WordPress のセキュリティ向上対策のご案内

WordPress をご利用のお客様へ

WordPress をご利用して Web サイトを製作されているご担当者様に、
不正アクセス対策として、「.htaccess」によるログインページ (wp-login.php)
およびリモート投稿機能(XMLRPC)へのアクセス制限をお願いいたします。

ログインページについてのアクセス制限については、
アクセスする際の IP アドレスまたはホスト名によって制限をかける方法と、
ログインページにアクセスするための ID / パスワードを設定する方法があります。

また、リモート投稿機能(XMLRPC)については、
その脆弱性を悪用される恐れがありますので、無効化をお願いいたします。

いずれの場合も「.htaccess」という名のファイルによって制限をかけます。
この項では、.htaccess ファイルに記述する内容をご案内いたします。

WordPress をご利用の場合、WordPress 設置ディレクトリ内に、
自動生成された .htaccess ファイルが存在することが多いので、
そちらの最終行の後に追記ください。
存在しなかった場合は、テキストエディタなどで編集してアップロード、
ファイル名を「.htaccess」としてください。

なお、.htaccess ファイル閲覧のためには、FTP ソフトの設定にて
ドットファイルを扱えるようにご変更ください。

下記 [1] では ID / パスワードによる制限を行うためのファイルの作成方法、
[2] では IP アドレスによる制限を行うためのファイル作成方法をご案内します。
どちらの方法でも、リモート投稿機能(XMLRPC)用のファイル
xmlrpc.php の無効化を行う内容を含めております。

[1][2]、どちらかの方法でファイルを更新あるいは作成いただいた後、
WordPress設置ディレクトリ ( wp-login.php がある階層) にアップロードしてください。

[1] ID / パスワードによる制限

この方法では、.htaccess ファイルと、
ID / パスワードを格納した .htpasswd ファイルの2つが必要です。

■下記6行の文字列の [.htpasswd ファイルの所在] をご利用環境に合わせて置き換え、
.htaccess に記述してください。

<Files wp-login.php>
AuthType Basic
AuthName "Input ID and Password"
AuthUserFile [.htpasswd ファイルの所在]
require valid-user
</Files>

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

4行目の [.htpasswd ファイルの所在] には、次の手順 [3] でアップロードする
.htpasswd ファイルの位置をフルパスで記述する必要があります。
サイトデータを格納する htdocs ディレクトリの下、
Wordpress 用の「WP」ディレクトリ内に設置する、という場合、
フルパスは下記のようになります。ディレクトリの位置にあわせてご調整ください。

/web/sites/ [FTP ID から「-adm」を除いたもの] /htdocs/WP/.htpasswd

■.htpasswd 用ファイルには、ログインに使う ID と、暗号化された
パスワードを記述します。記述内容は下記サイト等で生成できます。

lufttools .htaccess による認証用パスワード暗号化ツール
http://www.luft.co.jp/cgi/htpasswd.php

記述したファイルを .htaccess ファイルと同階層にアップロードし、
ファイル名を「.htpasswd」としてください。

[2] IP アドレスによる制限

下記サイトにて、アクセス環境の IP アドレスをご確認ください。

CMAN インターネットサービス
http://www.cman.jp/network/support/go_access.cgi

下記5行の文字列の [IP_ADDRESS] 部分をご確認いただいた IP アドレスで置き換えて、
.htaccess ファイルに記述してください。

<Files wp-login.php>
order deny,allow
deny from all
allow from [IP_ADDRESS]
</Files>

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

プロバイダ様とのご契約で、固定 IP アドレスを取得していない場合、
IP アドレスは変動することがありますので、
変動があった際には記述を変更していただく必要があります。

※ただし、『接続元ホスト名』の後半部分はインターネットプロバイダごとに規則があり、
常に一定の文字列となります。そちらを記載いただけば、IPアドレスが変動しても
アクセスできます。

上記確認用サイトにて「あなたのホスト名」をご確認ください。
ホスト名後半の、プロバイダごとに固定されている部分で
「IP_ADDRESS」を置き換えてください。
(参考：プロバイダの逆引きホスト wiki　http://www8.atwiki.jp/remotehost/ )

複数のアクセス元からご利用いただく場合には、
各環境の IP アドレスをご確認いただき、.htaccess ファイルの
allow from [IP_ADDRESS] の行を必要なだけ追加してください。