WordPressに「.htaccess」を使いログイン画面から直リン禁止までセキュリティを強化する方法

Wordpress

WordPressのログイン画面はURLが共通なので誰でもアクセスできてしまいます。

URLを変更できるプラグインもありますが、できればプラグインは増やしたくない方も多いと思います。

そこでWEBサイトに備え付けられている.htaccessを使ったセキュリティ強化方法を紹介します。内容を書き加えるだけで簡単にセキュリティを強化できます。

ログイン画面へのアクセスを制限する方法

まずこちらのサイト.htpasswdを生成します。あらかじめIDとパスワードを決めておきましょう。

.htaccessがあるディレクトリへ移動して.htpasswdというファイルを作成します。

.htpasswdをエディタで開き、生成結果を.htpasswdファイルにそのまま貼り付けます。

.htpasswd生成結果をコピペしてファイルに貼り付ける

次に.htaccessを開き、最初の行に以下のコードを追記します。

<Files wp-login.php>
AuthName "Please enter your ID and password"
AuthType Basic
AuthUserFile /home/ユーザー名/public_html/URL/.htpasswd
Require valid-user
</Files>

4行目の「ユーザー名」にはあなたのサーバーに書かれているユーザー名を、「URL」にはあなたのhttps://を除いたURLを記載してください。

(内容は一例です。サーバー環境によりhomeからURLまでの内容が異なります)

これでログイン画面へのアクセスがポップアップによりブロックできます。

.htpasswdを生成 した際のIDとパスワードは忘れずに取っておきましょう。

かつてはfunctions.phpを使ってログイン画面のURLにランダムな文字列を追加するという方法がありましたが、現在はWordpressの仕様が変わってしまったため使えなくなっています。

.htaccessファイルを保護します

ログイン画面をガードできてもファイルに直接アクセスされては元も子のないので、.htaccessとディレクトリ自体をブロックしておきましょう。

.htaccessに以下のコードを追記します。

<Files ~ "^\.(htaccess|htpasswd)$">
deny from all
</Files>

Options All -Indexes

これらを .htaccessに追記するだけでサイトのセキュリティがプラグインなしで格段と向上します。