Wordpress

Wordpressに関すること

[WP] 管理画面へBASIC認証を追加

medium_10086117975
photo credit: Defence Images via photopin cc

先日二重認証を行ったがブルートフォースアタックはまだあるみたいなのでBASIC認証も行うようにしてみた。

BASIC認証用のID/パスワードファイルを作成・設置

[ .htaccess ファイルを簡単作成「.htaccess Editor」 ]
.htaccess Editor のサイトで .htaccess ファイルも作成できるので便利。

パスワードファイルを置く場所はサイトからアクセスできない場所が望ましい。
さくらインターネットであれば、/home/ユーザー名/www/ 以下がサイトで利用する場所なので、www ディレクトリと同じ階層にディレクトリを作成してその中にパスワードファイルをアップロードすればよい。


wp-admin ディレクトリをBASIC認証の対象にする

htaccess Editorでパスワードファイルを作成時にきちんとパスワードファイルのアップロード場所まで確定しているのであれば、htaccess Editorで作成された .htaccess ファイルをそのまま wp-admin フォルダにアップロード。

.htaccess ファイル例

AuthType Basic
AuthName "Secure Area"
AuthUserFile "/home/xxxx/.htpasswds/passwd"
require valid-user

設置後管理画面にアクセスすると認証用のダイアログが出ると思うのでパスワードファイル作成時のID と パスワードでログインできればOK。


wp-login.php を BASIC認証の対象にする

WordPressのログイン画面も認証するように。
Wordpress設置時に作成された .htaccess ファイルに上記のwp-adminのBASIC認証と同じ認証するように追加する。


<FilesMatch "wp-login.php">
AuthType Basic
AuthName "Secure Area"
AuthUserFile "/home/xxxx/.htpasswds/passwd"
require valid-user
</FilesMatch>

これで管理画面へログインする際に、BASIC認証 → WordPressログイン という二段構えになる。

参考サイト:[ WordPress の wp-login.php をブルートフォースアタックから守る | Web Design Leaves ]

[WP] WordPressログインの2段階認証プラグイン

medium_2152798588
photo credit: Ian-S via photopin cc

自分は複数のWordpressサイトを運用してたりするのだけれど、その一つがwpXで運用してて、wpXのセキュリティ関連サービスとして「ログイン施行回数制限」というのがある。
短時間に何度もログイン失敗が発生した際にアクセス制限がされる機能で、パスワード総当たりをするブルートフォースアタックに対応するセキュリティサービス。
で、wpXで運用してるサイトにログインしようとしたときに上記のアクセス制限がされた旨の画面が出てきてびっくり。

ブルートフォースアタックについては話には聞いていたが、いざ自分の管轄してる部分で起きるとなんとか対応しなきゃ・・と思うね。
他のサーバーで運用してるサーバーにはこのようなアクセス制限機能がついてないので、サーバー負荷的な部分でも負担をかけてるのかも…ということで早速2段階認証をつけることにした。

いろいろ調べてみたら、iOSやAndroid端末用アプリのGoogleの認証システムを利用したプラグイン「Google Authenticator」がよさげな感じ。

[ Googleの中の人も使ってるらしいWordPressでGoogle2段階認証を使うプラグイン | アンギス ]

詳しい導入方法は上記サイトでわかりやすく説明されてます。 (丸投げ)

自分はすでにGuildWars2のアカウント認証でGoogle認証システムを使っていたので、簡単に
1.プラグインの導入
2.認証アプリからQRコードの読み取り
3.ログイン画面に認証コードが追加
で、さくっと2段階認証の実装ができました。

2014-0130_wplogin

認証系はいろいろ面倒になってきているけれど、何かあってからでは遅いので仕方ないのよね…。

[WP] カテゴリとタグが重複してしまった時

medium_3769771267
photo credit: Michael Heilemann via photopin cc

WordPressにて運用していくうちにカテゴリ名を変えたり、タグ名を変えたりして記事の再整理を行うことがままあります。

通常であればカテゴリとタグはそれぞれ別IDで管理され互いに干渉することは無いのですが、名前の変更操作で両方の名前とスラッグが同じにしてしまうと、カテゴリとタグが同一扱いになってしまいます。
そうなってしまうとカテゴリ名だけを変えたのにタグの名前も変わってしまったり、その逆の場合も起こります。

自分の管理しているサイトもその状況になってしまい管理画面からは分離作業が行えないため、データベースを直接書き換えなきゃだめかな・・・と思ってたとき下記記事を発見しました。

[ WordPressでカテゴリ・タグを作成する際に気をつけるべきこと | blog.ks-product.com ]

新たに別名のタグを作成し、該当記事にタグ付をして、古いタグを削除する という方法です。

カテゴリとタグとで名前の変更が連動してしまったため、削除も片方を削除すると両方削除されてしまうのではないか…と危惧してましたが連動してしまうのは名前付けのところだけとのことで、不要なタグの方は削除しても問題なかったです。



カテゴリやタグの名前を変更するときは気を付けましょうね。

[WP] リビジョン削除プラグイン

medium_2536017020
photo credit: Nikolay Bachiyski via photopin cc

Ver.2.xの頃(詳しい時期は忘れちゃった)からWordpressの基本機能として実装している投稿のリビジョン機能。
間違って更新しちゃったー って時は更新前に戻せるので便利ではあるけれど、副作用としてそれぞれ自動保存されてる記事ごとにPOST IDが振られているので実際に公開している記事のPOST IDがとびとびになる。
当ブログとかPOST IDがパーマリンクになっているので、それがとびとびになっているのは仕様上全く問題なくとも、なんとなく気持ち悪い。
またそれなりにデータベースのサイズも大きくなる。

まぁリビジョン機能が不要であれば wp-config.php を編集して

define(WP_POST_REVISION, false);

を追加すればよいのだが、サーバ移転等でうっかり設定し忘れると、リビジョン機能が有効になってしまい後からウガーという状況になるのでプラグインで制御できるものを探してみた。

[ WordPress › Revision Control « WordPress Plugins ]

Revision Ctrl

設定画面は日本語化されてて、リビジョン機能を使わないのであれば「保存しない」を設定すればよい。

このプラグインは単なるリビジョン機能のON/OFFだけでなく、リビジョンの範囲も設定できる模様。
…説明等は下記サイトで。
[ Revision Control(リビジョン機能制御用WordPressプラグイン)の導入方法と使い方 ]



リビジョン関連ではもう一つ。

すでに作成されてしまったリビジョン関連のデータを削除するプラグイン。

[ WordPress › Better Delete Revision « WordPress Plugins ]

delete_revision

ボタン一つでリビジョンデータの削除とデータベースの最適化をしてくれるプラグイン。

自分も利用して特に問題はないのだけれど、一応データベースのバックアップを取ってから削除作業はしたほうがいいかもね。

[WP] WordPress 3.6 リリース

[ WordPress › 日本語 « WordPress 3.6 日本語版リリースのお知らせ ]
[ Version 3.6 – WordPress Codex 日本語版 ]

等Blogでも利用しているCMSのWordpressが3.6がリリース。
英語版は先週末に出てたけれど日本語版が出るのを待って、さくっとアップデート。

新テーマのTwenty Thirteen テーマは画像とかたくさん使ってるページにはよさげだけど…ウチのようなところは・・ねw