[WP] 管理画面へBASIC認証を追加

先日二重認証を行ったがブルートフォースアタックはまだあるみたいなのでBASIC認証も行うようにしてみた。

[ .htaccess ファイルを簡単作成「.htaccess Editor」 ]
.htaccess Editor のサイトで .htaccess ファイルも作成できるので便利。

パスワードファイルを置く場所はサイトからアクセスできない場所が望ましい。
さくらインターネットであれば、/home/ユーザー名/www/ 以下がサイトで利用する場所なので、www ディレクトリと同じ階層にディレクトリを作成してその中にパスワードファイルをアップロードすればよい。

htaccess Editorでパスワードファイルを作成時にきちんとパスワードファイルのアップロード場所まで確定しているのであれば、htaccess Editorで作成された .htaccess ファイルをそのまま wp-admin フォルダにアップロード。

.htaccess ファイル例
AuthType Basic AuthName "Secure Area" AuthUserFile "/home/xxxx/.htpasswds/passwd" require valid-user

設置後管理画面にアクセスすると認証用のダイアログが出ると思うのでパスワードファイル作成時のID とパスワードでログインできればOK。

WordPressのログイン画面も認証するように。
Wordpress設置時に作成された .htaccess ファイルに上記のwp-adminのBASIC認証と同じ認証するように追加する。

<FilesMatch "wp-login.php"> AuthType Basic AuthName "Secure Area" AuthUserFile "/home/xxxx/.htpasswds/passwd" require valid-user </FilesMatch>

これで管理画面へログインする際に、BASIC認証 → WordPressログインという二段構えになる。

Posted by 兼乃