管理画面のセキュリティ対策　[2010年01月27日(水)]

WordPressの管理画面へログインする際のファイル名は『wp-login.php』となっています。
WordPressを知っている人ならば、誰もがこのファイル名がログインURLだとわかるでしょう。

しかしこのファイル名はWordPress本ファイのプログラムやプラグインなどにも使用されており、変更は難しいと思います。

ですので、ファイル名を変更せずにできるセキュリティ強化の方法を紹介します。
http://mkt-system.jp/blog/archives/9.html

1,管理画面をインデックスされないようにする
インデックスとは、Googleなどの検索エンジンのデータベース登録され、検索の対象となることをいいます。
管理画面がインデックスされているのは危険ですし、検索対象になる必要はありません。
robots.txt ファイルを用意し、検索エンジンのデータベースに登録されないように指示します。
（robots.txt に関してはコチラを参考）
http://www.seotaisaku.com/seo/robotstxt.html

テキストエディタを開き、下記のように記述します。

User-Agent: *
Disallow: /wp-*
Allow: /

robots.txt という名前で保存し、ドキュメントルートに設置します。

2,IPアドレスによる制限
まずココで自身のIPアドレスを確認します。
http://www.ciber-germany.net/

次に htaccess.txt というファイルを作ります。
以下の内容を記述して保存してください。

Order Deny,Allow
Deny from all
Allow from 255.255.255.255

『255.255.255.255』の部分は最初に調べた自身のIPアドレスを記述してください。

このファイルを wp-admin 直下に設置し、.htaccess という名前に変更します。

この方法は固定IPアドレスでなければ少々面倒です。
一般のプロバイダ契約ですと、接続のたびにIPアドレスが変わります。
この場合『Allow from』に記述したIPアドレスを毎回変更しなくてはいけません。

3,プラグインを使う
WordPressのプラグインにも、最近ではセキュリティ関連のものが数多く配布されています。
下記プラグインは、アクセス元のIPもしくはホスト名によりアクセスの制限を行います。
【2】と同じ要領ですが、WordPressの管理画面から操作できるので便利です。

http://ja.forums.wordpress.org/topic/2665

ダウンロードしたzipファイルを解凍すると『ps-secure-press』というディレクトリが現れます。
この中にある ps-secure-press.php を wp-content/plugins/ にアップロードします。

管理画面にログインし、プラグイン > インストール済み のリストから PS SecurePress を使用中にします。

設定メニューに「アクセス制限」メニューが追加され、下記の画面で設定が行えます。

ラジオボタンで選択するか、該当のURLを入力することで制限領域を指定することができます。
許可IPにIPアドレス、もしくはホスト名を入力してアクセス制限をかけます。

WordPressなど、オープンソース（OSS）の導入はMKT-SYSTEMにご相談下さい。