先日ブログのセキュリティー対策でWAFを導入した事を書いた。
現在のところフロントもバックエンドも影響は無いようだ。
SSLも入れてみたいのだがもう少しやり方を考えてみる事にする。
今回は良く問題になる管理画面へのログインページのURLについて対策をしてみた。
WordPressの管理画面ログインページは同じやん
前から気になっていた事だがWordPressのログインページのURLは次のようになる。
http://ドメイン/インストールディレクトリ/wp-admin/
これがデフォルトなのだ。
だからおおかたURLから想像がついてしまう事になる。
これを想像しにくいURLに変えるのは有効な手段だと思っている。
WordPressの管理画面ログインURLを変える
WordPressの管理画面ログインURLを変えるために使用したのが「All In One WP Security」というプラグインだ。
このプラグインは非常に多機能で様々な設定があり各機能は非常に魅力的なのだが今回はログインURLを変えるという設定だけをしてみた。
「All In One WP Security」の設定の中でBrute Forceという項目がある。
この項目は指定する箇所は1つだけで任意の文字列を指定する。例えば「hoge」と指定したとしよう。
するとWordPressの管理画面へのログインURLが
http://ドメイン/インストールディレクトリ/?hoge/ に変更される。
これで想像しがたいURLになって攻撃を受けにくくなるという訳だ。
次回はログインに失敗した時の回数を設定しようと思う
WordPress管理画面へのログインURLの変更と合わせてやっておきたいことがある。
それはログインに何回か失敗すると一定時間受け付けなくなる機能だ。
この機能も「All In One WP Security」で実現できる。
これはなかなか使えるプラグインだと思った。
セキュリティー対策は一気に導入せずボチボチとテストしていかないと何が何だか分からなくなる。
対策毎に報告したいと思う。
今回はこのへんで
では
