理想的な世界では、wp-adminフォルダー名を簡単に変更できます。 WordPressのハッキングがなければ、それは実際には不可能ですが、wp-adminをもう少し保護するためにできることはさまざまです。 WordPressによって公式にサポートされているソリューションが存在するまで、このフォルダーの名前を変更しようとはしません。 WordPressはそのために構築されたものではなく、プラグインはそのために構築されたものでもありませんし、テーマでもありません。 ただし、次のことができます。
特定のIPのみを許可する
これはおそらく、本当に物事をロックダウンするため、私のお気に入りのソリューションです。 私たちがやろうとしているのは、IPアドレスをチェックすることです。IPアドレスが承認済みのIPアドレスと一致しない場合、禁止エラーが返されます。 これは、.htaccessファイルを使用してIPアドレスを確認します。
.htaccess order allow、deny allow from 1.0.0.1 allow from 1.0.0.2 all deny all
上記の2つのIPアドレスを、WordPress管理者へのアクセスに使用するIPアドレスに置き換えます。 IPアドレスを1つだけ許可することも、 allow fromで 始まる行を追加または削除することにより、いくつでも 許可することもでき ます。
別のパスワードレイヤーを追加する
Apacheを介してWordPressを実行していると仮定すると、htaccessパスワードを使用してディレクトリをパスワードで保護するのは非常に簡単です。 前のリンクにリストされている指示に従い、wp-adminディレクトリー内にコードを配置します。 .htpasswdファイルを生成する必要がある場合は、作成したhtpasswdジェネレーターを参照してください。
ユーザー名 adminを 使用しないでください
ユーザー名をデフォルトの管理者名から変更してください。 あなたのサイトにアクセスしようとしている人がユーザー名を持っているなら、それは彼らがあなたのWordPressインストールへの道を強制することに一歩近づいています。 特に、ユーザー名adminを標的としたボットネットによる最近のブルートフォース攻撃を考慮すると、これはかつてないほど重要です。
パスワードの強度
これはどのサイトでも指定する必要があります。 パスワードとして1234を使用しないでください。 大文字と小文字、文字列、記号など、安全なものを選んでください。パスワードの推測を少し複雑にするためにできることは何でも選択してください。
