WordPressのXSS対策(クロスサイトスクリプティング対策)

  • このエントリーをはてなブックマークに追加

『wp-admin』にBASIC認証をかける

『wp-admin』の.htaccess設定

【.htaccess】

order allow,deny
allow from all
Authname "For Members"
Authtype Basic
AuthUserFile /どこかの安全なディレクトリ/.htpasswd
require valid-user

任意のドメインからのアクセスを拒否する

アクセスログ等で、ログインページにアクセスしようとしているドメインからの接続を拒否する設定を、【.htaccess】に追記します。

【.htaccess】

order allow,deny
allow from all
deny from xxx.co
deny from bbb.co
deny from 000.111.333.555

「wp-config.php」を、アクセス不可に設定する

【wp-config.php】への「外部からのアクセスを不可」にする。

【wp-config.php】と同じ階層の【.htaccess】に、下記を追記する。

<files wp-config.php>
order allow,deny
deny from all
</files>

ついでに、【wp-config.php】のパーミッションを「400」(管理者のみ読み取り)にしておく。

WAF(Webアプリケーションファイアウォール)を導入する

「Http」で通信する際のファイアーウォール。

各サーバに依存。

  • このエントリーをはてなブックマークに追加

コメントを残す