カテゴリー: wordpress

WordPress認証問題

WordPressを運用していると、悩ましい問題に直面する。 それは、WordPressの管理画面、wp-loginに簡単にアクセスできてしまうことである。 当然、ログインするにはIDパスワードは必要である。だが、当該アドレスにアクセスできる以上、アタックを許してしまうことになる。これはいけない。 かの有名なアニメ「新幹線変形ロボ シンカリオン」の公式ページ(http://www.shinkalion.com/)でさえ、この対策はなされていない。wp-login.phpにアクセスできてしまうのである。 でこの対策をapacheのディレクテブで対処してみた。apache2.conf に以下を追加するだけである。 <FilesMatch “wp-login\.php”> Order deny,allow Deny from all Allow from 192.168.1.0/24 </FilesMatch> 一旦 deny allした後、allow で許可を指定するのが、ポイントである。 これで、内部のネットワーク(192.168.1.0/24)以外からは、Permission Denied となる。 インターネットからアクセスするには、VPN、あるいは内部プロキシを利用することになる。