XSERVERのWordPressセキュリティー設定で設定される.htaccess環境変数
2014/12/11
XSERVERのWordPressセキュリティー設定は、
海外アクセスによるダッシュボードへのアクセスなどを制限することができる便利な機能です。
また不正ログイン試行が行われ、クラッキングの被害を受けそうになった場合も、
初期設定ではWordPressへのログインを制限する機能が働いたりします。
このWordPressセキュリティー設定では設定した状態を、
.htaccessへ設定値が自動的に更新される仕様になっています。
ここでは、WordPressセキュリティー設定によって更新される値をご紹介しておきます。
WordPressセキュリティー設定
WordPressセキュリティー設定の設定は、
サーバーパネルの「WordPressセキュリティー設定」から行います。
WordPressセキュリティー設定画面には、
タブから機能の選択が行えます。
国外IPアクセス制限設定
デフォルト:ON
「国外IPアクセス制限設定」では以下のような機能であると明記されています。
※WordPressの管理者ツール(ダッシュボード)に対する国外IPアドレスからの接続を制限できます。
※国外からアクセスをされる場合を除き「ON」のまま運用されることを推奨します。
制限を解除する場合は個別にIPアドレス制限やBASIC認証を行ってください。
国外IPのリストをどのようにリスト化しているのかは不明ですので、
あくまでもダッシュボードに対しての制限ですので、
出張でもない限りは制限しておいて問題ないでしょう。
なお、この設定を「OFF」に設定変更すると、
.htaccessファイルに以下の一行が追記されます。
1 |
SetEnvIf Request_URI ".*" AllowCountry |
ログイン試行回数制限設定
デフォルト:ON
「ログイン試行回数制限設定」では以下のような機能であると明記されています。
※短時間に連続してログイン処理(失敗)が行われた場合にアクセスを制限します。
パスワード総当り(ブルートフォースアタック)による不正アクセスを防止します。※ログイン制限は、制限されてから24時間後に解除されます。
※利用者自身が制限された場合は、ご利用時のみ一時的に「OFF」にしてください。
ご利用後は再度「ON」に変更してください。※特別な事情がない場合を除き、「ON」のまま運用されることを推奨します。
私が今回制限を受けた機能がこの不正アクセス防止の制限機能でした。
総当たり攻撃に対応するためのプラグインを導入していたのですが、
そちらでは何もログが残っておらず、本当に総当たりを受けたのかは疑問ですが、
こうした制限は有効にしておく方が無難かと思います。
なお、この設定を「OFF」に設定変更すると、
.htaccessファイルに以下の一行が追記されます。
1 |
SetEnvIf Request_URI ".*" WpLoginNoLimit |
コメント・トラックバック制限設定
コメント・トラックバック制限の機能では、
大量にコメント・トラックバックを行われた場合の制限と、
国外からのコメント・トラックバックを制限する機能があります。
大量コメント・トラックバック制限
デフォルト:ON
※短時間に大量のコメントまたはトラックバックが行われた場合、自動的に検知して投稿を制限します。
※検知による制限から6時間経過することで制限は自動的に解除されます。
繰り返し発生する場合「国外IPアドレスからのコメント・トラックバック投稿制限」などで対策を講じることを推奨します。
私もここ数か月スパムコメントに悩まされてきましたが、
Akismetによるスパム判定もサーバー負荷につながるので、コメントはきっぱり閉じました。
とは言え、こうしたスパムコメントの連投に対しての制限機能で
スパムコメントを回避するのも一つの方策かとは思います。
なお、この設定を「OFF」に設定変更すると、
.htaccessファイルに以下の一行が追記されます。
1 |
SetEnvIf Request_URI ".*" WpCommentNoLimit |
国外IPアドレスからのコメント・トラックバック制限
デフォルト:OFF
※本設定を「ON」にすることで国外IPアドレスからのコメント・トラックバックを制限できます。
※スパムコメント・トラックバックの多くは国外IPアドレスから行われることが確認されているため
国外からのコメント・トラックバックを必要とされない場合「ON」に設定することを推奨します。
国外IPアドレスからのコメントやトラックバックを制限する場合には、
この設定を有効にします。
スパムの大半が国外であり、日本語ベースのサイトであれば
国内アクセスが大半だとは思いますので、有効にしてもいいかもしれません。
この辺はこういう機能があるということだけご紹介。
なお、この設定を「ON」に設定変更すると、
.htaccessファイルに以下の一行が追記されます。
1 |
SetEnvIf Request_URI ".*" WpCommentDeny |
さいごに
こうした.htaccessファイルに対して自動的に設定値が更新されてくるタイプの機能は、
意識していない.htaccessへの更新が行われます。
その為、一般的な構成ではない場合には、
WordPressセキュリティー設定が反映されない場合もあります。
.htaccessファイルを複数配置してしまっている場合です。
そうした場合には自身の環境に合った形で、
値の転記を行う必要があります。
Apache,Apache Hadoop,Apache Subversion,Hadoop,HDFS,HBase,Hive,Mahout,Pigは、
Apache Software Foundationの米国およびその他の国における登録商標または商標です。
ApacheソフトウェアはApache Software License (原文)および
Apache License, 2.0 (原文)に基づきOpen Source Initiativeに承認されライセンスされています。
関連記事
-
サーバーをXSERVERへ移転しました(お名前SD-01プランより)
Google or AdMax Promotion(it) 禁断の機能がau公式 …
-
【解決12/10】XSERVER上のWordPressにログインできない・投稿できない件
Google or AdMax Promotion(it) 禁断の機能がau公式 …