WordPressを狙うサイバー攻撃から守るPermissionと.htaccess設定

この記事は3年以上前の古い投稿記事です。古いことをご承知してお読み下さい。

依然、WordPressを狙うサイバー攻撃が続いています。(Lolipop サーバーにて)
この攻撃から守るために、Permission設定が重要です。Permissionの意味は分かっても、どう設定しておいたらいいのか分からないこと多いですよね。Lolipop での推奨は以下のように案内されていました。
permition

<<<これは追記です(2014.2.10)>>>
Permission の設定だけでなく、.htaccsess ファイルでIP address 制限をする方法があります。
これで、ちょっと失敗してしまいました。以下のようにIP address 制限したら、許可されたIP address 以外からLog in できなくなります。
[text] # BEGIN Lolipop

Order deny,allow
Deny from all
Allow from ***.***.***.*** (***はIP address)

# END Lolipop
[/text] そうしたら、Allow from ***.***.***.*** 以外のIP address のWordPress ユーザーがダッシュボードに入れなくなっちゃうんです。共同で制作したり、管理者の他に寄稿者、編集者としてダッシュボードに入ってもらうように設定している場合、全員のIP address を登録しておかなくてはいけません。

そなんです。管理者や寄稿者、編集者の自宅や職場のIP address、そしてよく使う無線LAN、Wi-Fiなどなど、全て登録しておかないといけないんですよね。

今回のSecurity 強化は究極のSecurity だと思います。Lolipop も相当手痛い思いをしたんでしょう。
僕の感想では、Lolipop 自体のSecurity を考えた方が良いように思うんです。
例えば、Amazon Web Service(AWS)では、2重の秘密鍵がないと入れません。その鍵たるやもの凄い長大なコードで書かれています。これじゃ全くサイバー攻撃する方 も、手が出ないと思うんです。
素人にはやさしいLolipop もSecurity に弱いのが問題ですかね?

.htaccess ファイルについては htaccess作成 を参考にすると解りやすいですよ。