こんにちは、WPホームページ研究所の運営サポートチーム(@WP_LABO)です。
今回は少し実践的な内容をご紹介いたします。ワードプレスでは管理画面にログインするときにユーザー名とパスワードが必要ですよね。しかし、もしパソコンがウィルスに感染して「ログイン情報」が外部へ漏れてしまったら1つのユーザー名とパスワードのみで管理している限りすぐに管理画面にログインされます。
本日はワードプレスにログインするときに通常のユーザー名とパスワード以外にもうひとつ別でユーザー名とパスワードを設定する方法を解説させていただきます。少し難易度が高いかもしれませんが、慣れればどなたでも設置可能ですのでぜひお試しくださいませ。作業時はくれぐれもご注意いただけますと幸いです。
目次
管理画面にパスワード認証を足してセキュリティ能力を高める方法
まずは「FTPソフト」を使って指定のドメインに接続しましょう。なお、FTPソフトはWindowsでもMac環境でも使えるFilezilla(ファイルジラ)がおすすめです。もちろんFFFTPなどでも構いません。
パスワード認証を足したいドメインに接続する
本手順では管理画面(/wp-admin配下)にのみパスワード認証を追加するので流用するために「.htaccess」をあらかじめダウンロードしておきます。ドメインフォルダの直下に該当のファイルがあります。
右クリックでダウンロード
ファイル(.htaccess)のダウンロードは右クリックから行えます。
ローカル(PC)にファイルを落とす
デスクトップにお好きな名前で作業用のディレクトリを作成しておきましょう。作業に自身があればデスクトップに直接ダウンロードしても構いません。以下は「basic-authentication-security」内で作業しています。
.htaccessを編集する
パスワード認証を行うための「.htaccess」を作っていきましょう。さきほどダウンロードした「.htaccess」を使って編集した後のファイルを管理画面(/wp-admin)にアップロードして使うための下準備です。
.htaccessに記述する内容
ダウンロードした.htaccessの内容を以下に変更して保存しましょう。ただし、環境によっては保存した直後にFTPソフト上で「保存したファイルをアップロードしますか?」というメッセージが出ます。ドメイン直下の「.htaccess」を上書きする可能性があるのでこの段階ではかならず「キャンセル」してくださいませ。
念のためコピペ用のテキストを残しておきます。
AuthUserFile /home/xxxxxxxx/private_html/.htpasswd
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
AuthType Basic
require valid-user
<FilesMatch "(admin-ajax\.php)$">
Satisfy Any
Order allow,deny
Allow from all
Deny from none
</FilesMatch>
なお、上記の「xxxxxxxx」には契約中のサーバーIDを入力してください。上記はMixhostでの記述例なのでさくらインターネットやXserverのレンタルサーバーを使っている場合はパスが変わります。AuthUserFileは認証用のパスワードファイル(.htpasswd)が保存されている場所までのサーバーパスを指しています。
基本的にはエックスサーバーもさくらインターネットも「/home/サーバーID/」と同じ構造のサーバーパスになっていますが、サーバーを契約したタイミングや仕様によっては異なる可能性もあります。
サーバーパスは契約したレンタルサーバー内のコントロールパネル内にあるのでチェックしてください。
private_htmlディレクトリを作る
では「/home/xxxxxxxx/」に新しいディレクトリ「private_html」を作りましょう。パスワード(.htpasswd)を保存するための場所です。ちなみに「public_html」は名前の通りパブリック(ブラウザでアクセス可能)なので本手順ではあえて「private_html」としてプライベート(アクセス不可)な場所を作っています。
右クリックで「ディレクトリの作成」をクリック。
次に「private_html」としてOKをクリックしてください。
以上で「private_html」が出来上がりました。
.htpasswdを作る下準備
パスワード認証用のファイル(.htpasswd)は専用ツールで作成可能です。なお、IDとPasswordにお好きな文字列を入れて生成をクリックしてください。入れた内容がアクセスするためのIDとパスワードになります。下記では参考としてIDに「test」、Passwordに「sample」としているので実際は置き換えてください。
以下が暗号化された後のIDとパスワードです。パスワードの「sample」が暗号化されています。
.htpasswdを作成して保存する
メモ帳などテキストエディターを立ち上げて暗号化済みのIDとパスワードを貼り付けます。
そして「.htpasswd」という名前で「ファイルを保存」してください。文字の入力が不安な方はさきほど生成した画面で文字(.htpasswd)をコピーできるので右クリックでコピーしておきましょう。
ファイル名に「.htpasswd」と入力しましょう。
そしてデスクトップに保存。以下では「basic-authentication-security」に保存しています。
環境によっては以下のメッセージが表示されます。ドット(.)で始まるファイルですが正しいですか?という確認用の画面です。パスワード認証用のファイルなので名前がなくて正解なので「Use」でOK。
.htpasswdをアップロードする
FTPソフトでは保存した「.htpasswd」を認識していないので情報を更新しましょう。
更新すると「.htpasswd」 が表示されます。さきほど作成したディレクトリ「private_html」にアップロード。
アップロードが完了したら以下の状態になります。
.htaccessを「/wp-admin」にアップロード
さきほど保存した「.htaccess」を「/wp-admin」にアップロードしましょう。
以下がアップロード済みの状態です。
以上で設置が完了です。
管理画面にアクセスして認証を試す
いつも通り管理画面にアクセスしてみましょう。以下のようにダイアログが表示されたらOKです。
ユーザー名とパスワードを入力しなければ進めません。
ユーザー名とパスワードが一致するとログイン画面に進みます。
パスワード認証の追加設定は以上となります。
まとめ
通常ではワードプレスの管理画面へアクセスするために「ユーザー名とパスワード」を入れてデータベース認証を行います。しかし、その方法ではログイン情報が漏洩してしまったときにすぐに突破されます。
そんなときはデータベース認証だけでなく『ベーシック認証』を使って「ユーザー名とパスワードを追加」しておけば不正なアクセスを2重でブロック可能です。htmlファイルを編集したことがある方であれば本記事を参考にすれば設置可能ですので、セキュリティ性を高めたい方はぜひともお試しくださいませ。
最新式の無料プラグインを事前公開
WordPressは公式サイトに登録済みのプラグインだけで全機能を補足しきれません。当サイトでは使いやすさを追求した魅惑的なプラグインを無料でダウンロードいただけます。運営ホームページのマーケティング力をさらに高めるチャンスです。まずは無料でDLしてお試しくださいませ。
→ 改良されたプラグインを確認する