WordPress認証問題

WordPressを運用していると、悩ましい問題に直面する。

それは、WordPressの管理画面、wp-loginに簡単にアクセスできてしまうことである。

当然、ログインするにはIDパスワードは必要である。だが、当該アドレスにアクセスできる以上、アタックを許してしまうことになる。これはいけない。

かの有名なアニメ「新幹線変形ロボ シンカリオン」の公式ページ(http://www.shinkalion.com/)でさえ、この対策はなされていない。wp-login.phpにアクセスできてしまうのである。

でこの対策をapacheのディレクテブで対処してみた。apache2.conf に以下を追加するだけである。

<FilesMatch "wp-login\.php">
    Order deny,allow
    Deny from all
    Allow from 192.168.1.0/24
</FilesMatch>

一旦 deny allした後、allow で許可を指定するのが、ポイントである。

これで、内部のネットワーク(192.168.1.0/24)以外からは、Permission Denied となる。

インターネットからアクセスするには、VPN、あるいは内部プロキシを利用することになる。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です