結構な数でWordpressを使用しているサイトがありますが、そのサイトで/wp-adminなどと続けてみると、管理ページが出てきたりします。自分でインストールしている方であれば、ID/パスワードはそれなりのものに変更されているかと思いますが、あまり考えないとadmin/サイト名とかで入れたりしませんか?
そんな危険を回避するためにも、セキュリティの見直しをしてみては!
1.単純なところでは、ファイルパーミッションの変更
.htaccessとwp-config.phpです。
.htaccessは「604」にwp-config.phpは「400」か「404」に変更しておくことにより、許可制限ができます。
2..htaccessの変更
<Files wp-login.php>
order deny,allow
deny from all
allow from IPアドレスかホスト名
</Files>
を付け加えます。
そうするとwp-admin/とwp-login.phpには管理者以外アクセスできなくなります。
3.ワンタイムワードの導入
・事前に、スマートフォン Or iPhoneに「Google Authenticator」アプリをインストールしておきます。
設定の詳しい内容は、「Google 認証システムのインストール」
・次に、WordPress管理画面の「プラグイン>新規追加」から「Google Authenticator」プラグインをインストールします。
・設定は各ユーザーごとに行うので、ワンタイムパスワードを導入したいユーザーでログイン後、メニューの「ユーザー>あなたのプロフィール」で「Google Authenticator Settings」を探します。
・「Active」にチェックを入れて有効化、「Description」には、アプリに表示させたい説明を入力。その後、「Show/Hide QR code」をクリックして、アプリでQRコードを読み取ります。
以上で完了です。管理画面からログインしてみてください。(*^_^*)
これを導入したのですが、携帯の設定に失敗し、一旦解除し設定しなおしてから実行し成功した。また、手元にスマフォが無いとできない・・・等、セキュリティはちょっとした手間を惜しんではいけないと感じました。