ベーシック認証をかけて、セキュリティの強いwordpressサイトにする(エックスサーバー)
エックスサーバーでwordpressの構築が完了したら、次に「ベーシック認証」を行います。
【注意】この設定は、管理画面だけでなく、投稿した記事の詳細ページにもBasic認証のダイアログが表示されます。そのため、xserverでBasic認証の設定後に、.htaccessというファイルを変更する必要があります。
操作方法は説明いたしますが、初心者で難しいという方は・・・
をご覧ください。
WAF標準搭載のエックスサーバーについてはこちらからご覧ください。
目次
wordpressのベーシック認証とは
wordpressのログインの画面がありますね。
この画面で「ユーザー名またはメールアドレス」「パスワード」を入力してwordpressの管理画面にログインするのですが、この画面は自分だけではなく、他人も見ることができるのです。
この画面を貴方のブログの勝手口だとすると、誰でも勝手口の前に来て「ピンポーン」と鳴らすことができるのです。(勝手に「ユーザー名またはメールアドレス」「パスワード」を入力すること)
俗にいうピンポンダッシュされるわけです。
基本的には「ユーザー名またはメールアドレス」「パスワード」は見破れにくい情報になっていると思いますのでログインされることはないと思いますが、低い確率ですが万が一「見破られる」ということもありえると考えます。
特にブラックハットハッカーはプログラムでハッキングするため、何千回も何万回もピンポンダッシュができるのですね。鬱陶しいことこの上ないですね。
これに対応するためには「ベーシック認証」と言う機能を利用します。
この「ベーシック認証」とは「勝手口」の前にもう一つ「入口」を設けることです。
勝手口の前に「入口」を設けて、ここにも「鍵(「ユーザー名」「パスワード」)」を付けます。
これにより、セキュリティの強度が上がりますので必ず設定してくださいね。
ベーシック認証の設定方法について
通常ログインのアドレスは
私のサイトは https://lykiaadventure.com/wp-admin/となります。
https://貴方のドメイン/wp-admin/ ですね。
この「/wp-admin/」のホルダーにベーシック認証の機能を追加するとログインのアドレスを入力すると以下のような新しいログイン画面が表示されます。
wordpressのログインをするまえに、ベーシック認証の機能で作られた画面のログインが必要になるのです。
1.エックスサーバーにログイン
エックスサーバーにログインします。ログイン画面にメールアドレスとパスワードを設定して「ログイン」ボタンを押下します。
https://www.xserver.ne.jp/login_info.php
2.トップページが表示されます。
ここで「サーバー管理」ボタンを押下します。
レンタルサーバー サーバーパネルが表示されます。
3.メニューの「ホームページ」から「アクセス制限」をクリックします。
4.ドメイン選択画面より、貴方のドメインの「選択する」ボタンを押下します。
5.アクセス制限設定画面より、「wp-admin」のアクセス制限を「ON」にチェックを入れます。
そして「設定する」ボタンを押下します。
(注意)必ず「wp-admin」のアクセス制限を「ON」にしてください。間違えるとブログが表示されなくなります。
6.設定の完了画面が表示されます。
「ベーシック認証」の設定変更が完了しました。と表示されるので「戻る」ボタンを押下します。
7.フォルダー名一覧の画面に戻ります。このとき、「wp-admin」のアイコンに赤い鍵が付いています。
「wp-admin」の「ユーザー設定」ボタンを押下します。
8.ユーザーIDとパスワードの設定画面が表示されるので、wordpressと異なる情報を設定してください。
入力後、「確認画面に進む」ボタンを押下してください。
※ユーザーIDとパスワードとも半角255文字以内、半角英数字と次の記号が使用できます。!#$%=~^|:_[].+-*/
※ユーザーIDとパスワードとも12文字以上を推奨します。
※設定した情報は必ずメモしておいてくださいね。
※設定後に一度「アクセス制限(ベーシック認証)」画面にユーザーIDとパスワードの要求がきます。その時ブラウザから「ユーザーIDとパスワードを記憶するか否か」の応答がありますので「記憶」してください。
9. 確認画面が表示されますので、「追加する」ボタンを押下してください。
※これで「アクセス制限(ベーシック認証)」の設定は完了しました。
10.アクセス制限(ベーシック認証)のユーザーIDとパスワードを忘れてしまった場合は上記「8.」の画面でユーザーIDとパスワードを削除して再度設定しなおしてください。
エックスサーバー用アクセス制限(ベーシック認証)の特別処理(絶対に変更してください。)
ここまでの作業ご苦労様でした。
現在の状況では、ホームページにアクセスすると「ベーシック認証」画面が表紙されてしまうのです。(ユーザ名、パスワードを無視すればホームページを見ることができます。)
しかし、見に来ていただいた方には「わけのわからない画面」が表示されて、違うページに行く可能性もあります。そこで以下の作業をお願いします。
基本的に「.htaccess」のファイルを理解されていない方はお勧めしません。
(1) wp-adminのフォルダーに格納されている「.htaccess」ファイルを開きます。
ファイルの内容は
AuthUserFile "/home/xxxxx/xxxxxx.com/htpasswd/wp-admin/.htpasswd"
AuthName "Member Site"
AuthType BASIC
require valid-userとなっていると思います。
(2) 上記.htaccessの内容をコピーして、メモ帳に貼り付けます。
そして上記に内容の前後に「<Files wp-login.php>~</Files>」を追加します。
この.htaccessのフォルダーをクリアします。(必ず)
<Files wp-login.php>
AuthUserFile "/home/xxxxx/xxxxxx.com/htpasswd/wp-admin/.htpasswd"
AuthName "Member Site"
AuthType BASIC
require valid-user
</Files>(3) つぎにルートフォルダーの「.htaccess」をバックアップします。
もし、.htaccessファイルがおかしくなった場合にバックアップファイルで戻すためです。
(4) ルートフォルダーの「.htaccess」を開き、先ほど「<Files wp-login.php>~</Files>」を追加したコードを分を.htaccessに追加します。
アクセス制限(ベーシック認証)の確認
1.貴方のアドレスをブラウザに設定してください。
https://貴方のドメイン/wp-admin/
2.アクセス制限(ベーシック認証)の画面が表示されますので、設定した「ユーザーID」と「パスワード」を入力して「ログイン」ボタンを押下してください。
3.本来の「勝手口」であるwordpressのログイン画面が表示されます。
4.トップページアクセスをして、認証画面が表示されないことを確認してください。
※できれば、スマホでも同様なことができることを確認してください。
ベーシック認証をかけて、セキュリティの強いwordpressサイトのまとめ
このアクセス制限は「ベーシック認証」の機能で、ページやファイルにアクセス制限をかけることができる認証方法の1つになります。
これを破るのは難しいので貴方のwordpressのブログにも是非設定してあげてください。
問題があれば、上記「「8.」の画面でユーザーIDとパスワードを削除して再度設定しなおしてください。」
それで問題は解決します。
もし、wordpressのセキュリティ対策で悩まれている方はこちらの一覧をご覧ください。