何でもありの、ごちゃまぜブログ。

WordPressのログインページ(wp-login.php)へのアクセスを制限する

2013.09.05

WordPressのログインページ(wp-login.php)へのアクセスを制限する はコメントを受け付けていません。

「ロリポップ!レンタルサーバー」への第三者による大規模攻撃が発生して、セキュリティの重要性を再認識しました!

そこで、セキュリティの勉強をしながら、学んだことを記事にしていこうと思います!

今回は「WordPressのログインページ(wp-login.php)へのアクセスを制限する方法」の手順記録。よかったら参考にしてください。

前提知識

WordPressのログインページ(wp-login.php)へのアクセスを制限するには、「.htaccess」というwebサーバの設定ファイルを利用します。

webサーバーの設定には、「httpd.conf」と「.htaccess」という2つの設定ファイルが利用されるようです。

“httpd.conf”はメインの設定ファイルで、Webサーバ管理者のみが変更できるファイル。ロリポップでいえば、「株式会社paperboy&co.」でWebサーバを管理している方のみが変更できるファイルでしょう!

一方“.htaccess”はサブの設定ファイルで、Webサーバ管理者以外でも変更できるファイル。ロリポップでいえば、「株式会社paperboy&co.」とレンタルサーバーの契約をしたユーザー(ウェブサイトの管理者)になるでしょう。

今回は、ウェブサイトの管理者が変更できる「.htaccess」というファイルを利用して、WordPressのログインページ(wp-login.php)へのアクセスを制限する設定をおこないます。

WordPressのログインページ(wp-login.php)へのアクセスを制限する方法

ロリポップにログインし、[WEBツール]の上にマウスのカーソルをのせます。

[ロリポップ!FTP]をクリックします。

Webサーバ内のディレクトリやファイルの一覧が表示されるので、WordPressをインストールしたディレクトリまで移動します。「wp-login.php」というファイルがあるのを確認します。

「wp-login.php」というファイルがあるフォルダ内に「.htaccess」というファイルがあるので、このファイルをクリックします。

すると、下に画像のような画面が表示されるので、画像の赤枠の部分にあとで紹介する内容を貼り付け、保存します。

これで、WordPressのログインページ(wp-login.php)へのアクセスを制限することができます。

上記画像で貼り付けた内容は、以下の赤枠部分です。ただし、「xxx.xxx.xxx.xxx」の赤文字の部分は、「アクセス情報【使用中のIPアドレス確認】」で表示されるIPアドレスで書き換える必要があります。

赤枠の内容をざっくり説明します。赤枠内の「deny from all」の部分で、一旦すべてアクセスを拒否します。そして、その下の「allow from xxx.xxx.xxx.xxx」の部分で、例外としてアクセスを許可するIPアドレスを指定します。アクセスを許可するIPアドレスが複数あるのであれば、改行して「allow from xxx.xxx.xxx.xxx」を追加します。アクセスを許可するIPアドレスの数のぶんだけ改行して同じ指定をしていきます。なお、アクセスを許可する対象は、IPアドレスだけでなくドメインで指定することもできるようです。

<Files wp-login.php>
Order deny,allow
Deny from all
Allow from xxx.xxx.xxx.xxx
</Files>

 

アクセス情報【使用中のIPアドレス確認】のページを表示すると、以下の赤枠部分に自分のIPアドレスが表示されますので、これをコピーして、上の「xxx.xxx.xxx.xxx」の部分に貼り付けます。

これで、指定したIPアドレス以外から「WordPressのログインページ(wp-login.php)」へアクセスすることができなくなります。

参考にさせて頂いた記事

■ロリポップ

■Wikipedia

■Apache入門

関連記事

コメントは利用できません。