ちゃいのWEB盆栽

浅瀬でぱちゃぱちゃWEBいじり。

Wordpressのセキュリティが気になってきた。~ SiteGuard WP Plugin ~

ちょっと前にSiteGuard WP Pluginという、wordpressのセキュリティを強化してくれるプラグインを入れました。

wp-login.phpに何度もアクセスしてログインしようとする、第三者不正アクセスを「ブルートフォースアタック」というそうですけど、その攻撃から守ってくれるそうです。

securityblog.jp

今回、下記のサイト様の情報を頼りにいじってみます。

websae.net

1.管理ページアクセス制限

何度もONにしているのですが、緑のチェックになりません・・。

 

2.ログインページ変更

変更したアドレスにアクセスすると404エラーになるんですけど・・。

 

なんでかな~と思って調べたら「または、mod_rewriteがロードされていない場合は動かないよ」って言われました。サーバの人に確認してみます~。

SiteGuard WP Plugin

 

~数時間後~

mod_rewrite入ってます」とサーバ側からの返答あり・・。

えええええええええ

というわけで放置。

~~~~~~~~~~~~~~~~~

7/24
あれから.htaccessいじったり別のセキュリティ系プラグインを試したのですがしっくりしたものがなく、また巡り巡って「エラーが出ない範囲で使うか・・」と、念のため削除して入れ直したら、当時のエラーがでなくなりました・・。

この記事を書いた当初と異なるのはwordpressの本体バージョンとテーマ。そのどちららかが相性悪かったんだろうか。

いやはや、プラグインは繊細ですな。動いて良かったっす。

 

さらにご報告。

実はもうひとつwordpressのサイトを持っているのですが、この勢いでと思ってSiteGuard WP Pluginを入れたところ、やはり同じエラーになりました。

・・ということは.htaccessなのかも。

nullnote.com

ちょっと意味がわかっていないのですが、逆に本日やった.htaccessいじりをこちらのサーバの方にもやってみようと思います。

後日、報告します〜。

 

chai-desu.hatenablog.com

~~~~~~~~~~~~~~~

7/25

「状況:管理ページアクセス制限とログインページ変更が有効にならない。公式サイトを見るとmod_rewriteがサーバに入ってないと無効になると書かれている」

参考:SiteGuard WP Plugin

 

うちのサーバを管理している人に聞いたところ、親切に教えてくれた上に、中身まで修正してくれるありがたさ。

ただ、専門用語過ぎてわからなかったけど、ログは残してあるのでココに記載してきます。

mod_rewriteはサーバー全体で入っている
→moduleで勝手に書き換えているのかなんだかよくわからない。 
→画像認識については、mod_rewriteで管理画面の画像周りをrewriteしてるのかも。
ダッシュボードで無効であってもログインページ変更はされているようだ。
ダッシュボードで無効であってもwp-login.php は隠蔽化できてるようだ。
→一旦バックアップ取ってテスト環境で動かしてみる。不具合点を調べて書き換える。
→おそらくモジュールで勝手にfunction書き換えてる可能性。rewriteだけ見る限りではloginが404になる理由がわからない。
.htaccessの書き込みパーミッションがされておらず、設定を書き換えられてなく入れなくなったのでは。
.htaccessを修正した。 認証用のcaptchaの一時ディレクトリtmpが2つ存在しない、書き込みパーミッションがないので権限を与えるなどした。
(ここで変更されたログインページで画像認証の画像もでる)
.htaccessは「606」or「666」にすべし。
→従来のログインページ(hogehoge.jp/wp-admin/)から、変更されたログインページに転送される件については、.htaccessのRewriteCond %{REMOTE_ADDR} という部分にIPアドレスが記載されていて。そのipだけwp-admin 許可になる。このipをコメントアウトしたら転送されなくなる。

 

きっと良い情報だと思うので、参考にしてみてください。感謝!