This post is also available in: English-US (英語)
web_wordpress-logo-hoz-rgb
本記事では紹介していませんが、IPアドレスを指定して、それ以外のIPアドレスを遮断する設定とかもあります。IPアドレスが絡んでくると記事が長くなるので、とりあえず簡単に運用できるものだけ書いてます。
さらに詳しい内容は、上記の[WordPress Codex 日本語版]を参考にしてください。
また、別記事wordpress(wp-login/admin.php)にBasic認証をかける方法[補足でcoreserver(コアサーバー)]にて、wp-login.phpとadmin.phpにBasic認証で簡易ロックをかける方法も書いていますので、参考にしてみてください。
下記のコードを[.htaccess]ファイルに追記して不具合(更新できないとか、画像がアップロードできないとか)が生じた場合には、コードを削除してください。
ですが、下記のコードは必要最低限のセキュリティを守る内容なので、できれば不具合を解決する方向で考えることをおすすめします。
wp-config.phpファイルのアクセスを制限する
wp-config.phpはwordpressの基本設定のファイルなので、クラッキングされると設定を書き換えられたりします。セキュリティ的に最低限の対処はしておいた方がいい設定です。
# protect wp-config.php
<Files wp-config.php>
order allow,deny
deny from all
</Files>
.htaccessファイルのアクセスを制限する
.htaccessファイルの役割は重要度が高いので、クラッキングされると破壊力バツグンの被害となります。
セキュリティ的には最も重要な対処となります。
webサイトのコードを見ればwordpressを使っているのはすぐ分かりますし、wordpressはhtaccessで制御する方法が主流だからです。
#protect .htaccess <Files ~ "^\.ht"> Order allow,deny Deny from all </Files>
xmlrpc.phpファイルのアクセスを制限する
xmlrpc.phpは、ピンバックを利用したDoS攻撃の踏み台にされる可能性があります。
セキュリティ的には、踏み台にされると(自分にその気はなくとも)クラッキングのお手伝いをすることになります。
PCの管理画面からのみwordpressの更新をする場合には、下記のコードも追加するとよりセキュリティが高まります。
xmlrpc.phpへのアクセスを遮断するコードですので、xmlrpc.phpを利用した外部ブログエディタやスマートフォンからの更新はできなくなりますので、ご注意ください。
どうしてもxmlrpc.phpを使う必要がある場合には、指定IPアドレスのアクセスを許可するとか、国内IPからのアクセスのみ許可するとかいう方法もあります。
# protect xmlrpc.php <Files xmlrpc.php> Order Deny,Allow Deny from all </Files>
