半年くらい前に,こんな記事を書いた。 wp-login.php に対するアクセス制限の話だ。その後, SSL を有効にして,モバイルアクセスもできるようにしていたのだが,本日,また少し変更した。
あのときに作った, access-denied.conf を開けて以下のように変更した。見ていただくと分かるように, wp-login.php と同じ制限を wp-admin にも加えたわけだ。
旧:
<Files “wp-login.php”>
Require ip xxx.xxx.xxx.xxx/xx <<--- 自宅LANのIPアドレス
Require host モバイルのホスト名
</Files>
新:
<Files "wp-login.php">
Require ip xxx.xxx.xxx.xxx/xx <<--- 自宅LANのIPアドレス
Require host モバイルのホスト名
</Files>
<Directory "drive_DC:/WEB/htdocs/wp-admin"> <<--- drive_DC:/WEB/htdocs/ は自鯖のドキュメントルート
Require ip xxx.xxx.xxx.xxx/xx <<--- 自宅LANのIPアドレス
Require host モバイルのホスト名
<Files "wp-admin-ajax.php">
Require all granted
</Files>
</Directory>
このルールから, admin-ajax.php を外しているのは,「Re: WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目」に書いてあったからだが,実際に調べてみると,我が家のプラグインのいくつかも, wp_ajax_(action) フックを使用していたので,前もって, wokamoto さんのメモに気づいていてよかったと思った。でなかったら,きっと,ハマりまくっていたことだろう。
変更は,ちゃんと効いている。メデタシ。 (^^)
「今更ながらのアクセス制限-#2。」への6件の返信
こんばんは足跡ぺたぺた
apache2.4をコンパイルしてテストサーバーのCentOS6に試しにいれてみます。会社で実装するのはred hatによるでしょう。
くりくりさん,こんばんは。
> 会社で実装するのはred hatによるでしょう。
RHEL 6.x系にということですか。今のところ,正規のApache2.4のrpmは出ていないのでしょう?いつごろになりそうなんですか。
あるいは,7系になるのでしょうか。
こんにちは
バージョン7は今年でるはずなんです。
検索かけても情報がでてきません。
CentOS6もまだフェーズ2になってないので実装される可能性もあります。
linuxでインストールするのにソースコードからrpmファイルも作ることは可能ですけど、rpmは他のパッケージと依存関係なんちゃらでトラブルおこすので自分はあんまりすきではないです。
ソースコードからビルドしてインストールの方が個人的にはすきですかね。これもパッケージがないとかトラブルありますけど。
こんにちは。
> rpmは他のパッケージと依存関係なんちゃらでトラブルおこすので自分はあんまりすきではないです。
今年初めからCentOSを使った僅かな経験しかありませんが,安定してサーバを動かすなら,パッケージサービスがあるOSをパッケージで利用するのが一番だと思いました。そうでなければパッケージを使う意味がないように思います。その代わり,最新のソフトへの対応は少し遅れても,しっかり,セキュリティパッチを配布してくれるところを選ばないといけないと,感じたことも事実です。
もちろん,新しいOSに対応するために勉強するのは,また別の問題ですね。
> バージョン7は今年でるはずなんです。検索かけても情報がでてきません。
少ないですね。しかも,こんなの見つけちゃいました。「IBM エンタープライズサーバーと Red Hat Enterprise Linuxによる 「新基幹系システムを考えるセミナー」」。
この中に,「2014年予定の RHEL7」という文言があります。今年中という話だったのに,ずれ込むのでしょうか。
7月に,「RHEL 7 に採用される Systemctl コマンド(魚拓です)」なんてのもありますが,素人で,よくわからないながらに,「Why systemd?」の比較一覧表などを見ると相当に差異があるので,バグのもぐら叩きにてこずっているのかもと思ったりしました。
あら、来年ですか!!今年はこれもやらないととうんざりだったんですけどね・・・。時間が少しかせげたかな。いずれやらないといけませんけど(w
お話あるようにCentOS7はだいぶかわります。
FWがかわり、ご指摘にあるsystemctlコマンド。
これはすべてのプロセスの親プロセスであるinitというものがなくなるみたいです。カーネルはlinuxだけど、操作は大分かわるみたいだし、別なOSの印象をもってます。
話はかわりますがapache2.4.6をビルドしてインストールできました。今度はディレクティブ関連ですな。wordpressがちゃんとうごくくらいまでやらないと!!
> いずれやらないといけませんけど(w
まあ,来年といっても,年初に近いほうでしょうからね。お疲れ様です。
> 別なOSの印象をもってます。
そういうことなんですねぇ。