半年くらい前に,こんな記事を書いた。 wp-login.php に対するアクセス制限の話だ。その後, SSL を有効にして,モバイルアクセスもできるようにしていたのだが,本日,また少し変更した。
あのときに作った, access-denied.conf を開けて以下のように変更した。見ていただくと分かるように, wp-login.php と同じ制限を wp-admin にも加えたわけだ。
旧:
<Files “wp-login.php”>
Require ip xxx.xxx.xxx.xxx/xx <<--- 自宅LANのIPアドレス
Require host モバイルのホスト名
</Files>
新:
<Files "wp-login.php">
Require ip xxx.xxx.xxx.xxx/xx <<--- 自宅LANのIPアドレス
Require host モバイルのホスト名
</Files>
<Directory "drive_DC:/WEB/htdocs/wp-admin"> <<--- drive_DC:/WEB/htdocs/ は自鯖のドキュメントルート
Require ip xxx.xxx.xxx.xxx/xx <<--- 自宅LANのIPアドレス
Require host モバイルのホスト名
<Files "wp-admin-ajax.php">
Require all granted
</Files>
</Directory>
このルールから, admin-ajax.php を外しているのは,「Re: WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目」に書いてあったからだが,実際に調べてみると,我が家のプラグインのいくつかも, wp_ajax_(action) フックを使用していたので,前もって, wokamoto さんのメモに気づいていてよかったと思った。でなかったら,きっと,ハマりまくっていたことだろう。
変更は,ちゃんと効いている。メデタシ。 (^^)