Acunetix WP Security(.htaccessの作成) – プラグインの導入と設定

Acunetix WP Security(.htaccessの作成) – プラグインの導入と設定

Acunetix WP Security(.htaccessの作成) – プラグインの導入と設定
Acunetix WP Security - プラグインの導入と設定
デフォルト設定のままだとセキュリティが低いようなので、セキュリティ対策として以下のプラグインを導入しておきます。Acunetix WP Sec...

上記の記事の続きです。

.htaccessの作成

以下の項目が黄色の場合は、.htaccessファイルを作成します。

  • The “.htaccess” file was not found in the “wp-admin” directory

wp-adminディレクトリに.htaccessファイルが存在するかどうかしか確認していないようなので、適当なファイルを作成しても黄色から緑色にはなりますが、それではセキュリティ対策にはなりません。

htaccess Files and WordPress Security

Acunetix WP Securityプラグインが何のためにwp-adminディレクトリの.htaccessファイルの存在をチェックしているのか、Acunetixのウェブサイトで確認してみます。

Adding server-side protection around the WordPress wp-admin folder is like adding a second layer of protection to your WordPress admin area, login page and files. Server-side protection can be added by adding a .htaccess file (directory level configuration file) in your wp-admin WordPress sub directory.

Most common attacks against WordPress have been brute force attacks, or sending of specially crafted HTTP requests to WordPress files in wp-admin, therefore it is very important to add an extra layer of protection to the WordPress wp-admin section. By adding the .htaccess file to the wp-admin directory, you are safe guarding your WordPress blog or website from such attacks.

Password protect wp-admin directory with a .htaccess file

With the .htaccess file you can configure the server to password protect all the files in the wp-admin folder. Therefore, before accessing WordPress files, such as the admin area login page, you have to first authenticate against the server itself, using HTTP authentication.  By password protecting the WordPress admin area, if a malicious user tries to access your WordPress admin area login page to launch a brute-force attack, or any other file which resides in the wp-admin directory to send a harmful crafted HTTP request, he is greeted with a server side login prompt and no direct access to WordPress files is possible.

要するに、wp-adminディレクトリをBasic認証で保護しましょうということです。

Basic認証の設定

.htaccessの内容は、Acunetixのウェブサイトにサンプルが記載されていますので、それをベースにします。

 注意する点としては、.htpasswdのパス(上記のサンプルでは、/etc/httpd/.htpasswdとなっています。)です。ここは相対パスではなく、ルートディレクトリからのパスで記載する必要があります。レンタルサーバーの場合などルートディレクトリからのパスがよくわからない場合は、以下のphpファイルをブラウザでアクセスできる適当なディレクトリに作成して確認する方法が簡単です。

 ブラウザでアクセスすると、例えば、

/home/~/xxx.php

のように表示されるので、.htpasswdファイルがルートディレクトリからのパスとしてどのように記載すべきか把握することができます。

AuthUserFileに.htpasswdファイルのパスを記載して、必要ならAuthNameを好きな内容に変更して、.htaccessファイルを作成してください。作成する先は、もちろんwp-adminディレクトリの直下です。

.htpasswdの作成

.htpasswdファイルは、Htpasswd Generatorで簡単に作成できます。

.htaccessファイルのAuthUserFileに記載したパスに.htpasswdファイルを作成したら完了です。

最後に

動作確認として、ダッシュボードにアクセスすると、Basic認証のダイアログが表示されるようになっていると思います。

ここで認証が通らない場合は、.htpasswdファイルのパスが間違っている可能性もありますので、確認してみてください。

Related Posts