ウェブサイトの所有者は、機密データを保護し、ユーザーの信頼を維持するために、WordPressセキュリティを優先する必要があります。WPBeginnerで私たちがこれを行う非常に効果的な方法の1つは、WordPress管理ディレクトリにパスワード保護をかけることです。
wp-adminディレクトリはWordPressサイトのコントロールセンターです。コンテンツから設定まで、すべてを管理する場所であり、ハッカーの主要な標的となります。管理ファイルにパスワード保護をかけることで、攻撃から安全に保つことができます。
この記事では、wp-admin ディレクトリに簡単にパスワード保護を設定し、ウェブサイトのセキュリティを強化するための簡単なガイドを紹介します。
WordPress 管理ディレクトリをパスワードで保護する理由
WordPress管理ディレクトリにパスワード保護をかけることで、あなたのWordPressウェブサイトの最も重要なエントリーポイントにセキュリティの追加レイヤーが追加されます。
WordPress の管理ダッシュボードは、サイトの中心的なハブです。ここで 投稿やページを公開し、テーマをカスタマイズし、WordPress プラグインをインストールするなどを行います。
ハッカーがあなたのウェブサイトに侵入しようとするとき、彼らはしばしばブルートフォース攻撃を使用してwp-admin画面から侵入しようとします。
強力なパスワードやログイン試行回数の制限などのセキュリティ対策を使用することで、潜在的な攻撃からウェブサイトを保護できます。
さらに安全にするために、wp-adminディレクトリにパスワード保護をかけることもできます。これにより、誰かがあなたの管理者エリアにアクセスしようとすると、WordPressのログインページに到達する前にユーザー名とパスワードの入力が必要になります。
それでは、WordPressの管理ディレクトリにパスワード保護を設定する手順をステップバイステップで見ていきましょう。
最初のアプローチはほとんどのユーザーにおすすめです。以下のクイックリンクを使用して、使用したいアプローチに直接ジャンプできます。
- ディレクトリプライバシーを使用してwp-adminをパスワード保護する(推奨)
- コードを使用してwp-adminにパスワード保護をかける
- wp-admin のパスワード保護のトラブルシューティング
- ボーナス:wp-adminセキュリティのための最高のWordPressガイド
動画チュートリアル
文章での説明をご希望の場合は、そのまま読み進めてください。
方法1:ディレクトリプライバシーを使用してwp-adminにパスワード保護をかける(推奨)
WordPress管理ディレクトリにパスワード保護をかける最も簡単な方法は、WordPressホスティングプロバイダーのディレクトリプライバシーアプリを使用することです。
まず、ホスティングアカウントダッシュボードにログインし、ウェブサイトのcPanelダッシュボードの「ファイル」セクションにある「ディレクトリプライバシー」オプションをクリックする必要があります。
注意:BluehostのようなcPanelを使用しているほとんどのウェブホストは、同様の手順を踏みます。ただし、ホスティングプロバイダーによっては、ダッシュボードがスクリーンショットと若干異なる場合があります。
これにより、サーバー上のさまざまなディレクトリが一覧表示された画面が表示されます。ウェブサイトのファイルが含まれているフォルダを見つける必要があります。
ほとんどのウェブサイト所有者にとって、これは「public_html」フォルダをクリックすることで見つけることができます。
これにより、サーバーにインストールされているすべてのウェブサイトファイルが表示されます。
次に、ウェブサイトの ドメイン名が入ったフォルダをクリックする必要があります。
そのフォルダ内に、wp-admin フォルダが表示されます。
フォルダー名をクリックする代わりに、そのフォルダーの横にある「編集」ボタンをクリックする必要があります。
これにより、パスワード保護をオンにできる画面が表示されます。
「このディレクトリをパスワードで保護する」というチェックボックスをオンにするだけです。必要であれば、「管理者エリア」のような名前を付けて、覚えやすくすることもできます。
それが完了したら、「保存」ボタンをクリックする必要があります。
これにより、確認メッセージが表示されるページに移動します。
次に、「戻る」ボタンをクリックすると、このディレクトリにアクセスできるユーザーを作成できる画面が表示されます。
ユーザー名とパスワードの入力、そしてパスワードの確認を求められます。ユーザー名とパスワードは、パスワードマネージャーアプリのような安全な場所に必ずメモしておきましょう。
それが終わったら、「保存」ボタンをクリックしてください。
これで、誰かがあなたのwp-adminディレクトリにアクセスしようとすると、上記で作成したユーザー名とパスワードの入力を求められます。
