目次
Wordfenceでの基本設定
ファイアウォールの有効化
Wordfenceのファイアウォール機能を有効化し、外部からの不正アクセスや既知の攻撃パターンを検出・遮断するよう設定しました。
ブルートフォース対策
- ログイン試行回数を制限し、一定回数の失敗でIPを一時的にブロック
- パスワード総当たり攻撃(ブルートフォース攻撃)のリスクを軽減
ログイン対策
- 管理画面ログインページへのアクセスを監視し、不審なアクセス元を自動ブロック
- ログイン履歴を確認できるため、不正なログイン試行を早期に発見可能
reCAPTCHAの設定
Google reCAPTCHAを有効化し、ログイン画面やフォーム送信でのスパム・botアクセスを防止
.htaccessでの直接アクセス制限
実際に設定したコード
<Files wp-config.php>
Require all denied
</Files>
<Files wp-comments-post.php>
Require all denied
</Files>
<Files xmlrpc.php>
Require all denied
</Files>
設定内容の意味
wp-config.php
WordPressの設定情報(DB接続情報など)が書かれた重要ファイルを外部から完全遮断wp-comments-post.php
コメント投稿用エンドポイント。コメント機能を使わない場合は遮断して攻撃対象を減らすxmlrpc.php
外部からの投稿やモバイルアプリ連携に使われる機能。利用しない場合は遮断してブルートフォース攻撃やDDoSの対象から外す
この2つの対策により、WordPressのログイン・重要ファイル・不要機能への直接攻撃を大幅に減らすことができます。
実装後はサイトの正常動作を確認し、必要に応じて機能制限を調整することが重要です。
