Re: WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目

8. 管理画面にIP制限をかける

wp-adminとwp-login.phpにアクセスできるホストを信頼できるIPアドレスのみに制限する方法です。たとえパスワードがそのまま外部に流出したとしても、社外から管理画面に入ることができなくする対策です。ただ、これは自由にログインさせるコミュニティサイトでは無理ですし、そうでない場合でも利便性が低下しますので、ケース・バイ・ケースで行うべき対策でしょう。

via.WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目

惜しい、非常に惜しい。
セキュリティ対策としては良いんですが、これやっちゃうと一部のプラグインが動作しなくなったりしてハマりポイントになる可能性があります。

WordPress で Ajax を実装するためには、以下のような手法が良く用いられます。

add_action('wp_ajax_example', 'ajax_example');  // ダッシュボード用
add_action('wp_ajax_nopriv_nlmg_example', 'ajax_example');  // 公開部分用
function ajax_example(){
    // なんか処理
}

via.いまさらだけどWordPressでAjaxのやり方

こうすると、/wp-admin/admin-ajax.php?action=example にアクセスすることで、簡単に ajax が実装できます。

本当は、公開部分では /wp-admin/admin-ajax.php を使わずにプラグイン独自で用意した方が良いし、Codex にもプラグインのメインPHPファイルまたは補助ファイルでやれと書いてあるんですが、結構上記のような実装をするプラグイン作者が多いです。
すいません、私もたまにやります。
( WordPress は公開部分用に /wp-admin/admin-ajax.php ではなくて、別の API を用意してくれないかなー。 /wp-ajax.php とかで良いんだけど )

なので、IP 制限をする場合は /wp-admin/admin-ajax.php だけは、制限をかけないようにしてあげてください。

Re: WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目」への6件のフィードバック

  1. ピンバック: WordPress のセキュリティ: リスクを減らす5ステップ (Sucuri Blog より訳出) | わーどぷれすっ!

  2. ピンバック: WordPressの管理画面に制限をかける(ver3.5.1) | Gatespace's Blog

  3. ピンバック: WordPressの現実的なセキュリティ対策 【趣味ブロガー向け】 | 某氏の猫空

  4. ピンバック: WordPress用nginxの設定 with SSL - UbuntuによるEco Linuxサーバ構築記

  5. ピンバック: WordPressの運用上のセキュリティについて考えよう | Gatespace's Blog

  6. ピンバック: SiteGuard WP Plugin: 日本語対応 WordPress 用セキュリティプラグイン | deadwood

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中