サーバ用Raspberry Pi の設定7
WordPress のセキュリティを高める。
参考:https://marketing-hack.com/article/wordpress-hardening-1st-step/
面倒そうだけど、やってみます。やってみようと思いよく読んだところ、最終的には、
- テーマやプラグインをチェックしろ。
- コメント機能は使うな。
だって。手間を掛けて設定して、さらにチェックしろって・・・。
まあ、企業のサイトならそこまで手間を掛けてセキュリティを高める必要はあると思いますが、それなら MovableType 使ったほうがいいような・・・。
このサイトのセキュリティにそこまで手間かけてられません。
じゃ、どうするか?
なにもしない訳にはいかないので、.htaccess によるベーシック認証をすることにします。
参考:https://www.vektor-inc.co.jp/post/basic-auth/
ユーザ名とパスワードの作成
$ htpasswd -b -c -m .htpasswd ユーザ名 パスワード
例えば、wordpress のディレクトリにある wp-login.php にかけたいなら、WordPress のディレクトリの .htaccess に次の内容を追加します。
<Files wp-login.php>
AuthType Basic
AuthUserFile サーバ上のパス/.htpasswd
AuthName “Please enter your ID and password"
require valid-user
require ip 認証無しで通したいマシンのIPアドレス
</Files>
最後の require ip は必要なければ書かなくて良いです。
また、wp-admin ディレクトリ全体に認証をかけたければ、wp-admin の .htaccess は次のようになります。
AuthType Basic
AuthUserFile サーバ上のパス/.htpasswd
AuthName “Please enter your ID and password"
Require valid-user
require ip 認証無しで通したいマシンのIPアドレス
<FilesMatch “(admin-ajax.php)$">
Satisfy Any
Order allow,deny
Allow from all
Deny from none
</FilesMatch>
なお、この設定をしても、.htaccess が有効になっていないと意味がありません。
Apache のサイト設定で、AllowOverride None だと .htaccess は無効になっています。
アクセスの都度、.htaccess を探しに行くのでオーバーヘッドを減らすために無効にしていると、これは使えません。
<Directory>ディレクティブで、WordPress のディレクトリだけ、AllowOverride All にすることもできます。
ま、これでいいんじゃないでしょうか。