WordPress管理画面 - 不正アクセス対策をして攻撃者から自分のブログを守ろう!(Digest認証/管理画面ログインURL変更)

WordPress管理画面の不正アクセス対策について、僕が実践している方法をご紹介します。
WordPress管理画面ログインURLは、基本的に何も変更していなければ、http://hogehoge.com/wp-admin のように「ドメイン名 or IPアドレス + /wp-admin」のURLで誰でもアクセスできてしまいます。

これは非常にまずいです。ブルートフォースアタックされたが最後、ウェブサイトがいつのまにか吉幾三の応援ブログと化していることでしょう。 こうならないためにも、僕が実践している方法を是非ご活用頂ければと思います。

目次

1. 不正アクセス対策方法
2. Digest認証設定方法
3. 管理画面ログインURL変更方法

1. 不正アクセス対策方法

僕が実践しているWordPress管理画面に対する不正アクセス対策は、「Digest認証」と「管理画面ログインURL変更」の2つです。 基本的にこの2つの方法で、ウェブサイトがいつのまにか吉幾三の応援ブログに改変されることはありません。

理由は、一意に指定したログインURLを特定するのは確率的に難しく、万が一特定されたとしても盗聴が難しいDigest認証+WordPressログイン認証が待ち構えているためです。これを突破する力がある人に攻撃されたらもうどうしようもないでしょう。吉幾三の応援ブログになるのを甘んじて受け入れましょう。

以降で具体的な方法を説明していきます。

2. Digest認証設定方法

過去記事のDigest認証設定方法を参考に設定頂ければと思います。 ※ 記事内「前提」の「Digest認証の設定対象ディレクトリ:」, 「httpd.confのパス: 」は各自の環境に応じて変更してください。

3. 管理画面ログインURL変更方法

前提
  1. WordPressバージョン: 4.4.3
  2. 使用プラグイン: Login rebuilder(2.2.0)
  3. WodrPress配置サーバーOS: CentOS6.6

プラグイン導入方法

基本的にプラグイン導入方法紹介記事を参考にすることで導入/設定可能です。 ただし、僕の環境だけかもしれませんが「新しいログインファイル」を定義したとき、手動で「新しいログインファイル」を作成しなければいけませんでした。 作成方法は後述の「新しいログインファイル定義方法」をご参考願います。

新しいログインファイル定義方法

以下コードブロック内のコマンドをWordPressが配置されているサーバー上で実行することで定義可能です。

# 「パス」はプラグイン導入方法紹介記事の「新しいログインファイル」に記載されている「Path」部分に置き換えてください。  
$ sudo vim パス

Note--------------  
以下を追加。 ※ 例としてプラグイン導入方法紹介記事の内容を記述しています。
各自によって表示されている内容が異なるので、各自で表示されている内容を記述してください。

<?php
define('LOGIN_REBUILDER_SIGNATURE', '4gNi4UZ3');  
require_once 'C:/Program Files (x86)/Apache Software Foundation/Apache2.2/htdocs/wp-login.php';  
$ sudo chmod 664 パス
$ sudo chown apache:apache パス
------------------

記事がお役に立ちましたらSNS等で紹介頂ければ泣いて喜びます。