[簡易版]wordpressセキュリティ強化のための.htaccess設定例

記事公開日:
最終更新日:

This post is also available in: English-US (英語)

web_wordpress-logo-hoz-rgb

web_wordpress-logo-hoz-rgb

本記事では紹介していませんが、IPアドレスを指定して、それ以外のIPアドレスを遮断する設定とかもあります。IPアドレスが絡んでくると記事が長くなるので、とりあえず簡単に運用できるものだけ書いてます。

さらに詳しい内容は、上記の[WordPress Codex 日本語版]を参考にしてください。

また、別記事wordpress(wp-login/admin.php)にBasic認証をかける方法[補足でcoreserver(コアサーバー)]にて、wp-login.phpとadmin.phpにBasic認証で簡易ロックをかける方法も書いていますので、参考にしてみてください。

下記のコードを[.htaccess]ファイルに追記して不具合(更新できないとか、画像がアップロードできないとか)が生じた場合には、コードを削除してください。
ですが、下記のコードは必要最低限のセキュリティを守る内容なので、できれば不具合を解決する方向で考えることをおすすめします。

wp-config.phpファイルのアクセスを制限する

wp-config.phpはwordpressの基本設定のファイルなので、クラッキングされると設定を書き換えられたりします。セキュリティ的に最低限の対処はしておいた方がいい設定です。

# protect wp-config.php
<Files wp-config.php>
    order allow,deny
    deny from all
</Files>

.htaccessファイルのアクセスを制限する

.htaccessファイルの役割は重要度が高いので、クラッキングされると破壊力バツグンの被害となります。
セキュリティ的には最も重要な対処となります。
webサイトのコードを見ればwordpressを使っているのはすぐ分かりますし、wordpressはhtaccessで制御する方法が主流だからです。

#protect .htaccess
<Files ~ "^\.ht">
	Order allow,deny
	Deny from all 
</Files>

xmlrpc.phpファイルのアクセスを制限する

xmlrpc.phpは、ピンバックを利用したDoS攻撃の踏み台にされる可能性があります。
セキュリティ的には、踏み台にされると(自分にその気はなくとも)クラッキングのお手伝いをすることになります。

PCの管理画面からのみwordpressの更新をする場合には、下記のコードも追加するとよりセキュリティが高まります。

xmlrpc.phpへのアクセスを遮断するコードですので、xmlrpc.phpを利用した外部ブログエディタやスマートフォンからの更新はできなくなりますので、ご注意ください。

どうしてもxmlrpc.phpを使う必要がある場合には、指定IPアドレスのアクセスを許可するとか、国内IPからのアクセスのみ許可するとかいう方法もあります。

# protect xmlrpc.php
<Files xmlrpc.php>
	Order Deny,Allow
	Deny from all
</Files>

参考引用:ブルートフォース攻撃 - WordPress Codex 日本語版

About
Amelt.net,LLCの創業者で、費用対効果の高い統合webマーケティングによりビジネスパートナーとして継続的にサポート。詳しいより。ブログの更新情報TwitterLinkedIn、またRSSfeedlyにてお知らせしていますのでフォローよろしくお願い致します。