ワードプレスを使うにあたり、セキュリティ面に関する記事を検索すると、それはもういろいろな記事がヒットします。
たとえば、wp-loginをリネームするプラグインとか、urlを変更する方法とか。先日、当サイトにおいて、wp-loginへの認証アタックが1日で650回ありました。これを機会に少し、wp-loginを晒すのはもう辞めようかと思い、プラグインによる対策を行いました。
使用したプラグインは、rename wp-login.php。
ただ、プラグインを有効にしただけでは、有効になりませんので注意。
設定-一般-パーマリンク設定で、デフォルトからカスタム構造にして、以下のように「年/月/日/時間/投稿名」としました。
%year%/%monthnum%/%day%/ %hour%/%postname%
これを設定すると、「.htaccess を更新する必要があります。」との警告文がダッシュボード上に表示されます。
htaccessを更新するのですが、パーミッション606へと変更してあげるだけです。
ちなみに当サイトのhtaccessは基本的には、htaccess自体へのアクセス拒否と海外からのアクセス拒否などをおこなっております。
パーミッション変更をすると、さきほどの警告文は消えます。
最後に、rename wp-login.phpを設定します。
設定-一般-パーマリンク設定のページ内に、rename wp-login.phpを設定する箇所がありますので、この部分にwp-login.phpの代替となる名称のディレクトリ(架空)のものを設定します。
たとえば、http://sapporo777.info/wordpress/◯◯◯/
のようにです。◯◯◯にアクセスすると、ログインページが表示されます。