WordPress 管理ディレクトリへのアクセスを制限する方法

WordPress は現在、6,000 万以上の Web サイトで利用されており、最も人気のある CMS となっています。人気は良くも悪くも注目を集めているため、WordPress サイトでは 1 分間に 90,000 件のハッキング試行が発生する傾向があります。 サイトのセキュリティに関しては、残念ながら、すべての面でセキュリティを提供する特効薬はありません。 むしろ、さまざまなフォントにセキュリティを実装して、サイトがハッカーから安全であることを確認するために、多くのことを行う必要があります。さまざまな保護層を追加するプロセスは、多層防御と呼ばれます。先ほど、HTTP 認証、2 要素認証、強力なユーザー名とパスワードの使用などの保護対策について説明しました。今日は、WordPress 管理ディレクトリへのアクセスを制限する別の保護方法を学んでいます。

WordPress 管理ディレクトリは、コア WordPress ファイルが存在する場所です。 そこにあるファイルにより、あなたのようなユーザーはさまざまな管理機能を実行できます。 たとえば、ダッシュボードにログインしようとすると、WordPress は提供された資格情報が正しいかどうか、またはサイトへのアクセスが制限された管理者または単純な寄稿者であるかどうかを確認します。 wp-admin フォルダー内のファイルにより、WordPress はこれらの機能を実行できます。

ハッカーがサイトへのアクセスを取得すると、ファイルを変更して独自の動機を促進する可能性があります。彼らは、誰がサイトにアクセスできるか、誰がアクセスできないかを決定し始めるかもしれません。管理者とウェブサイトの所有者をブロックする可能性が現実にあります。自分のサイトにアクセスできなくなる可能性があります。このため、早期の予防措置が必須です。 WordPress 管理ディレクトリへのアクセスを制限すると、ハッカーによるサイトの乗っ取りが制限されます。

制限がどのように機能するかを説明する最も簡単な方法は、類推によるものです。あなたのウェブサイトが家である場合、家への扉は WordPress 管理ディレクトリです。ドアに警備員を配置すると、家（サイトを読んでください）がさらに安全になります。警備員は、すべての訪問者の (読み取り IP アドレス) をチェックし、家 (つまり Web サイト) へのアクセスを許可または拒否する責任があります。この投稿では、IP アドレスを使用して WordPress 管理ディレクトリへのアクセスを制限する方法を紹介します。これは基本的に、特定の不正な IP アドレスのみが WordPress サイトの管理ディレクトリにアクセスするのをブロックすることを意味します.

始める前に、IP アドレスが静的であることを確認する必要があることに注意してください。 IP アドレスがわからない場合は、Google 検索を行うか、インターネット プロバイダーに相談することをお勧めします。

WordPress 管理ディレクトリへのアクセスを制限:

まず、ファイル マネージャーから .htaccess ファイルをダウンロードする必要があります。以下の手順に従ってください:

ウェブ ホスト アカウントにログインします cPanel というページに移動します .そこに File Manager のオプションがあるはずです .それを選択すると、次のようなページが開きます:

Step 2: This is a typical file manager page. On the left-hand side, there are a bunch of folders. Select public_html, and you’d see a drop-down.

Step 3: In the drop down there will a folder called wp-admin . You’ll find a .htaccess file in this folder. You’d notice that unlike other files in the directory, .htaccess has no extension like .html or .txt. or PHP.

Step 4: To download the .htaccess file all you need to do is download the file using a download button on the File Manager page. It should look something like the image below:

Sometimes .htaccess is hidden and may not appear in the public_html folder. When that’s the case, what you need to do is go back to the cPanel , and click on File Manager . A popup will appear where you’ll have to select ‘Show Hidden Files’.

In case, you find out that your website does not have a .htaccess file, you’ll need to create a new one.

After you have downloaded the .htaccess file, open it. It should look something like the picture below:

Step 5: At the end of the .htaccess file, add the following code:

order deny, allow 

allow from your.IP.address 

deny from all 

注: Place the IP address that you want to blacklist instead of ‘IP.address.1’ and ‘IP.address.2’.

Step 6: After you are done, you will need to upload the file in the public_html directory in the File Manager. There should be an Upload option in the File Manager page.

After you upload the file, the IP’s you mentioned will be blocked. When these IP addresses try to access your site, they’ll see a ‘403 Forbidden’ error on the page.

Make sure that the .htaccess file you modified was from the ‘wp-admin’ directory and not the root directory (i.e. public_html) of your WordPress. There is a .htaccess file in the root directory, and we are not making any changes in that. If by mistake, you modified the .htaccess file in the ‘wp-admin’ directory, then all visitor to your site will be blocked. You don’t want that. Therefore we’d recommend you to be very careful.

There is one issue that may crop up when you limit access to WordPress admin directory using IP. It breaks the front-end Ajax functionality. This particular functionality enables web pages to show real-time changes. For instance, you may be using a plugin that allows Twitter feed on your site. Every time you tweet something, it automatically appears on the site. You don’t need to reload the page to see the tweet. This is possible due to the Ajax functionality.

To avoid breaking the front-end Ajax functionality, you’ll need to find out if any of your plugins use Ajax in the front end. If yes, then you’ll have to add the following code to your .htaccess file from the wp-admin directory.

<Files admin-ajax.php> 

order allow, deny 

allow from all 

satisfy any </Files>

And that’s it.

Over to You

In order to limit access to WordPress admin directory, you’d have to have a bit of knowledge about WordPress files. We hope that after reading this post, your site will be a bit more secure than it was before. Please contact us if you have any queries or feedback. And thanks for reading.