WordPress管理画面へのアクセスのセキュリティを上げる

この記事を読むのに必要な時間は約 3 分です。

WordPressのログイン履歴を記録するPlug-inに「Crazy Bone」というOKAMOTO Wataru さんが作った有名なPlug-inがある。

そこに同じIPアドレスから1日に300回以上のアタックが記録されていた。

WordPressは世界中で使われているため、管理画面へのセキュリティには気をつけなくてはならない。

一般にWordPresset(以下wp)への管理画面は以下のアドレスが用いられる。

http://www.hogehoge.jp/wp-login.php

悪意のある者(攻撃者)にとっては容易に辿りつけてしまう。

そこで、管理画面にアクセス制限を使用することにした。
私がふだん使用するWindowsServer2008(R2)のIIS7.5で説明する。

IIS7.5でディレクトリへのセキュリティを上げる方法は複数存在する。
ASP.NET偽装認証、IPアドレス、及びドメインによる制限、承認規則、認証による方法などである。

今回は、単に管理画面へのアクセスを制限したいので、【基本認証】を有効にして二重認証方式を取ることにする。

まず、ファイル名を指定して実行から「InetMgr.exe」を実行する。
secul4

するとインターネットインフォメーションサービス(IIS)マネージャーが開くので、左側のペインから目的のwpサイトを開き一番下の機能ビューをコンテンツビューに変更する。

wp-login.php を探し、右クリック。
secul

①wp-login.phpが選択されていることを確認し、②セキュリティの「認証」を右クリック、③「機能を開く」をクリック

secul2

「匿名認証」が「有効」になっているが、これを「無効」とする。
続いて「基本認証」を「有効」にする。

secul3

これで、管理画面が二重認証化され、セキュリティがUPする。