WordPressのログイン履歴を記録するPlug-inに「Crazy Bone」というOKAMOTO Wataru さんが作った有名なPlug-inがある。
そこに同じIPアドレスから1日に300回以上のアタックが記録されていた。
WordPressは世界中で使われているため、管理画面へのセキュリティには気をつけなくてはならない。
一般にWordPresset(以下wp)への管理画面は以下のアドレスが用いられる。
http://www.hogehoge.jp/wp-login.php
悪意のある者(攻撃者)にとっては容易に辿りつけてしまう。
そこで、管理画面にアクセス制限を使用することにした。
私がふだん使用するWindowsServer2008(R2)のIIS7.5で説明する。
IIS7.5でディレクトリへのセキュリティを上げる方法は複数存在する。
ASP.NET偽装認証、IPアドレス、及びドメインによる制限、承認規則、認証による方法などである。
今回は、単に管理画面へのアクセスを制限したいので、【基本認証】を有効にして二重認証方式を取ることにする。
まず、ファイル名を指定して実行から「InetMgr.exe」を実行する。
するとインターネットインフォメーションサービス(IIS)マネージャーが開くので、左側のペインから目的のwpサイトを開き一番下の機能ビューをコンテンツビューに変更する。
wp-login.php を探し、右クリック。
①wp-login.phpが選択されていることを確認し、②セキュリティの「認証」を右クリック、③「機能を開く」をクリック
「匿名認証」が「有効」になっているが、これを「無効」とする。
続いて「基本認証」を「有効」にする。
これで、管理画面が二重認証化され、セキュリティがUPする。