方法2:コードを使用してwp-adminをパスワード保護する
WordPress管理ディレクトリに手動でパスワード保護を適用することもできます。これを行うには、.htpasswdと.htaccessという2つのファイルを作成する必要があります。
注意: WordPressサイトにコードを追加することは危険です。わずかな間違いでも、ウェブサイトに重大なエラーを引き起こす可能性があります。この方法は上級ユーザーにのみお勧めします。
.htaccess ファイルの作成
まず、お好みのテキストエディタを開き、新しいファイルを.htaccessと名付けます。
その後、次のコードスニペットをコピーしてファイルに追加する必要があります。
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
「AuthUserFile」のパスを.htpasswdファイルをアップロードする場所に変更し、「yourusername」をログインに使用したいユーザー名に変更してください。
完了したら、ファイルを保存することを忘れないでください。
.htpasswd ファイルの作成
それが完了したら、.htpasswdファイルを作成する必要があります。
これを行うには、テキストエディタを開き、.htpasswdという名前のファイルを作成します。このファイルには、ユーザー名と暗号化された形式のパスワードがリストされます。
暗号化されたパスワードを生成する最も簡単な方法は、htpasswdジェネレーターを使用することです。
ユーザー名とパスワードを入力し、暗号化形式を選択して、「.htpasswd ファイルを作成」ボタンをクリックするだけです。
htpasswdジェネレーターには、.htpasswdファイルに貼り付ける必要がある1行のテキストが表示されます。完了したら、必ずファイルを保存してください。
.htaccessと.htpasswdをwp-adminディレクトリにアップロードする
最後のステップは、作成した両方のファイルをウェブサイトのwp-adminフォルダにアップロードすることです。
WordPressホスティングアカウントには、FTPクライアントまたはホスティングプロバイダーが提供するオンラインファイルマネージャーを使用して接続する必要があります。詳細については、WordPressへのファイルのアップロード方法に関する初心者向けガイドをご覧ください。WordPressへのファイルのアップロード方法。
このチュートリアルでは、無料であり、MacとWindowsの両方で動作するため、FileZillaを使用します。
ウェブサイトに接続したら、左側のウィンドウにコンピューター上のファイルが表示され、右側のウィンドウにウェブサイト上のファイルが表示されます。左側で、.htaccessおよび.htpasswdファイルを保存した場所に移動する必要があります。
次に、右側で保護したいウェブサイトの wp-admin ディレクトリに移動する必要があります。ほとんどのユーザーは、public_html フォルダをダブルクリックし、次にドメイン名のフォルダ、次に wp-admin フォルダをダブルクリックする必要があります。
次に、左側の2つのファイルを選択し、右クリックメニューから「アップロード」をクリックするか、ファイルを左側のウィンドウにドラッグアンドドロップします。
これで、「wp-admin」ディレクトリがパスワード保護されます。
wp-admin のパスワード保護のトラブルシューティング
サーバーとウェブサイトの設定方法によっては、WordPressのエラーが発生する可能性があります。これらのエラーは、.htaccessファイルにコードを慎重に追加することで修正できます。
注意: これは、メインのウェブサイトフォルダにある .htaccess ファイルであり、「wp-admin」フォルダにアップロードしたものではありません。見つけられない場合は、.htaccess が見つからない理由と、その場所を見つける方法に関するガイドを参照してください。
Ajaxが機能しないエラーの修正
最も一般的なエラーの1つは、Ajax機能がサイトのフロントエンドで機能しなくなることです。WordPressプラグインでAjaxが必要なもの(ライブAjax検索やAjaxお問い合わせフォームなど)を使用している場合、これらのプラグインが機能しなくなることに気づくでしょう。
これを修正するには、wp-adminフォルダにある.htaccessファイルに次のコードを追加するだけです。
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
404エラーとリダイレクトが多すぎるエラーの修正
他に発生する可能性のあるエラーとして、404エラーとリダイレクトが多すぎるエラーがあります。
それらを修正する最も簡単な方法は、ウェブサイトのディレクトリにあるメインの.htaccessファイルを開き、WordPressのルールより前に次のコード行を追加することです。
ErrorDocument 401 default
