WordPressのログイン画面はURLが共通なので誰でもアクセスできてしまいます。
URLを変更できるプラグインもありますが、できればプラグインは増やしたくない方も多いと思います。
そこでWEBサイトに備え付けられている.htaccessを使ったセキュリティ強化方法を紹介します。内容を書き加えるだけで簡単にセキュリティを強化できます。
ログイン画面へのアクセスを制限する方法
まずこちらのサイトで.htpasswdを生成します。あらかじめIDとパスワードを決めておきましょう。
.htaccessがあるディレクトリへ移動して.htpasswdというファイルを作成します。
.htpasswdをエディタで開き、生成結果を.htpasswdファイルにそのまま貼り付けます。
次に.htaccessを開き、最初の行に以下のコードを追記します。
<Files wp-login.php>
AuthName "Please enter your ID and password"
AuthType Basic
AuthUserFile /home/ユーザー名/public_html/URL/.htpasswd
Require valid-user
</Files>4行目の「ユーザー名」にはあなたのサーバーに書かれているユーザー名を、「URL」にはあなたのhttps://を除いたURLを記載してください。
(内容は一例です。サーバー環境によりhomeからURLまでの内容が異なります)
これでログイン画面へのアクセスがポップアップによりブロックできます。
.htpasswdを生成 した際のIDとパスワードは忘れずに取っておきましょう。
.htaccessファイルを保護します
ログイン画面をガードできてもファイルに直接アクセスされては元も子のないので、.htaccessとディレクトリ自体をブロックしておきましょう。
.htaccessに以下のコードを追記します。
<Files ~ "^\.(htaccess|htpasswd)$">
deny from all
</Files>
Options All -Indexesこれらを .htaccessに追記するだけでサイトのセキュリティがプラグインなしで格段と向上します。
