カテゴリー
WordPress

今更ながらのアクセス制限-#2。

The same article in English

 半年くらい前に,こんな記事を書いた。 wp-login.php に対するアクセス制限の話だ。その後, SSL を有効にして,モバイルアクセスもできるようにしていたのだが,本日,また少し変更した。

 あのときに作った, access-denied.conf を開けて以下のように変更した。見ていただくと分かるように, wp-login.php と同じ制限を wp-admin にも加えたわけだ。

旧:
<Files “wp-login.php”>
  Require ip xxx.xxx.xxx.xxx/xx  <<--- 自宅LANのIPアドレス   Require host モバイルのホスト名 </Files> 新: <Files "wp-login.php">   Require ip xxx.xxx.xxx.xxx/xx  <<--- 自宅LANのIPアドレス   Require host モバイルのホスト名 </Files> <Directory "drive_DC:/WEB/htdocs/wp-admin">  <<--- drive_DC:/WEB/htdocs/ は自鯖のドキュメントルート   Require ip xxx.xxx.xxx.xxx/xx  <<--- 自宅LANのIPアドレス   Require host モバイルのホスト名   <Files "wp-admin-ajax.php">     Require all granted   </Files> </Directory>  このルールから, admin-ajax.php を外しているのは,「Re: WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目」に書いてあったからだが,実際に調べてみると,我が家のプラグインのいくつかも, wp_ajax_(action) フックを使用していたので,前もって, wokamoto さんのメモに気づいていてよかったと思った。でなかったら,きっと,ハマりまくっていたことだろう。

 変更は,ちゃんと効いている。メデタシ。 (^^)