ボーナス:wp-adminセキュリティのための最高のWordPressガイド
この記事が、WordPressの管理画面(wp-admin)ディレクトリにパスワード保護を設定する方法を学ぶのに役立ったことを願っています。管理エリアをさらに安全にするための、その他のガイドも参照することをお勧めします。
- IPアドレスでWordPress管理画面へのアクセスを制限する方法
- WordPress管理エリアを保護するための重要なヒント(更新済み)
- WordPressでカスタムログインURLを追加する方法(ステップバイステップ)
- WordPressでログイン試行を制限する方法と理由
- WordPressで2要素認証を無料の方法で追加する方法
- WordPressログイン画面にセキュリティの質問を追加する方法
- WordPressでユーザーにパスワード変更を強制する方法 – パスワードの有効期限切れ
- WordPressで全ユーザーのパスワードをリセットする方法
この記事が気に入ったら、WordPressのビデオチュートリアルについては、YouTubeチャンネルを購読してください。 TwitterやFacebookでもフォローできます。
Rauf
ログインすると、ポップアップボタンが何度も表示され、ユーザー名とパスワードの入力を求められます。
demonkoryu
編集:問題はDisqusコメント(顔文字)ではないことがわかりましたが、それでもあなたのケースに適用できるかもしれません。
私も同じことがありました。
a) すべてのCookieをクリアする(Disqusおよび使用しようとしているサイト用)
b) 現在使用しているブラウザとは別のブラウザを試す
Thomas
WordPress 3.9.1では機能しません。管理ページでは500(内部サーバー)エラーが発生し、wp-login.phpページは読み込まれますが、正しく表示されません。
メインの.htaccessファイルに404エラーのコードを追加し、wp-admin/.htaccessファイルにajaxコードを追加しました。変更はありません。
何が原因でしょうか?サーバーまたはWordPressのインストールが誤って設定されているのでしょうか?
Abinash Mohanty
Hi Syed, Thanks for the tips! I tried with Cpanel method and then added the following .htaccess scripts. The modal pop up window was not working previously and I realized that there was another usename, which was assigned for the same purpose in the past. So what I did was removed all previously assigned usernames and added a new one followed by the new password. The modal popup started working like a charm
Thanks a lot.
デビッド
ありがとうございます! –
ErrorDocument 401 default でリダイレクトループの問題を修正しました
ゲスト
/wp-admin .htaccessファイルにadmin-ajaxコードを追加しましたが、問題は解決しませんでした。All-In-One-Event-Calendarプラグインは、フロントエンドでadmin-ajaxにアクセスできません。
ご助言ください。
ありがとうございます!
bamajr
WordPress管理画面のログインプロセスに2段階認証を追加することで、これが解決するのではないでしょうか?例えば、Authy(および関連プラグイン)を使用するなど。
WPBeginnerサポート
はい、ただし追加のレイヤーはセキュリティを強化します。
管理者
クリス・クリストフ
皆さん、こんにちは。
簡単なメモですが、プラグインがアクセスする必要があるのはadmin-ajax.phpだけではありません。async-upload.phpとmedia-upload.phpへのパスワード保護されていないアクセスも許可する必要があります。
これらは、プラグインがフロントエンドでファイルをアップロードできるようにするために使用されます(チェックアウト中にファイルをアップロードする場合など)。
-Chris
bikramjit singh
こんにちは…WordPressは初めてで、よくこちらを拝見しています。問題に直面しています。WordPressパネルにログインしようとすると、ユーザー名とパスワードを入力するパネルが表示されません。サイトがそのまま開いてしまいます。私のドメインは http://www.tradethetechnicals.com.How この問題を解決するにはどうすればよいですか?
