管理人のWordpressも、セキュリティ関連は日々気をつけております。Wordpressなので、ドメイン名にwp-adminとつければ、あっさりと管理画面が見えてしまうのですが、当サイトの対策としてGoogleの2段階認証を取り入れています。

スマートフォンが鍵となるので、これで突破されたらどうしようもないなーと思っているのですが(もうひとつ、スマートフォンが壊れたときのために、タブレットにも保険として同様のアプリを入れています)、もうひとつのセキュリティ手段として、管理画面をBASIC認証にする、ということを知りました。

BASIC認証とは、単純に「その画面を開くとユーザー名とパスワードを聞いてくる画面にする」というものです。お仕事で頼まれたWebサイトに、この設定が必須となり、さくっと設定をいたしました。このように、画面を開くとID/パスワードを聞いてくるものですね。

basic

設定はとても簡単でしたので、メモをしておきます。

Basic認証にするための手順

WordPressがインストールされている.htaccessに、以下の記述をします。wpフォルダなどで中に入れている場合は、その中の.htaccessに指定してください。つまり、wp-admin wp-content wp-includesのフォルダがある場所の.htaccessということです。

AuthUserFileは、IDとパスワードを設定する「FTPで見えるディレクトリ」になります。.htpasswdというhtaccessと同じファイルをそこに入れていきます。そのファイルにIDとPASSを記載するので、そこを読み取りますよ、ということになるんですね。

ftp

AuthNameは、自由にウィンドウ上のメッセージを記載できますが、日本語で書くと文字化けする可能性がありますので、英語のままでOKです。あとはそのままコピペでお使いください。もし動作に不具合が出るようであれば、Files wp-login以降を削除して試してみてください。管理人の場合は上記でできました。人それぞれ.htaccessには記述が入っているので、操作には必ずバックアップを取って作業されてください。

次に.htpasswdのファイルをAuthUserFileに指定した場所へ作成し、保存します。.htpasswdの記載方法は1行だけ、ただし1行記載後のあとに改行を1つ入れておいてください。

パスワードは、こちらより生成しました。例えばパスワードをsample0123にしたい場合、以下のサイトで暗号化します。それをWRIUrHOIc9X1Aのように貼り付ければOKです。

http://www.luft.co.jp/cgi/htpasswd.php

実際のBasic認証で尋ねられるパスワードはsample0123と入力すればOKです。完成後は、このようにファイルに入っています。

ftp2

2段階認証を取り入れている場合には、Basic認証を取り入れると3重になり安全にも見えるのですが、鍵がたくさんあるほど日頃の更新に不便が出てきてしまいます。管理人としては、2段階認証を取り入れているのであれば、Basic認証は不要かなと考えています。