BASIC認証で不正アクセス対策

WordPressは利用ユーザーが多い分、不正アクセスされる可能性も高いと聞きました。
インターネットを利用する以上、どんなことをしてもリスクはゼロにはなりません。
ただし、様々な対策を講じることで対策をとることは可能です。

今回は、簡単にできる対策として、BASIC認証を行うことにしました。
BASIC認証は、特定のページやフォルダにアクセスする際にIDとパスワードの入力を求めるもので、比較的簡単に設定することができます。
こうすることにより、ログイン画面へ入る前にもう一段回のIDとパスワード入力が必要になります。
ドアのダブルロックと似ていますね。

私が行った設定方法を記載します。

    1. テキストエディタ(私はTeraPadを利用)で、.htpasswdファイルを作成する。
    2. パスワード暗号化ツールを利用してパスワードを暗号化する。
    3. できあがった文字(ID:******)を.htpasswdにコピーして保存する。
    4. .htpasswdファイルを任意フォルダにアップロードする。 ※可能であればwwwフォルダの外側に配置する。
    5. wordpressをインストールしたフォルダにある.htaccessファイルをダウンロードする。
    6. ダウンロードした.htaccessファイルの先頭に次の文言をコピーして保存する。
      <files wp-login.php>
      AuthUserFile /www/.htpasswd #.htpaswdファイルへのパス
      AuthName “Enter your ID and password.”
      AuthType Basic
      require valid-user
      </files>
    7. 変更した.htaccessファイルを上書きする。
    8. wp-adminフォルダに、.htaccessファイルを作成する。
    9. 作成した.htaccessファイルに次の文言をコピーして保存する。
      AuthUserFile /www/.htpasswd #.htpaswdファイルへのパス
      AuthName “Enter your ID and password.”
      AuthType Basic
      require valid-user<files admin-ajax.php>
      Satisfy Any
      Order allow,deny
      Allow from all
      </files>
    10. 作成した.htaccessファイルをwp-admin.phpフォルダにアップロード

 

.htpasswdへのファイルパスはサーバごとに違います。私は利用しているFTPソフトでファイルパスを確認しました。

 

ファイルをアップロードしたら、実際に管理画面へのログインを試みて動作を確認してください。

うまくできれいれば、IDとパスワードの入力を求めるウインドウが表示されるはずです。

 

ログインへの制限はプラグインでも可能ですが、たとえばIDとパスワードをランダムに生成して何度もログインを試すタイプの攻撃を受けた場合、何度もプラグインが動作してサーバに大きな負担がかかります。

ということで、なるべく小さな負荷でアクセス制限ができる手段として、まずはBASIC認証を設定してみました。


LINEで送る
LinkedIn にシェア
[`evernote` not found]

1件のコメント

返信を残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です