WordPress管理画面にベーシック認証を掛ける方法

web関連

WordPressの管理画面のセキュリティ対策は行ってますか?(WordPress以外もですが)
WordPressはデフォルトだと「ドメイン名/wp-admin/」と入力すると簡単にログイン画面に到達できてしまいます。
ログイン画面まで行ってしまえばブルートフォースアタックをされる確率が高まります。
ブルートフォースアタックをされるとサーバへ負荷が掛かったり、最悪パスワードを突破されて管理画面に入られてしまう可能性があります。

 

今回はベーシック認証で簡易にWordPressの管理画面を表示させなくする方法を紹介します。

 

ブルートフォースアタックってなに?

webアプリケーション等にパスワードを総当りで攻撃し、不正にログインすることです。
全てのパスワードを試すためサーバにも負荷がかかります。

 

今回はこれを防ぐためにベーシック認証で2重にパスワードを掛け、より安全性を高めます。

 

ベーシック認証を設定する

では早速ベーシック認証を設定していきましょう。

 

設置場所

今回はWordPressの管理画面を想定しているので、「ドメイン名/wp-admin/」に設置します。
WordPressを設置している箇所に合わせて場所を確認して下さい。

htpasswdの作成

Webサービスで簡単にhtpasswdを作成してくれるサービスがあるので、そちらで作成します。
今回はこちらで作成しました。

 

IDとパスワードを入れるだけです。
「htpasswd.txt」で保存します。

 

htaccessの作成

テキストエディタを開き、下記を入力します。

 

AuthType Basic
AuthUserFile /フルパス/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
Require valid-user
<FilesMatch "(admin-ajax.php)$">
    Satisfy Any
    Order allow,deny
    Allow from all
    Deny from none
</FilesMatch>

 

フルパスの部分がもしわからない場合は、「フルパスを調べるのが面倒なのでPHPで取得してみる」でPHPでフルパスを確認する方法を紹介しているので確認してみて下さい。

 

「htaccess.txt」で保存します。

 

FTPでアップロード

最初に確認した「ドメイン名/wp-admin/」にアップロードします。
「htpasswd.txt」と「htaccess.txt」をサーバにアップロードして下さい。

 

名前変更

「htpasswd.txt」、「htaccess.txt」のままだと機能しないため、サーバ上で名前を変更します。
「.htpasswd」と「.htaccess」に名前をそれぞれ変更して下さい。

 

確認

管理しているWordPressの管理画面にログインしてみて下さい。
成功していれば、ログイン画面の前にベーシック認証が出てくるはずです。
設定したIDとパスワードを入力するとログイン画面が表示されるはずです!

 

以上!
お疲れ様でした!

コメント

タイトルとURLをコピーしました