追記。次の投稿で、一部 nginx 設定ファイルを修正しております。
ポイント
- nginx ウェブサーバ設定の server コンテキストに try_files $uri $uri/ /index.php?q=$uri&$args; を記述する
タグ: .htaccess
ポイント
WordPress の .htaccess 先頭に次を追加して画像や CSS や Javascript など全てのキャッシュを 1 ヶ月間有効にします。
<IfModule mod_expires.c> ExpiresActive On ExpiresDefault "access plus 1 month" </IfModule>
では実際に設定していきます♪
安全性を高めたい、セキュリティを強化したいですの!そこで、今回 .htaccess ファイルに改善の余地ありということに気が付きましたので実践いたします♪
WordPress の .htaccess の追加部分ポイント
次を冒頭に追加しました。
<FilesMatch "^(wp-config\.php|wp-mail\.php|install\.php)"> Order Allow,Deny Deny from all </FilesMatch>
FilesMatch 部分の “^(wp-config\.php|wp-mail\.php|install\.php)” を整理します。
- ^ 行頭を意味します。
- () 囲った範囲をグループ化します。
- \ エスケープ文字を意味します。
- | 区切られた前後の正規表現のいずれかに一致します。
以上により、http://example.com の後に「wp-config.php」「install.php」「wp-mail.php」「.ht」がつく URL へのアクセスを拒否します。
このサイトは https://oki2a24.com です。http:// の次に www はありません。ですが www を付けてもアクセス・・・あれ?・・・えっと、「http://www.oki2a24.com としてもアクセス可能で Google は https://oki2a24.com とは別サイトとして認識します。だから統一する方法のメモです!」と続けようとしたのですけれも、https://oki2a24.com に自動でリダイレクトされますね。。。
・・・いいです。気にせず、その方法を、当初の予定通りメモします。・・・と思ったのですけれども、管理画面を見つつさらっと調べたらなんとなくわかりました。
app/Config/core.php の prefix routes 部分に次のように書き、
Configure::write('Routing.prefixes', array('admins', 'editors', 'authors'));
app/Controller/UsersController.php で admins_login() のようなアクションを書くことで、
- http;//example.com/admin/users/login/
にアクセスすると admins_login() アクションを実行するようにできます。プレフィックスルーティングですね。
上記の例の場合、 editors と authors も設定しているので、http;//example.com/editors/users/login/ や http;//example.com/editors/authors/login/ で editors_login() や authors_login() を実行できます。
さてここで、admins には特定の IP アドレス以外からアクセスさせたくない!となったら、どうしたらよいでしょうか?やってみた記録をメモします。