
Disallow: /wp-*
Allow: /

これでgoogleのウェブマスターツールで確認したところ、
ブロックされているのが確認できた。

written by YSU \\ tags: seo, wordpress, セキュリティ, ワードプレス