WordPress 管理画面へ SPDY で SSL 接続する

もふもふあげさん セキュリティ
この記事は約6分で読めます。
スポンサーリンク

先日 nginx をソースからインストールして入れ替えたのだけど、その時に SPDY もついでに入れておいた [01]yum は止めて nginx をソースからインストールする | 脳無しの呟き《土鍋と麦酒と炬燵猫》』を参照のこと。 。ちなみに SPDY に関しての説明は『SPDY の紹介と nginx で SPDY を使う方法 – HeartRails Tech Blog』にお任せ。

なんて感じで設定するのだけど、WordPress 管理画面には IP アドレスと Basic 認証を使ったアクセス制限もしていて、それらを考慮した設定ファイルを作ることになる。まずは SSL でアクセスするための前準備として『オレオレ証明書で WordPress 管理画面へ SSL 接続する | 脳無しの呟き《土鍋と麦酒と炬燵猫》』を参考にしてオレオレ証明書を作る。自身しか利用しないことが前提の話なので、オレオレ証明書で問題なし。

これまでアクセス制限に関しては nginx.conf に記述していたのだけど、SSL でアクセスすることになるので、そちらの記述は別途作成した ssl.conf に行うことになる。挙動としては WordPress へのログイン画面(wp-login.php)と管理画面(wp-admin 以下のディレクトリ)へのアクセスに関して SSL 接続することにして、それ以外は通常の http 接続にするという感じ。

まずはメインである nginx.conf の修正。アクセス制限してた箇所をコメントアウトして、ログイン画面および管理画面のアクセスは強制的に https で接続するように誘導する。関連ファイルは /wordpress/ ディレクトリ以下にあると仮定。

server {
    listen       80;
    server_name  yourdomain;

    location ~ ^/wordpress/(wp-login\.php$|wp-admin) {
        rewrite ^/wordpress/wp-login.php?$ https://$host/blog/wp-login.php last;
        rewrite ^/wordpress/wp-admin/(.*)?$ https://$host/blog/wp-admin/$1 last;
#       satisfy any;
#       allow xxx.xxx.xxx.xxx.;
#       deny  all;
#       auth_basic "Login";
#       auth_basic_user_file /var/www/html/.htpasswd;
#       access_log off;
#       proxy_pass http://$host.backend;
        break;
    }

そして次は SSL 接続用に作った ssl.conf の記述。

# HTTPS server
server {
    listen       443 ssl spdy default_server; // SPDY を有効化
    server_name  yourdomain;

    ssl                  on;
    ssl_certificate      /var/lib/nginx/nginx-ssl/xxx.crt;
    ssl_certificate_key  /var/lib/nginx/nginx-ssl/xxx.key;

    ssl_session_timeout  10m;

    ssl_protocols  SSLv2 SSLv3 TLSv1;
    ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
    ssl_prefer_server_ciphers   on;

    if ($uri !~ ^/wordpress/wp-) {
        rewrite ^(.*)?$ http://$host$uri last; // 該当ページ以外への SSL 接続は http に
    }

    location / {
        root /var/www/html;
        index index.php index.html index.htm;
        proxy_redirect off;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-Proto https;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Server $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }

    location ~ ^/wordpress/(wp-login\.php$|wp-admin) {
        satisfy any; // 複数の制限選択肢がある場合のおまじない
        allow xxx.xxx.xxx.xxx; // 固定 IP からのアクセスは無条件で認める
        deny  all;
        auth_basic "Login"; // 固定 IP 以外からのアクセスは Basic 認証で対応
        auth_basic_user_file /var/www/html/.htpasswd;
        access_log off;
        proxy_pass http://$host.backend;
        break;
    }

    location ~ \.php$ {
        root          /var/www/html;
        fastcgi_pass  127.0.0.1:9000;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_param HTTPS on;
        include       /etc/nginx/fastcgi_params;
    }
}

これでログイン画面および管理画面へのアクセスを制限しつつ、それらへのアクセスは SPDY が有効な SSL で接続できるようになった。SPDY 接続していることは以下でわかる。URL 欄にある緑の雷マークが SPDY 接続できているという証明。Firefox なら『SPDY indicator :: Add-ons for Firefox』をインストールするとそれが表示されるようになります [02]Google Chrome なら『Chrome Web Store – SPDY indicator』を。

SPDY が有効になっていることを確認

というわけで、管理画面へのアクセス制限とそれらへの SSL 接続を行うという設定は終了。SPDY を導入したから速くなったかどうかはわからないけど、まぁそこは管理画面という軽いコンテンツだからかもしれない。なんにしても、制限をしつつ特定のページにのみ SPDY でのアクセスを実現できたのでヨシとする。

タイトルとURLをコピーしました