ある日、このブログのセキュリティについて少し考えました。
特に何もしておらずデフォルトのだったので・・・。
(何かされたわけではありませんw)
そこで、今回は
– ベーシック認証でのアクセス制限
– パーミッションの見直し
– アクセス制限(403 Forbidden)
をしてみました!
ベーシック認証でのアクセス制限
wp-admin/に.htaccessでベーシック認証をかけました。
これにより、wp-admin/やadmin/に
アクセスされた場合ベーシック認証が要求されます。
※ロリポップの場合、
管理画面>セキュリティ>アクセス制限より簡単に設定できます!
↑で設定すると、フォルダ直下に.htaccessと.htpasswdが新規作成されていることがわかります。
1 .htaccessを作成
恩師より、<Files ~ “^\.ht”>~</Files>も入れとけと指摘がありました。
これを指定することで、
「.htから始まるファイル名のファイル(.htaccessや.htpasswd)」
自体が外部から見れない(アクセスできない)ようになるそうです。
\ご指摘ありがとうございました!/
<Files ~ "^\.ht"> Order allow,deny Deny from all Satisfy All </Files> AuthUserFile プルパス/.htpasswd AuthGroupFile /dev/null AuthName "admin" AuthType Basic require valid-user
2 .htpasswordを作成(ここで作成できます)
id:passのランダム数みたいなの
3 wp-admin/直下に、作成した.htaccessと.htpasswdを配置する。
パーミッションは604
パーミッション設定を見直してみる。
wp-config.php が600です。
オーナ以外のユーザが0で
読み/書き/実行のすべての権限がないことを確認しました。
wp-config.php等へのアクセス制限(403 Forbidden)
今回は、wp-config.php・wp-cron.phpにアクセスされた場合、
403 Forbidden(=「閲覧禁止」「禁止されています」の意)
になるように設定しました。
ルート以下の.htaccessに以下を追加
# 403 Forbidden <FilesMatch "^(wp-config\.php|wp-cron\.php)"> order allow,deny deny from all </FilesMatch>
わたしのブログの場合、こんな画面になります。
他ファイルもアクセス制限をしたほうがセキュリティ的によさそうなので、
今後吟味していきたいです。
以上、2018年、平成最後の年末なので、
ちょいセキュリティ高めてみました。
みなさんもぜひ試してみてください。
また、オリジナルな404ページを作ってみたいなーって思いました。