WordPressを狙うサイバー攻撃から守るPermissionと.htaccess設定

依然、WordPressを狙うサイバー攻撃が続いています。(Lolipop サーバーにて) この攻撃から守るために、Permission設定が重要です。Permissionの意味は分かっても、どう設定しておいたらいいのか分からないこと多いですよね。Lolipop での推奨は以下のように案内されていました。 permition <<<これは追記です(2014.2.10)>>> Permission の設定だけでなく、.htaccsess ファイルでIP address 制限をする方法があります。 これで、ちょっと失敗してしまいました。以下のようにIP address 制限したら、許可されたIP address 以外からLog in できなくなります。
# BEGIN Lolipop
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from ***.***.***.***   (***はIP address)
</Files>
# END Lolipop
そうしたら、Allow from ***.***.***.*** 以外のIP address のWordPress ユーザーがダッシュボードに入れなくなっちゃうんです。共同で制作したり、管理者の他に寄稿者、編集者としてダッシュボードに入ってもらうように設定している場合、全員のIP address を登録しておかなくてはいけません。 そなんです。管理者や寄稿者、編集者の自宅や職場のIP address、そしてよく使う無線LAN、Wi-Fiなどなど、全て登録しておかないといけないんですよね。 今回のSecurity 強化は究極のSecurity だと思います。Lolipop も相当手痛い思いをしたんでしょう。 僕の感想では、Lolipop 自体のSecurity を考えた方が良いように思うんです。 例えば、Amazon Web Service(AWS)では、2重の秘密鍵がないと入れません。その鍵たるやもの凄い長大なコードで書かれています。これじゃ全くサイバー攻撃する方 も、手が出ないと思うんです。 素人にはやさしいLolipop もSecurity に弱いのが問題ですかね? .htaccess ファイルについては htaccess作成 を参考にすると解りやすいですよ。
%d人のブロガーが「いいね」をつけました。
%d人のブロガーが「いいね」をつけました。