WPBeginnerサポート
ログインページはこちらからアクセスできます: http://tradethetechnicals.com/wp-admin
管理者
Abinash Mohanty
Hi Syed Balkhi,
You made my day! I was getting regular attempts to hack by unknown sources. Thanks for the process, I have fixed mine. It’s better and way easier than wordpress codex
クシャル・ジェイスワル
こんにちは、混乱しています!
wp-admin ディレクトリをロックした場合、登録された著者はブラウザで「http://site.com/wp-admin」にアクセスできますか?それとも、彼らもユーザー名とパスワードが必要ですか?
私のブログでは、誰でもFacebookで直接ログインできます。そのため、パスワードとユーザー名がすべてのユーザーに必須である場合、処理が少し複雑になります…
コメントはありますか?
WPBeginnerサポート
登録済みの著者は、WP Adminエリアにアクセスするためにパスワードが必要になります。
管理者
Phil Alcock
ajaxの修正をありがとうございます。数行追加したところ、プラグインの問題が解決しました。Wordpress Codexの提案よりもはるかに簡単でした。
Inayu Mustikayu
i follow the manual tutorial and and with 500 error, after trial and error get this work with :
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
changed to just
AuthUserFile /home/yourdirectory/.htpasswds
in my small tiny ubuntu apache vps
aryan
こんにちは
このパスワード方式を使用していますが、UCBrowserではこのポップアップウィンドウが開かないので、助けてください!
それでは、ログイン用のページ、htmlページ、またはその他の種類のページを作成できますか? ポップアップを表示したくありません。ログインページを表示したいのですが、他の機能は同じです。
WPBeginnerサポート
WordPress 用のカスタムログインページを作成できます。カスタムログインページ。
管理者
Chathu
cpanelの方法に従う場合、パスワードを削除する方法はありますか?
ありがとうございます!
Masood
共有ありがとうございます。非常に役立ちました。
Arthur
すごい!ついに!「ErrorDocument 401 default」でうまくいきました。リダイレクトの問題で我慢の限界でした…。
シェアしていただき、本当にありがとうございます。
ジェームズ
ホームページで認証を求められるのは、wp-adminにアクセスする時だけでなく、うまく機能しているようです。これは、admin-ajax.php以外のファイルを呼び出す別のプラグインの可能性がありますか?
編集スタッフ
はい、別のプラグインがadmin-ajax.phpを呼び出している可能性は非常に高いです。上記で説明した修正を使用してください。
管理者
Jeffro
お知らせしたかったのですが、サイトでメールリンク経由で購読を管理しようとしたところ、ユーザー名とパスワードのプロンプトが表示されました。キャンセルをクリックすると、購読を管理できました。オプションを選択して保存をクリックした後、再度プロンプトが表示されましたが、キャンセルをクリックしてもアクションを実行できました。他の人に起こらないように、念のためお知らせします。
Muhammad Ahsan
.htaccessファイル内の「ErrorDocument 401 default」行を/wp-admin/.htaccessファイルにコピーする必要がありますか?それとも他の.htaccessファイルですか?
編集スタッフ
これはメインの.htaccessファイルに貼り付けます。
管理者
pankaj
こんにちは、
おっしゃる通りにしましたが、wp-adminディレクトリを開くと「ページが正しくリダイレクトされません」というエラーが表示されます。
Firefoxは、このアドレスへのリクエストが完了しないリダイレクトをサーバーが行っていることを検出しました。
この問題は、
クッキーを無効にしたり、受け入れを拒否したりすることによって、時々発生する可能性があります。
Google Chromeでもポップアップが表示されません。この問題を解決する方法を教えていただけますか?
