WP 不正ログインのセキュリティー対策追加

先日、サイト管理画面にログインして記事編集していると....サイドバーのウィジェットの並びがメチャメチャになっていました。不正ログインの形跡は見当たらないし、よくよく見るとウィジェットの並びがおかしくなっているのは、記事ページに関するphp書類の一部変更に伴うものだったので...あぁ心当たりあるなぁ...ということでスルーしておりましたが、そう言えば不正ログイン対策忘れてた、ので追加しておきました。

簡単なヤツ .htaccess 追記

管理画面やログイン画面へのアクセスを制限するプラグインなんかもたくさんありますが、下書きやメモはともかく記事のサイトアップやサイト編集は、ジブンは基本自宅作業か仕事場からなのでアクセスIPを限定してやることにしました。

WordPress書類がインストールされているサーバーディレクトリの .htaccess に下記を追記しました。

<FilesMatch "^(wp-config\.php|wp-mail\.php|install\.php|\.htaccess|\.htpasswd)">
order allow,deny
deny from all
Allow from xx.xxx.xx.xxx
Allow from ●●●.●●.●●●.●●●
</FilesMatch>

<Files wp-login.php>
Order deny,allow
Deny from all
Allow from xx.xxx.xx.xxx
Allow from ●●●.●●.●●●.●●●
</Files>

Allow from xx.xxx.xx.xxx、Allow from ●●●.●●.●●●.●●●部分が自宅と仕事場のジブンのPCのIPアドレスです。

昔、知り合いが同様の設定で「つながらなくなった!」騒ぎで連絡してきたことがありましたが、プロバイダ/大手キャリア契約IPは必ずしも固定ではなくてたまに変わったりすることがあります(ほとんど変わらない)慌てずSFTP接続で.htaccess を開いて新しいIPに書き換えてやればOKです。

同様に外出先からどうしてもアクセスしたいとき、スマホのテザリング経由でWPログインしたいときは、接続中IPを調べて(https://www.ugtop.com/ とか).htaccess 書き換えしてやればOKです。

頻繁に必要だったら「.htaccess 書き換え」前提でAutomatorを用意しておけば問題ないです。