「.htaccess」を使ってセキュリティ強化する方法 ログイン画面から直リン禁止まで

Wordpress
Photo by Jon Moore on Unsplash

WordPressのログイン画面はURLが共通なので誰でもアクセスできてしまいます。URLを変更できるプラグインもありますが、できればプラグインは増やしたくないですよね。

そこでWEBサイトに備え付けられている.htaccessを使った方法を紹介です。内容を書き加えるだけで簡単にセキュリティを強化できます。

Advertisement

ログイン画面へのアクセスを制限する方法

まずこちらのサイト.htpasswdを生成します。あらかじめIDとパスワードを決めておきましょう。

.htaccessがあるディレクトリへ移動して.htpasswdというファイルを作成します。

.htpasswdをエディタで開き、生成結果を.htpasswdファイルにそのまま貼り付けます。

.htpasswd生成結果をコピペしてファイルに貼り付ける

次に.htaccessを開き、最初の行に以下のコードを追記します。

# ベーシック認証 <Files wp-login.php>
AuthName "Please enter your ID and password"
AuthType Basic
AuthUserFile /home/ユーザー名/public_html/URL/.htpasswd
Require valid-user
</Files>
# END ベーシック認証

4行目の「ユーザー名」にはあなたのサーバーに書かれているユーザー名を、「URL」にはあなたのhttps://を除いたURLを記載してください。(内容は一例です。サーバー環境によりhomeからURLまでの内容が異なります)

これでログイン画面へのアクセスがポップアップによりブロックできます。

.htpasswdを生成 した際のIDとパスワードは忘れずに取っておきましょう。

かつてはfunctions.phpを使ってログイン画面のURLにランダムな文字列を追加するという方法がありましたが、現在はWordpressの仕様が変わってしまったため使えなくなっています。

.htaccessを保護します

ログイン画面をガードできてもファイルに直接アクセスされては元も子のないので、.htaccessとディレクトリ自体をブロックしておきましょう。

.htaccessに以下のコードを追記します。

<Files ~ "^\.(htaccess|htpasswd)$">
deny from all
</Files>
# END .htaccessの保護

# Disable directory browsing
Options All -Indexes

.htaccessに追記するだけでサイトのセキュリティがプラグインなしで格段と向上します。

ぜひ.htaccessの編集にチャレンジしてみてください。

Wordpress
Advertisement

プログラマーです。メインはWEB作成をやってます。
生まれも育ちもアスペルガー。心屋仁之助さんの前者後者理論を実践しています。
プロフィール詳細はこちらから

ARMDroidをフォローする
ARMDroidをフォローする
Advertisement
ARMDroid BLOG