27. 2. ログイン制限
②IP / ホスト制限
<Files ‘wp-config.php’>
deny from all
</Files>
wp-config.phpへの制限 (.htaccess)
このファイルにはDBアクセス情報
が入っている
28. 2. ログイン制限
②IP / ホスト制限
<Files ‘wp-login.php’>
Order Deny, Allow
Deny from all
Allow from 127.0.0.0/8
Allow from uqwimax.jp
</Files>
wp-login.phpへの制限 (.htaccess)
「IPアドレスチェック」で接続端末のインターネットから見え
るグローバルIPアドレスとクライアントホスト名をチェック
プロバイダ全体
でも効果あり
29. ログイン制限による予防
②IP / ホスト制限
<Limit GET POST>
Order Deny, Allow
Deny from all
Allow from 127.0.0.0/8
Allow from uqwimax.jp
</Limit>
<Files 'admin-ajax.php'>
Order Allow,Deny
Allow from all
Satisfy any
</Files>
/wp-admin/への制限 (wp-admin/.htaccess)
テーマ/プラグインによって、制限
で動作しなくなる可能性の排除
WordPress Codex 日本語版
http://wpdocs.osdn.jp/ブルート
フォース攻撃
30. 2. ログイン制限
②IP / ホスト制限
<Files ‘xmlrpc.php’>
Order Deny, Allow
deny from all
allow from jetpack.wordpress.com
allow from 192.0.0.0/255.255.0.0
</Files>
xmlrpc.phpへの制限 (wp-admin/.htaccess)
JetPack対策
wp-config.php
add_filter('xmlrpc_enabled','__return_false'); Pinbackは防げない
SiteGuard WP Pluginや WP Total Hacksプラグイン等のプラグインに
よるピンバックブロック機能も使えるかも
44. Acunetix WP Security
- Settings-
Hide WordPress version for all users but administrators
Remove various meta tags generators from the blog's head tag for
non-administrators
Try to create the index.php file in the wp-content, wp-
content/plugins, wp-content/themes and wp-content/uploads
directories to prevent directory listing
Remove the version parameter from urls
Empty the content of the readme.html file from the root directory