最近WordPress関連の記事が続いていますが、せっかくなのでもう1つ。
簡単だけど意外にやっていないインストール時のセキュリティ対策を紹介しておきます。
目次
スポンサーリンク
WordPressをどこにインストールしていますか?
1つしかホームページを公開していない場合、public_html直下にデフォルトのフォルダ名でWordPressを設置している人もいるのではないでしょうか?
複数の独自ドメインでそれぞれWordPressを利用している場合でも、該当のドメインフォルダの直下にデフォルトのフォルダ名で設置していませんか?
デフォルトのフォルダ名でWordPressを設置した場合、ホームページを表示させるURLと管理するURLが同じになり分かりやすいですよね?
しかしながら、実はとても不正アクセスの可能性が高まります!
デフォルトのフォルダ名でWordPressをインストールし何もしなかった場合、ログインページのURLは以下になります。
https://●●●/wp-admin
ということは、ホームページのトップのURLに”/wp-admin”を付けてアクセスするだけで、誰もが簡単にログインページにアクセスできてしまうのです!
また、別の話ですがWordPressの便利な機能としてある”メタタグ”をページ上に表示させていた場合は、自らログインページを晒しているようなものなので避けた方がいいです。
スポンサーリンク
WordPressのインストール時にできる簡単なセキュリティ対策
では?どうすればいいか?
通常はこのような状況ではないでしょうか?
■ルートやドメインフォルダの直下にWordPressをデフォルトのフォルダ名でインストール
ログインページ:https://●●●.com/wp-admin
今回ご紹介するのは以下のようにインストールする設定です。
■WordPressのフォルダ名を変更しインストール
- WordPressのフォルダ名を変更しインストールします。
- WordPressインストール後に表示させるURLと管理画面のURLが別であることの設定をします。
表示URL | 管理画面のURL |
https://●●●.com/ | https://●●●.com/▲▲/wp-admin |
以上で第三者がログインページにアクセスしにくくすることができます!
具体的な方法はセキュリティ対策を兼ねたWordPressフォルダ(ディレクトリ)設定をご覧ください!
もちろん、作成するフォルダ名(▲▲部分)は推察されにくいものがいいです。
ありがちなのは、
- wordpress
- wp
等ですが、当然のように誰もが想像できてしまうので避けた方がいいですね?(^_^;)
スポンサーリンク
まとめ
いかがですか?意外に簡単な方法では無いでしょうか?
注意!
フォルダ名だけ変えた場合、ログインできなくなってしまうので、後日アップする設定方法をお待ちくださいm(_ _)m
どことはいいませんがけっこう大きな組織でも『WordPressで作ってそうなホームページだな?』ということで”/wp-admin”を付けて表示させてみると、簡単にログインページにアクセスできてしまうことがけっこうあります。
しかもログインページに文字認証等も設置していない場合、総当たり攻撃をされればログインされてしまうのは時間の問題です。
また、すでに公開しているホームページの場合、内部リンク等も変更しなければならない可能性があるのでご注意ください。
コメント