事前に感謝いたします。
編集スタッフ
「リダイレクトが多すぎるエラー」と書かれている記事の部分を読む必要があります。
管理者
Ed Emery
こんにちは、
この問題は、先週の初めにWPをインストールした初日から続いています。WordPress管理ディレクトリ(wp-admin)へのパスワード保護の方法をステップバイステップで実行しましたが、問題は同じです!何が/誰が/ハッカーが何をしているのかを示すスクリーンショットを以下に示します。
まずはこちらを:
サーバー sacramentofan.com の WPBeginner 管理者のみは、ユーザー名とパスワードが必要です。
警告: このサーバーは、ユーザー名とパスワードを安全でない方法(セキュアな接続なしのベーシック認証)で送信するように要求しています。
ログインしようとした後に表示されるのはこれです:
サーバー sacramentofan.com はWordPress攻撃保護CAPTCHAです。ユーザー名を入力してください: e7en4d パスワード: 数学 16+4 の結果にはユーザー名とパスワードが必要です。
警告: このサーバーは、ユーザー名とパスワードを安全でない方法(セキュアな接続なしのベーシック認証)で送信するように要求しています。
では、どうすればこれを止められますか?木曜日の07-18-2013からあらゆることを試しましたが、うまくいきませんでした。
ありがとう、
Ed
編集スタッフ
聞くだけでは説明するには複雑すぎる問題です。実際に見ないとわかりません。何らかのプラグインがこの問題を引き起こしているようです。
管理者
David McMahon
この役立つヒントに感謝します。なぜ Firefox から「リクエストは完了しません」という忌まわしいメッセージが 계속 表示されるのか疑問に思っていましたが、もうその必要はありません!
Akash Deep Satpathi
こんにちは!cPanelでチュートリアルに従いましたが、その後ダッシュボードを表示できなくなりました。Google Chromeで「このウェブページはリダイレクトループになっています」と表示されました。それで、何が足りないのでしょうか?
編集スタッフ
404エラーまたはリダイレクトが多すぎる問題について説明しているセクションをお読みください。
管理者
Meher
こんにちは、
記事をありがとうございます。
wp-adminフォルダに追加のログインレイヤーを追加しようとしていましたが、「リダイレクトが多すぎます」というエラーにリダイレクトされていました。
Googleでたくさん検索したところ、あなたの記事を見つけました。この問題の解決に本当に役立ちました。
再度感謝いたします。
Dan
ここでも同じ問題です。
arman
うまく機能します
しかし、問題が一つあります。
通常のユーザーがログインしてダッシュボードに移動し、プロフィール写真などの情報を変更したい場合、このユーザーパスワードも入力する必要があります!!
この保護されたフォルダーを管理者のみに設定するか、通常のユーザーダッシュボードでは無視する可能性はありますか?
編集スタッフ
いいえ。すべてのユーザーに対して行う必要があります。
管理者
ARMAN
つまり、これをすべてのユーザーに使用すると、すべてのユーザーが保護されたフォルダーの私のユーザー名とパスワードを持っている必要があるということですか?
つまり、誰でも登録でき、誰でもこのユーザー名とパスワードを持っている必要があるということですね。そうすれば、どんなハッカーでも私のサイトにユーザーとして登録して、このユーザー名とパスワードを入手できてしまいます!
ですので、WP-adminの保護は、管理者が1人しかいないサイトや、特定のユーザーとパスワードを共有するサイトにのみ役立ちます。
編集スタッフ
.htpswdで複数のユーザーを作成できます。グループと呼ばれるものを使用する必要があります。
きつね
ああ、ありがとう、助かりました!
ErrorDocument 401 default
完璧に機能します!!!!!
