Security(セキュリティ)

WP(WordPress)

【WordPress】アクセス制限を掛けておくべきファイルのまとめ

WordPressのアクセス制限を掛けておくべきファイルをまとめてみました。

xmlrpc.phpへのアクセス制限

・ピンバック機能(WordPressのサイトにリンクが貼られた時に通知をしてくれる)
・iPhone、Androidなどのスマホアプリからの記事の更新
・メール投稿
で利用されるスクリプトです。

ただ、このxmlrpc.phpを使った不正投稿が度々問題になることがあります。
弊社でも、過去に1度だけ被害を受けたことがあります。

ピンバック機能なんて無くても全く問題ないです。
メール投稿機能も、今の時代、使用している人間などほぼいないです。

スマホアプリから投稿できなくなるのは痛いですが、
そこまで重要ではないので、極力アクセスを制限してしまいましょう。

注意点
xmlrpc.phpは、プラグインでも使用している場合も多いです。
有名なところであれば、Jetpackxmlrpc.phpと連携している為に、
xmlrpc.phpへアクセス制限が掛かっていると、機能しない部分もあります。

そもそも、Jetpackなんて使う必要があるのか?という疑問もありますが、
その辺はどうするのか考慮する必要も出てきます。

アクセス制限の設定方法

以下の記述を行った.htaccessxmlrpc.phpと同じ階層にアップして下さい。

<Files xmlrpc\.php>
Order deny,allow
Deny from all
</Files>

 

wp-cron.phpへのアクセス制限

予約投稿やアップデート通知など時間と連動した処理に使用されるプログラムを記述したファイルです。

wp-cron.phpも不正アクセスに利用される可能性があるので、
もし予約投稿を使っていない場合や、アップデート通知不要の場合には、
アクセス制限を掛けておきましょう。

アクセス制限の設定方法

以下の記述を行った.htaccesswp-cron.phpと同じ階層にアップして下さい。

<Files wp-cron\.php>
Order deny,allow
Deny from all
</Files>

 

wp-login.phpへのアクセス制限

wp-login.phpへのアクセス制限を掛けている方は多いのではないでしょうか?

サイト運用者や制作者以外が管理画面にログインする必要はないので、
それら以外の人間がアクセスする必要のないファイルになります。

可能であれば、特定のIPアドレス以外からのアクセスを制限することをおすすめします。

アクセス制限の設定方法

以下の記述を行った.htaccesswp-login.phpと同じ階層にアップして下さい。

<Files wp-login\.php>
Order deny,allow
Deny from all
Allow from xxxx.xxxx.xxxx.xxxx
</Files>

「xxxx.xxxx.xxxx.xxxx」は、サイト運用者や制作者の環境のIPアドレスに変更して下さい。

これにより、「Allow from xxxx.xxxx.xxxx.xxxx」へ設定したIPアドレスのみがアクセス可能になります。
もし複数の場所からアクセスする場合には、
Allow from xxxx.xxxx.xxxx.xxxx」を追加すれば、複数のIPアドレスからのアクセスが可能になります。

ただし、こちは特定のIPアドレスからのアクセスのみを許可する方法なので、
オフィスのIPアドレスが固定されている場合に限ります。
※固定IPアドレスを取得されていない場合には設定不可になります。

 

管理画面「wp-admin」へのアクセス制限

管理画面「wp-admin」も、wp-login.phpと同様に、
サイト運用者や制作者以外がアクセスする必要のない画面になります。

可能であれば、特定のIPアドレス以外からのアクセスを制限することをおすすめします。

アクセス制限の設定方法

以下を記述した.htaccessをwp-adminディレクトリ直下にアップして下さい。

Order deny,allow
Deny from all
Allow from xxxx.xxxx.xxxx.xxxx

 

wp-config.phpへのアクセス制限

WordPressで使用する諸々の情報を記載するファイルです。
例えば、データベースのアカウントやテーブルのプレフィクスなどの重要な情報を記述します。

wp-config.phpのアクセス制限については、以下にまとめているので、
そちらを参照して頂ければと思います。
[ wp-config.phpへのアクセス制限 ]

 

記述をひとまとめにする

mlrpc.php、wp-cron.php、wp-config.php
は、同一階層に設置されているファイルです。

もし、全てのファイルにアクセス制限を掛ける場合には、
以下のようにひとまとめにして下さい。

<Files ~ "^(mlrpc\.php|wp-cron\.php|wp-config\.php)$">
Deny from all
</Files>

※複数ファイル設定する場合、パイプライン(|)で区切ります。

弊社では、以下の方に向けて、WordPressの短期学習プログラムを
格安(15,000円~)で提供しております。

  • 個人でWordPressを使ったサイト(個人ブログやアフィリエイトサイトなど)構築をお考えの方
  • WordPressを使って副業で稼ぎたい方
  • フリーランスでWordPressを使ったお仕事をお考えの方
  • 自社でホームページの構築・運用をお考えの方
  • 企業のWEB担当者の方

内容

基本的には、初心者の方を対象にした学習プログラムです。

※ WordPress制作の上級者の方の場合、弊社の学習プログラムはあまり役に立たないと考えています。

  • ・ WordPressのインストールからセッティングの方法
  • ・ WordPressのテーマ選びについて
  • ・ WordPressのプラグイン選びと設定方法について
  • ・ サーバの準備方法
  • ・ ドメインの取得・管理の方法
  • ・ FTPの設定方法
  • など

ご用意頂くもの

  • ・ ノートPC
    ※ 弊社はWindowsを業務で利用しておりますので、できればWindowsのPCをおすすめしています。
  • WordPressでサイトの制作を考えているが、何から始めればいいのか分からない。
  • ドメインやサーバはどうやって準備すればいいの?
  • そもそもホームページの公開には何が必要なの?

などなど、

どのような内容でも構いませんので、お気軽にお問い合わせ下さい。

お客様の目的をお聞きした上で、最適の学習プランを提案致します。

ご興味のある方は、以下の内容を記載の上、一度お問い合わせ下さい。
こちらより、折り返しメールを致します。

  • ① お名前
  • ② 折り返し先のメールアドレス
  • ③ 希望の学習内容

関連記事

  1. WordPress(ワードプレス)

    WP(WordPress)

    「WordPress JSON REST API」を使って記事を取得です。

    今週は個人的に「JSON REST API」週間と銘打っているので、…

  2. WordPress(ワードプレス)

    WP(WordPress)

    「WordPress JSON REST API」を使って、記事個別ページを作成

    個別記事のデータを取得した場合には、http://www.samp…

  3. バージョンアップ

    WP(WordPress)

    WordPress 5.0 'Bebo'

    WordPress5.0へバージョンアップWordPr…

  4. WP(WordPress)

    「ゆるゆるカフェ」に参加!!

    昨日、WordPressイベントに参加してきました。&nbsp…

  5. WordPress(ワードプレス)

    WP(WordPress)

    WP アイキャッチ画像を管理画面の投稿一覧に表示

    前回の記事、アイキャッチ機能の追加の続きになるのですが、WordP…

  6. Twitter

最近の記事

  1. MySQL(マイエスキューエル)
  2. MySQL(マイエスキューエル)
  3. WordPress(WP)
  4. SEO(エスイーオー)
  5. ホームページを活用
  6. SEO(エスイーオー)
  7. SNS(ソーシャルメディア)
  8. ホームページ制作ツール
  9. WordPress(ワードプレス)
  10. SNS(ソーシャルメディア)
PAGE TOP