コンテンツへスキップ

kin29.info

エンジニアの成長ブログですよ

I am

  • Twitter
  • GitHub

NEW

  • やっとUA→GA4に移行したよ【Google Analytics】
  • ペチコン2022の参加メモ
  • Heroku + SendGrid → GAS + Gmail に移行したよ
  • GASのテスト(Jest)を書く!!!
  • symfony/pantherでスクレイピングしてみた(Twitterのエゴサ結果をスクショする)

production

  • DJ-Kin29(Spotifyプレイリスト作成ツール)
  • kin29/ticket-hunter

CATEGORY

  • apache (1)
  • bash (2)
  • CI (2)
  • clasp (3)
  • cloud firestore (1)
  • composer (10)
  • Docker (1)
  • firebase (1)
  • Flutter (2)
  • GAS (8)
  • Git (20)
  • GitHub (2)
  • Googleアナリティクス (3)
  • Heroku (6)
  • HerokuPostgres (1)
  • htaccess (1)
  • HTML5 (4)
  • JavaScript (4)
  • Jest (2)
  • kodi (1)
  • Laravel (3)
  • LEGO (2)
  • Linux (5)
  • node.js (1)
  • npm (1)
  • npx (1)
  • osmc (1)
  • packagist (1)
  • PHP (56)
  • phpcon (1)
  • phpenv (4)
  • python (2)
  • QUnit (1)
  • Raspberry Pi (2)
  • SendGrid (2)
  • SOLIDの原則 (5)
  • SpotifyAPI (1)
  • SQL (17)
  • stripe (2)
  • SublimeText (3)
  • Symfony (9)
  • TypeScript (2)
  • ubuntu (1)
  • vagrant (1)
  • virtualbox (1)
  • WordPress (5)
  • デザインパターン (11)
  • テスト (2)
  • 原則 (7)
  • 小ネタ (2)
  • 技術者っぽいこと (107)
  • 未分類 (1)
  • 正規表現 (1)
  • 読んだ本 (15)

SEARCH

カテゴリー: htaccess

wordpressのセキュリティについて考えてみる

ある日、このブログのセキュリティについて少し考えました。
特に何もしておらずデフォルトのだったので・・・。
(何かされたわけではありませんw)

そこで、今回は

– ベーシック認証でのアクセス制限
– パーミッションの見直し
– アクセス制限(403 Forbidden)

をしてみました!

 

ベーシック認証でのアクセス制限

wp-admin/に.htaccessでベーシック認証をかけました。

これにより、wp-admin/やadmin/に
アクセスされた場合ベーシック認証が要求されます。
※ロリポップの場合、
管理画面>セキュリティ>アクセス制限より簡単に設定できます!
↑で設定すると、フォルダ直下に.htaccessと.htpasswdが新規作成されていることがわかります。

1 .htaccessを作成

恩師より、<Files ~ “^\.ht”>~</Files>も入れとけと指摘がありました。
これを指定することで、
「.htから始まるファイル名のファイル(.htaccessや.htpasswd)」
自体が外部から見れない(アクセスできない)ようになるそうです。
\ご指摘ありがとうございました!/

<Files ~ "^\.ht">
 Order allow,deny
 Deny from all
 Satisfy All
</Files>

AuthUserFile プルパス/.htpasswd
AuthGroupFile /dev/null
AuthName "admin"
AuthType Basic
require valid-user

2 .htpasswordを作成(ここで作成できます)

id:passのランダム数みたいなの

3  wp-admin/直下に、作成した.htaccessと.htpasswdを配置する。
パーミッションは604

 

 

パーミッション設定を見直してみる。

wp-configのパーミッション

wp-config.php が600です。

オーナ以外のユーザが0で
読み/書き/実行のすべての権限がないことを確認しました。

wp-config.php等へのアクセス制限(403 Forbidden)

今回は、wp-config.php・wp-cron.phpにアクセスされた場合、
403 Forbidden(=「閲覧禁止」「禁止されています」の意)
になるように設定しました。

ルート以下の.htaccessに以下を追加

# 403 Forbidden
<FilesMatch "^(wp-config\.php|wp-cron\.php)">
order allow,deny
deny from all
</FilesMatch>

 

わたしのブログの場合、こんな画面になります。

403ページ

他ファイルもアクセス制限をしたほうがセキュリティ的によさそうなので、
今後吟味していきたいです。

 

 

以上、2018年、平成最後の年末なので、
ちょいセキュリティ高めてみました。

みなさんもぜひ試してみてください。

また、オリジナルな404ページを作ってみたいなーって思いました。

投稿日: 2018-12-302019-01-16カテゴリー htaccess, WordPress, 技術者っぽいことタグ 403, admin, basic認証, htaccess, wordpress, wp, wp-admin, wp-config.php, wp-cron.php, wp-login.php, アクセス制限, パーミッション, ベーシック認証wordpressのセキュリティについて考えてみる にコメントを残す
Proudly powered by WordPress