ニシャント
アドバイスありがとうございます。Wp-Adminディレクトリのパスワード保護を実装し、Google Authenticatorを使用した二重認証も追加しました。正常に機能しているようです。
最近、新しいホスト(Bluehost)に移行し、Wordpressサイトをセットアップしました。
Wordfenceセキュリティプラグインをインストールしました。プラグインの設定は、誰かがログインするたびに(私自身も含む)、メールアラートが届くようになっています。また、無効なユーザー名でログインを試みた場合、そのIPアドレスを10分間ロックアウトし、ログイン試行失敗の通知メールが届きます。
Wp-admin ディレクトリをパスワードで保護しているので、ユーザー名とパスワードを知っている人がいない限り、wp-admin や wp-login にアクセスして WordPress にログインしようとすることはできません。
しかし、昨夜Wordfenceから数件のメールを受け取りました。無効なユーザー名(admin、Admin、nishantなど)でWordPressにログインしようとして失敗したため、いくつかのIPアドレスがロックアウトされたとのことです。wp-adminディレクトリのサーバーサイドパスワード保護をバイパスして、WordPressにログインを試みることは可能ですか?
ニシャント
ニシャント
また、ちょうど気づいたのですが…
URLを直接wp-loginに入力すると、wp-adminディレクトリのサーバー側パスワードウィンドウが表示されます。しかし、そのパスワードウィンドウを(2〜3回)キャンセルすると、wp-loginページが表示されます!
しかし、URLがwp-adminの場合、キャンセルをクリックすると「401 認証が必要です
無効なログイン認証情報です!」と表示されます。
ログファイルには、wp-login.phpに直接アクセスしようとする無効なログイン試行が表示されていました。
編集スタッフ
はい、wp-login.phpは引き続きアクセス可能です。しかし、たとえ正しいパスワードを入手したとしても、それを見ることができません。同じテクニックを使用して、wp-login.phpファイルを個別にパスワード保護することもできます。
管理者
Jeffro
そのコードは具体的に何になりますか?Cpanelで特定のファイルをパスワード保護する簡単な方法が見つかりませんでした。
Bart
著者様、
私はあなたの指示をすべて実行したと確信していますが、それでもFirefoxの「無限ループ」通知が表示されます。これまでに実行したことは次のとおりです。
– /.htpasswds/public_html/wp-admin/passwd に .htpasswds ファイルを作成しました(CHMOD 664)。
– 生成されたハッシュ/ユーザー名を含む .htaccess ファイルを作成し、/public_html/wp-admin に配置しました。
– /public_html のメイン .htaccess ファイルのすべてのコードの前に ErrorDocument 401 default という行を挿入しました。
この問題を解決するための手順を教えていただけますか。主な質問は以下の通りです。
– 「.htpasswds」という名前のファイルを作成します」とのことですが、これは実際に正しいファイル名ですか?つまり、末尾の「s」が含まれているということですか?
– /public_html/wp-adminフォルダの.htaccessファイルで、具体的にどのパスを指定する必要がありますか?現在、「AuthUserFile /.htpasswds/public_html/wp-admin/passwd」となっていますが、この部分が合っているか自信がありません…
I’m looking forward to some clarification here…I have been wrestling with this a couple of hours now and I figure it shouldn’t be THAT hard?
前もって感謝いたします…さらに情報が必要な場合は、喜んで提供いたします。よろしくお願いいたします。
Bart
編集スタッフ
どのようなホスティングを利用していますか?cPanelウェブホストをお持ちですか?cPanelの方法を使ってhtpswdファイルを生成してみてください。
サイトで行ったことと全く同じことを書き留めたので、何がうまくいっていないのかを判断するのは非常に困難です。
管理者
zimbrul
皆さんに質問があります。管理フォルダがパスワードで保護されていて、ブログの投稿をすべて読むたびに認証を求められるようなことはありましたか?私のブログの1つで発生しています。Google Authenticatorなどで管理ログインを保護する方が良いのではないでしょうか…
編集スタッフ
毎回認証を求められる場合、次のいずれかが発生しています。
1. .htaccess ファイルの情報を、/wp-admin/ フォルダ内の .htaccess ファイルではなく、メインの .htaccess ファイルに貼り付けた。
2. admin-ajax.phpファイルがフロントエンドで読み込まれています。それをパスワード保護されないようにするルールを追加する必要があります。修正方法を記載しました。
最後に、管理画面には3層の保護があります。IPマッチ(一致しない場合は.htaccessパスワード)、そしてGoogle Authenticatorです。ログイン試行回数制限も有効にしています。
Sucuri は、他の攻撃をブロックする上でもかなりの効果を発揮します。
管理者
Anish K.S
この方法を試しましたが、「エラー310 (net::ERR_TOO_MANY_REDIRECTS): リダイレクトが多すぎます。」というエラーが発生しました。
これをどうやって修正すればいいですか???
