このブログには コメントスパム対策として
Throws SPAM Away が入っています。
これはこれで効果は絶大なんですが、最近セキュリティ向上としてやっていることがあります。
それが
WordPressのログイン画面にBASIC認証をかける
ということなんです。
かけ方としてはこんな感じ。
WordPressインストールディレクトリにある .htaccess に下記を追記する
Apache サーバーまたは .htaccess ファイルが利用できる環境に限っちゃうけど、すみません。
<Files wp-login.php>
<If "%{QUERY_STRING} != 'action=postpass'">
# エックスサーバーだとこんな感じのパス
AuthUserFile "/home/{ユーザ}/{ドメイン}/{あとは合わせて}/.htpasswd"
AuthGroupFile /dev/null
AuthName 'Member Only...'
AuthType Basic
Require valid-user
</If>
</Files>
AuthUserFile のパスについてはサーバーの状態に合わせてください。
※2021年1月29日 以前のものでは「パスワード保護」のページでパスワード入力時にBASIC認証が表示されてしまうため改修しました。
適宜 .htpasswd ファイルを用意して中に
ユーザー:パスワード
の文字列を書いておいてください。
編集には .htaccess Editor が便利です。
これで不正ログインはかなり防げます
今のところ、不正アクセスは自分のパスワード間違ったエラーしか記録されていないほど。
Crazy Bone 入れてますが、日本のマークしか出ていない+エラーがないのは気持ちいいです。
すると、副産物がありました。
コメントスパムもなくなった…
コメントスパム自体はそもそも前述の
Throws SPAM Away
のおかげでまったく入らないのですが、そもそも吐き捨てられるはずのログのないんです。
スパムデータを見ると…
そもそも3日間分しか記録していないのですが(笑)
以前は 3日分でも それなりにスパム投稿をしようとした形跡が見えて面白かったんですが(笑)
今、まったくなくてつまらんのですよ(笑)
いいことなんですけどね。
今のところ、「ソースはオレ」状態
なんだかんだ言って、このブログほどアクセス数があるサイトをほかに持っていないので試しようがなく…
「ソースはオレ」状態を脱していません。
やってみて様子を見てほしいです。
WordPress のログイン画面に BASIC認証をかけたらコメントスパムもなくなった…
…どうなんだろう。
たまたまだったらこの記事自体ほんと申し訳ないのですが(笑)
嬉しくて書いてしまいました。お許しください。