2018年wordpressテーマ一挙レビュー!

wordpressのログイン画面をベーシック認証化させました

wordpress

ひすこです。最近めっぽう不正アクセスが多くなってきたんですね。

原因は多分コレ。

前にsiteguardという素晴らしい国産プラグインを使ってたんですが、mixhostにしてからは使ってないんです。理由は、LiteSpeedcache というcacheプラグインとの相性が悪いということが調べてわかったので、mixhostではsiteguardは使いません。(知らんのに使っててエラーが出たりしてるのに気づきませんでした)

久々のhow toですが、先人の知恵をお借りしてブログから抜粋してきたものになります。感謝です…!
宜しければ参考にしてみてくださいね。

【WordPress】ログイン画面にBasic認証を設定してみよう
こんにちは缶コーラです。 最近WordPressで構築されたサイトのログイン画面を狙って乗っ取りを試みる攻撃【総当たり攻撃】(Brute force attack:ブルートフォースアタック)がまた流行ってきてるみたいです。
スポンサーリンク

まず最初に、.htpasswdを作成します。

.htaccess ファイルを簡単作成「.htaccess Editor」
オンライン上でいとも簡単に.htaccessファイルを作...

上記のサイトでベーシック認証用のファイルの元を作成しましょう。

.htpasswdを作成

クリックorタップで大きく表示されます。

.htpasswdの欄に作成された文字データをコピーします。

作成し終えましたらエディターで、htpasswd.txtファイルとして保存を掛けましょう。

Macで作業するときはmiエディターか、atomで作業しています。

WindowではMeryもしくはatomで作業しています。

デフォルトで入っているメモ帳などのアプリでも大丈夫だと思います。

スポンサーリンク

次に、FTPで作成した、htpasswd.txtをFTPでアップロードしましょう。

アップロードし終えたら、htpasswd.txt.htpasswdにリネームしましょう。

リネームの仕方は優しく感覚を開けてダブルクリックか、
F2押しましょう。

ミスって違う名前にしちゃわないようにしましょうね。(一応このFileはミスってもokですよ)

スポンサーリンク

mixhostのCパネルにレッツゴー

この部分をメモします。

mixhostのcパネ

コピペしておいてね。

mixhostじゃない人はごめんね。

スポンサーリンク

wp-login.phpが存在するディレクトリーに、.htaccessに以下を追記しましょう

#ログインページにパスワードを掛けますよ
<Files wp-login.php>
AuthUserFile /home/●●●/public_html/hoge.com/hogehoge/.htpasswd
AuthName "Please enter your ID and password"
AuthType Basic
AuthGroupFile /dev/null
require valid-user
</Files>

#予約投稿でエラーになったら付ける
<FilesMatch "(async-upload\.php|wp-cron\.php|xmlrpc\.php)$">
Satisfy Any
Order allow,deny
Allow from all
Deny from none
</FilesMatch>

.htaccessには先程メモしておいた部分を
●●●と書いてあるところへ書き換えましょう。

hoge.com、
hogehogeに関しては、ご自身のwordpressの環境に合わせて変えてください。

.htaccessを追記

WP Htaccess Editorというwordpress上で.htaccessがいじれるようなプラグインを使ってます。おすすめです。

おすすめですが、一応.htaccessを弄るときはバックアップを取っておきましょうね。

間違えると真っ白になったりエラー吐いてログインできなくなったりするので(笑)

スポンサーリンク

テストしてみよう

普段使ってないブラウザーを起動したり、
グーグルクロームを使っている人は、ゲストモードでテストしてみましょう。

ゲストモードの立ち上げ方

自分のサイトを表示させて、
URLの最後にadminと入力してみてください。

相手のwordpressサイトを乗っ取ろうなんてしちゃ、駄目ですからね?

エンターキーを押してみて、以下のような画面が出てきて無事にログインができていれば完成しています。お疲れ様です。

見事成功した場合のベーシック認証後

出てこない人はもうひと踏ん張りしましょう。

余力がアレば、adminフォルダもパスワード指定してあげたほうがよいみたいですが、わたしはまたの機会にします。(笑)

こういった作業も結構、神経使ってしまう小心者です(;・∀・)

それにしても…ブルートフォースアタック怖いなぁ…。

ほんで、なう。

Jetpackのブロック数

5時間くらい様子見てますが、いまのところ… この数字から伸びてないので、いい感じかな?っと。

ブルートフォースアタックって私はやったことないのでわかりませんが、wordpressは世界的に使われている有名なCMSなのでかなりセキュリティーを上げる必要性があるとのことです。

前に務めていた会社も、主にお隣の国からのブルートフォースアタックを受けていて、ログイン画面に到達するのも重くなってきたことがありました。

それと、これは今回のベーシック認証と直接関係ないのかもしれませんが、このブログをphotonで画像をCDN化させていたんですがね。表示されなくなってしまいました。(;_;)

試しに別のサイトでも同じように、ベーシック認証をかけてみたのですが、表示されたので、このブログの設定が駄目なのかも。

それか前日に画像をプラグインで最適化したのでそのせいもあるのかもしれませんね。
プラグイン名はCompress JPEG & PNG imagesです。

月500枚まで無料で圧縮してくれる優れもののワイルドカード的なプラグインですが、使い方がよくわかってないので勉強不足ですね。

ということで、photon切りましたよっと。

ではでは、ここまで読んでくださってありがとうございます。
ログイン画面のベーシック認証、是非試してくださいね♪

コメント

トップへ戻る