ログインページを変える
説明 WordPressの標準的な不正ログイン対策としては、ログインIDは'admin'を避けるパスワードはユニークで長くする、場合によってはアクセスできるIPアドレスを制限する、といった具合だろう。これらの他に何かできないものだろうかと、ちょっと考えてみた。 きっかけは、日々のログに残っていくwp-login.phpのアクセス履歴。まあ、パス名はわかっているのだから、仕方ないないのかもしれない。逆にパス名がわからなければこんなアクセスは激減できるのではないだろうか。 ユニークなログインページを配置する wp-login.phpの変わりとなる新しいログインページのソースコードは次の通り。 <?php define( 'ANYWHERE_LOGIN', sha1( 'keyword' ) ); require_once './wp-login.php'; ?> このログインページのファイル名
セキリュティについての質問
せっかくなので詳細を書いておきましょう。 * テーブルのプレフィックス変更 * インストール済みの保全 SQL インジェクション対策を想定しているのだと思いますが、WordPress では SQL インジェクションはほとんど起こり得ません。 また、悪意あるテーマやプラグインが DB の中身を読みだそうとしたら、wp-config.php で定義されている $table_prefix を読めばいいので、wp_ 以外にしても効果がありません。 * wp-content のリネーム これは他 CMS から URL を維持したままコンテンツを移行しようとするための機能であって、あまりセキュリティーとは関係ありません。 だいたい、画像とか貼り込んでしまえば wp-content のありかはすぐバレます。 * ユーザー名の変更 すでに存在するユーザー名を知ることによって、ログインを試そうとしているのだ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
