WordPressではデフォルトで、管理画面がありそこにID/パスワードを入力します。
セキュリティ上の懸念なのは
WordPressの管理画面は誰がどう見てもWordPressであることがわかってしまうので
それ自体がリスクです。
WordPressであるとわかってしまえば
WordPressの脆弱性を狙った攻撃で認証をバイパスされるといった可能性も大いにあります。
なので、セキュリティ対策としてBasic認証をかけておくのは、効果的な方法の一つといえます。
WordPressの管理画面が表示されること自体が問題
管理アクセスを試みて、ログイン画面が出ること自体が問題です。
なぜならそのシステムがWordPressであることがバレるからです。
なのでそもそも管理画面は見えない方が良いです。
その場合、送信元IPアドレスで制限かけてしまいたいところですが、
家庭のインターネットプロバイダで固定IPアドレスを取得していることはそうそうないでしょう。
普通は、動的にIPが変わりますので、そうするとBasic認証は有効な手段となります。
ということで、
この記事では、簡単にBasic認証をかけることができるHTTP Authプラグインを紹介します。
WordPressにBasic認証をかける
Basic認証をかける方法はいろいろあり、Pluginを使わない方法もあります。
そもそもBasic認証自体がセキュリティ強度が高い認証方式ではないので、
あくまでリスク軽減策の一つというふうに思って頂けるとちょうどいいです。
HTTP AUTHプラグインは次のことに役立ちます。
- ブルートフォース攻撃からWebサイトおよび管理ページを保護します
- 開発中にWebサイトを見えないように制限できます
- 技術的な知識は一切不要でBasic認証をかけることができます
HTTP AUTHプラグインをインストールする
ではインストールします。
検索したら同じようなプラグイン沢山でてきますね。
インストール&有効化すると、下記のような設定画面が追加されます
設定
設定画面はこれだけです。
二つの設定モード
大きく二つの設定モードがあります。
一つは
①管理画面だけに認証をかけるモード(Login and Admin Pages)
もう一つは
②サイト全体に認証をかけるモード(Complete Site)
です。
HTTP AUTHの最大のメリット
LinuxベースでBasic認証かける場合、サイト全体にするかどうかを細かく分けるのは少々面倒な作業です。
それをこのプラグインだと1クリックで選べます。
これは最大のメリットと言えるのではないでしょうか。
私はテスト用のサイトは全てに認証をかけ、本番サイトは管理ページのみ保護、と使い分けています。
設定がおわったら「Activate HTTP Authentication」にチェックをいれて設定を保存します。
逆にいうと、これをOFFにしておけば、Basic認証を簡単に外せるということで、その点でも秀逸です。
確認
ふつうなら下記認証画面がでるところですが、その前にBasic認証は求められたでしょうか。
この画面の前にBasic認証をきかれたら大成功です。
以上、簡単にBasic認証をかけられるプラグイン、HTTP Authの紹介でした。
わかりづらいところがあれば動画解説の方をご覧ください。
\あわせて読みたい/
絶対失敗しないレンタルサーバ選び
最後までお読みいただきありがとうございます。
コメント