より安全にWordPressを運用する為に、サーバーのWAFを有効化しましょう！

多くのレンタルサーバーで利用されているWAF（ウェブアプリケーションファイヤーウォール）
phpやcgiなどで不正なコマンドの実行を防ぐセキュリティのシステムです。

WordPressを運用する場合は是非有効化したい機能ですが、管理画面が上手く行かない場合もあるようです。

今回は共有SSL等を利用し、WAFとWordpressを共存させる為の方法をご説明します。

Craftbukkitの起動管理用スクリプトを修正してくれた「sara」さんのブログ
さらぽっぽ

記事の説明はこちらから

１）共有SSLの設定

赤枠の通り「ドメイン設定」を選択すると初期ドメインと登録されている独自ドメインの一覧が表示されています。

現在は初期ドメイン（1行目）のみSSLが使用できるように設定済みです。（表示と出ているのがその証拠です）

設定変更は「変更」をクリック

枠内のトグルスイッチで「使用する」を選択。下に表示されるURLを正確にメモしておきましょう。

（いつでも再確認できますので必要な時にここからコピペしてもOKです。）

２）プラグイン　WordPress Httpsを導入する。

これを導入します。

ドメイン設定欄には初期ドメインのSSL版のディレクトリを入力します。

例　https://www.0123.sakura.ne.jp/

※WordPressがどのディレクトリに入っているかに関わらず、トップドメインで良いようです(^^ゞ
　どなたか確定情報有れば教えて下さい。

３）ベーシック認証を設定する。

さくらのレンタルサーバーでファイルマネージャを起動し、WordPressがインストールされているフォルダを開きます。

その後、「表示アドレスへの操作」から「アクセス設定」を選択

「パスワード制限を使用する」にチェック

「一方の許可があればアクセス」を選択してパスワードファイルの「編集」をクリック

追加をすれば項目が追加できます。

右側の鉛筆マークで編集。

Basic認証で使用するユーザー名とパスワードを設定します。（WordPressのユーザー名とは別なモノがオススメ）

４）「初期ドメインへのアクセスはBasic認証を要求し、独自ドメインへのアクセスは通常通り許可する」という設定

HASHコンサルティング株式会社様の記事を参考にコピペをお願いします(^^ゞ

HASHコンサルティング様本当に有り難うございます。

ロリポップ上のWordPressをWAFで防御する方法

SetEnvIf Host “OOOOOOOOO” allow_host
この行を「独自ドメイン」に置き換えます。２行有るのは「www.」があるものとないものの２行です。ここのサーバーにより１行しか要らない場合などあると思います。

※下位のディレクトリにWordPressをインストールしている場合でも、ここは以下の通りで問題ありません。

例：www.inst-web.com と inst-web.com

これでhttpsへのアクセスはBasic認証が必要とされる様になりました。

５）アクセステスト

独自ドメイン＋wp-login.phpで管理画面へのログインを試みます。

例：https://www.inst-web.com/blog/wp-login.php

これで

１）httpsで始まる共有SSL（初期ドメイン）にリダイレクトされる。

２）Basic認証を通過すると管理画面が表示される。

何度か試しても上手く行かない場合は１ステップずつ戻って確認しましょう。

６）WAF（ウェブアプリケーションファイヤーウォール）の設定画面。

蛍光ペンで示しているとおり、初期ドメイン（サーバーを借りた際に予め付いているドメイン）はオフにして、独自ドメイン（別途取得したオリジナルのドメイン）ではオン、つまりWAFを利用する様に設定します。

WAFの設定が終われば今回の作業は完了です。