サポート » 使い方全般 » ログインページへの不正アクセス対策を教えてください

  • 解決済 ringnir2

    (@ringnir2)


    ログインページ(wp-login.php)を.htaccessで特定IPアドレス以外アクセス禁止にしています。
    しかし設定したIP以外からアクセスされることがあります。

    正確には、Limit login attemptというプラグインのログインエラー通知が届きます。

    .htaccessを透過できる方法があるとは思えないので、
    wp-login.php以外にログインフォームに入力できる方法があるのかなと疑っています。

    とにかく、現状の対策では不正アクセスを弾けていないので、
    これ以外に何か方法があれば教えていただければと思います。

8件の返信を表示中 - 1 - 8件目 (全8件中)
  • 不正アクセスを何時制限する対策を施したかってところに行き着くんですが、一度不正アクセスを受ければ、以降のアクセスを予防できるぐらいに思うしか無いと考えています。

    アドレス/login と入れればログインページが表示されるぐらいの対策だったら尚更です。
    ユーザーIDを工夫しても、ソースコードを除けば推測が出来る。

    オープンソースであるWordPressの致し方ないところですが、ファイル構造が把握されているのですから。
    だからこそ、不正アクセス等セキュリティも重要な理由です。

    大原則として、サイトを作るだけ作って放置していれば隙につけいられる、改ざんされていればわかりやすいのですが踏み台にされていることのほうが怖いですね。
    パスワードの熱心な変更。サーバー内ファイルの変動を気をつけましょう。

    wp-admin以下全てを特定IPアドレス以外アクセス禁止にすればいいのではないでしょうか。
    ただ、wp-cronを弾いたりするので調整が必要かとは思います。

    トピック投稿者 ringnir2

    (@ringnir2)

    お二方とも、返信ありがとうございます。
    とりあえず、wp-adminのアクセス禁止をしてみました。
    プラグインの動作にも問題なさそうです。
    これで、不正アクセスはしばらく様子見しようと思います。

    トピック投稿者 ringnir2

    (@ringnir2)

    その後の経過ですが、wp-adminをアクセス禁止にしても無意味でした。
    不正アクセスの試みは相変わらずです。
    海外のアドレスなので、そのプロバイダを丸ごと禁止にしても問題ないんですが、
    また別の海外アドレスから来たら、
    その都度設定するという対処療法しか無さそうですね。

    /wp-adminに制限かけても鬱陶しいアクセスは続きます。
    WordPresssの表の入口はwp-login.php、裏口はxmlrpc.phpです。
    .htaccessでxmlrpc.phpへのアクセスを全て遮断すると平穏になりますが、JetPackやIFTTT、モバイルからの投稿アプリ等が使えなくなります。

    すみません、言われてみればwp-cronもコメントもxmlrpcもwp-adminよりも上の階層でした。
    サブディレクトリ運用でなければ、ファイル一つ一つに制限を掛ける必要がありそうですね。
    失礼いたしました。

    トピック投稿者 ringnir2

    (@ringnir2)

    返信ありがとうございます。

    生ログを見ると確かにxmlrpc.phpを使ってました。

    JetPackはどうせアクセス解析くらいだし、使用できなくても構わないので、
    .htaccessでxmlrpc.phpを遮断しました。

    ついでにwp-cron.phpも遮断しました。
    予約投稿できないと不便ですが、とりあえずの様子見です。

    トピック投稿者 ringnir2

    (@ringnir2)

    xmlrpc.phpの遮断で不正アクセスの試みは消えたようです。
    生ログにも残ってません。
    予約投稿については追々考慮します。
    ありがとうございました。

8件の返信を表示中 - 1 - 8件目 (全8件中)
  • トピック「ログインページへの不正アクセス対策を教えてください」には新たに返信することはできません。