編集スタッフ
記事にはそれに関するセクションがあります。それでこの問題は解決しませんでしたか?
管理者
Anish K.S
はい、直しました。チュートリアルをありがとうございます。
Mathieu Slaedts
こんにちは。
この保護を実装しようとしています。2つのソリューション(手動とホストの管理パネルから)を試しました。どちらの場合も、.htacessはwp-adminフォルダにありますが、ポップアップはすべてのページに表示されます。
どこから来るのか、何か考えはありますか?
ありがとう
編集スタッフ
それは考えにくい動作です。具体的な状況を確認せずに、なぜそうなるのかをお伝えすることはできません。このチュートリアルを記載通りに進めれば、機能させることができるはずです。WPBeginnerで動作させています。
管理者
Ollie
WordPressウェブサイトのほとんどすべてのページにポップアップが表示されるという同じ問題を抱えていました。
表示されていたページでは、wp-adminのリソース、この場合はプラグインからの何かが読み込まれており、それがポップアップをトリガーしたようです。その後、プラグインを無効にしたところ、それらのページでパスワードのポップアップが表示されなくなりました。
ソースを開いてwp-adminを検索し、ポップアップが表示される原因を確認します。
編集スタッフ
最も一般的にロードされるファイルはadmin-ajax.phpであり、これはすでに説明しました。プラグインが別のファイルをロードしている場合は、それも考慮する必要があります。
aditya
おっしゃる通りフォローアップしました。
wp-admin ディレクトリを保護しましたが、ログインは機能していますが、サイトをナビゲート中に同じポップアップが常に表示されます????
編集スタッフ
これは、.htaccess ファイルが間違っていることを意味します。/wp-admin/ フォルダにまったく新しい .htaccess ファイルを作成する必要があります。メインの .htaccess ファイルにコードを貼り付けたようです。
管理者
20Music
こんにちは。
あなたのサイトで見つけた提案に従いました。wp-adminフォルダのcpanelでパスワードを作成し、管理ログインページはうまくいきましたが、ウェブサイト内のリンクをクリックするたびに、本人確認を求めるポップアップが表示されます。キャンセルをクリックするとすべて正常になります。
この問題について何かご存知ですか?
メインの.htaccessにもErrorDocument 401 defaultを使用しました。
ありがとう
編集スタッフ
パスワード保護が wp-admin フォルダ内の別の .htaccess ファイルにあることを確認していただけますか?
管理者
Brad LeBlanc
試してみましたが、ウィンドウは表示されず、404エラー(HTTPリダイレクトが多すぎます)しか表示されませんでした。
パスワードを無効にするまで、すべてからブロックされていました。どういうことですか?
編集スタッフ
記事で言及した.htaccessのトリックで404エラーは修正されましたか?
アンドリュー
wpbeginnerでの素晴らしいヘルプに感謝します!
Ariel
I edited my .htaccess root file (to put the errordocument rule), and the pop-up worked well, but all my post links gives me a 404 error. I think that is a rewrite rule problem
Thanks
編集スタッフ
設定 > パーマリンクに移動します。保存をクリックするだけで、問題が解決するはずです。
管理者
vic
パーマリンクの更新がうまくいきました!ありがとうございます、多くの頭痛の種から救われました..!
