WordPress管理画面への不正アクセス対策に「Basic認証」も追加して強化してみたぞ

対策に励むまさと(@masato_s0125) です。

先日「WordPress管理画面への不正アクセスの記録と対策をしてみたぞ」でプラグインを入れて、同じIPアドレスから不正アクセスが続いたら遮断するようにしてました。

しかし昨日の不正アクセスのログを見ると、１回毎にIPアドレスを変えてアタックしてくるのが記録に残ってた。やはり完全に防ぎきることは出来ないよね。

そこで次の対策を実行することにした。それはベーシック認証です。

Basic認証（ベーシックにんしょう、Basic Authentication）とは、HTTPで定義される認証方式の一つ。
Basic認証では、ユーザ名とパスワードの組みをコロン “:” で繋ぎ、Base64でエンコードして送信する。このため、盗聴や改竄が簡単であるという欠点を持つが、ほぼ全てのWebサーバおよびブラウザで対応しているため、広く使われている。(Wikipedia)

スポンサードリンク

Basic認証が加わって二重の防御
.htaccessファイルを作成
.htpasswdファイルを作成
本日のまとめ

Basic認証が加わって二重の防御

上の画像を見て頂ければ分かりますが１回毎にIPアドレスを変えてアタックしてきています。

そこでBasic認証を導入して二重認証のような形にしてみました。つまりBasic認証でログイン出来ないとWordPressのログイン画面まで辿り着くことが出来ないのです。

Basic認証を昨日導入したところ、不正アクセスが完全に止まりました。そりゃそうだよね、長いユーザー名とパスワードだから簡単には入れないだろうからね。Basic認証を突破されても今度はログに残るから、Basic認証のユーザー名とパスワードを変えれば最初からやり直しになるし（笑）

このBasic認証は自分のホームページで何年も前から友達と交流するときに使ってたので自分にとっては簡単でした。(^^ゞ

.htaccessファイルを作成

テキストエディタを使って「.htaccess」というファイル名で下記のコードを記述します。

<Files wp-login.php>
AuthName "ID & Password"
AuthType Basic
AuthUserFile /xxxxx/www/password/.htpasswd
Require valid-user
</Files>

２行目の「ID & Password」は入力時に表示されるメッセージになりますので、ご自由に変更して下さい。ただし日本語だと文字化けすると思います。

４行目がユーザー名とパスワードのファイル「.htpasswd」がある場所になります。xxxxxの箇所は各自の環境により違います。

ディレクトリ「password」は各自で好きな名前に変更して下さい。

ファイルが出来たらFTPで「wp-login.php」があるディレクトリに「.htaccess」ファイルをアップロードして下さい。

ちなみに「.htaccess」ファイルは隠しファイルや不可視ファイルで普段は見えないですから、ファイラーで表示したりエディタで読み込むときは表示設定を変更するとかして下さい。

.htpasswdファイルを作成

次にユーザー名とパスワードを記述する「.htpasswd」ファイルを作成します。まずhtpasswd作成ツールを使って暗号化しかパスワードを作る必要があります。

ツールに関してはGoogleで検索すれば色々出てきます。私は下記のツールで作成しました。

htpasswdファイル生成(作成)

例えば、ユーザー名「username」　パスワード「abcdefg」で作成すると

1	username:tcRpJDw4L7IoI

この様なのが生成されますので、これを「.htpasswd」ファイルに記述します。
あとは「.htaccess」ファイルで記述したディレクトリ /xxxxx/www/password/ にFTPでアップロードするだけです。

試しにWordPressからログアウトしてみましょう。
なおログアウト時にユーザー名とパスワードを入力するように促される場合がありますので、入力するとログアウトすることが出来ます。

その場合一度ブラウザを終了して立ち上げ直しましょう。そうじゃないと先ほど入力したのユーザー名とパスワードが有効のままなので入力画面が出ないのです。

上の画像のようにBasic認証のユーザー名とパスワードを入力するポップアップが表示します。ここに先ほどのを入力すれば認証が完了します。不正アクセスはここでブロックされてしまうので、先に進めなくなり防ぐことが出来るのです。

Basic認証後は普通にWordPressのログイン画面になりますので、今までと同じようにログインしましょう。

本日のまとめ

二重のログインが必要になることで不正アクセスされる回数が減るので少しは安心できます。突破出来たとしてもWordPressのログイン画面で引っ掛かるので、時間稼ぎをすることが出来ます。その隙にBasic認証のユーザー名とパスワードを変更しましょう。

ただ完璧に防ぐことは出来ず、イタチごっこの状態なんですよね。少しでも対策していれば安心です。

先日した不正アクセス対策は下のリンクからどうぞ。

WordPress管理画面への不正アクセスの記録と対策をしてみたぞ | 気儘電脳