最近、ロリポップで運用している WordPress に対して断続的に攻撃がありました。
具体的には、「wp-login.php に対し、複数回のログイン試行が確認されました。」(ロリポップからのメールより)というもの。
ロリポップでは、この攻撃を受けると自動的に .htaccess を書き換えて、管理画面にアクセス出来ないようにしてくれるのですが、それで対応されてしまうと .htaccess を書きなおさないと正規のユーザもログインできなくなってしまいます。
そこで、BASIC認証をかけることで、BASIC認証とwp-loginの二段構えにすることにしました。
.htaccess
<Files wp-login.php>
AuthName "Input ID & Password"
AuthType Basic
AuthUserFile /full/path/to/.htpasswd
Require valid-user
</Files>
.htaccess ファイルは、wp-login.php と同じ場所に置きます。
.htpasswd ファイルは htpasswdファイル作成 などを見て作ってください。