Tomy
本当に役立つ情報、ありがとうございます。どうやら、私のWordPressに3つのファイルが追加されたようです。1つはwp-adminに、1つはwp-admin/imagesに、そして1つはwp-includesに追加されました。
すべてPHPファイルでした。そのうちの1つには、base64でエンコードされたくだらないものが含まれていました。
wp-adminにhtacessを設定し、ログイン試行回数制限プラグインは良い情報を提供してくれるようです。
WordPress ファイルモニタープラグインが警告してくれたおかげで、インストールに追加されたファイルに気づきました。
Mao Shan
こんにちは、
インターネットで見つけたwp-adminフォルダを保護する方法の提案に従いました。.htacessを作成してフォルダにパスワード保護をかけました。しかし、実装後、ウェブサイトのリンクをクリックするたびに、認証を求めるポップアップが表示されます。キャンセルをクリックするとすべて問題ありません。何が問題なのかわかりますか?wp-adminフォルダを保護したいのですが、すべてのページ/リンクにポップアップを表示したくありません。現在、Mayashopテーマとwoocommerceプラグインのみを使用しています。
ありがとう
以下は私の.htacessのサンプルです
注文許可、拒否
すべて許可
いずれかを満足
注文許可、拒否
すべて許可
いずれかを満足
注文許可、拒否
すべて許可
いずれかを満足
AuthType Basic
AuthName “管理者のみ”
AuthUserFile “(myurl)/.htpasswds/public_html/wp-admin/passwd”
require valid-user
編集スタッフ
.htaccessファイルが/wp-admin/内にある場合、これは起こらないはずです。フロントエンドでWordPress管理アセットをロードしている場合を除きます。
管理者
Mao Shan
.htaccess ファイルは wp-admin フォルダにあります。テーマを twentyeleven に戻したらすべて正常に動作しました。他のテーマの場合のみ、すべてのページ/リンクで認証が必要ですと表示されます。
以下の行を追加したところ、すべて順調なようですが、url/wp-adminにアクセスすると、エラー310(net::ERR_TOO_MANY_REDIRECTS):リダイレクトが多すぎます、と表示されます。原因は何ですか?
Files ~ "\.(php)$"
Order allow,deny
Allow from all
Satisfy any
Files
編集スタッフ
そのエラーについて具体的に説明している記事の部分を読みましたか?
Mao Shan
こんにちは、WordPressをクリーンインストールした後に解決できました。問題は、連絡フォームを作成できなくなり、エラー404にリダイレクトされることです。また、xclonerプラグインを有効にすると、エラー404にリダイレクトされます。
何か手伝ってもらえますか?
Sudeep Acharya
wp-adminをパスワード保護していますが、それにもかかわらず、誰かが私のブログにブルートフォース攻撃を仕掛けることができています。考えられる原因は何でしょうか?
編集スタッフ
どうして彼らがブルートフォース攻撃を行い、wp-admin にログインしたとわかるのですか?それは非常に怪しいです。このようなことが起こる場合、ユーザーはバックドアを仕掛けられていることが多いです。
管理者
Sudeep Acharya
リダイレクトループが多すぎたため、このコードを追加しました。
ErrorDocument 401 default
.htaccessで問題を解決しました。
Ahsan
この行をどこに配置すればよいか教えてください…お願いします
ahmedsheeraz
ErrorDocument 401 default saved my life
John RIker
Cpanelを使用しており、設定方法を確認して実行しました。ユーザー名とパスワードも同様です。
しかし、何時間も悩んだ末にわかったのは、メインの .htaccess に以下を追加する必要があるということです: ErrorDocument 401 default
それをメインの.htaccessファイルにのみ追加すると、すべてうまくいきます。wordpressの開始前に一番上に置けば、あなたの世界はずっとリラックスできるでしょう。それはcpanelでディレクトリを保護設定した後です。
ありがとう、あなたのページを少し調整して使いましたが、うまくいきました。
damian
とても落胆しています。サイトが公開されてわずか2日でハッキングされました!サイトを保護するために必要な手順の多さに圧倒されますが、それでも侵入されてしまうのですから…
そして、「権威」と思われる人たちは皆、異なる意見やアプローチ、お気に入りのプラグインを持っているようです…頭が混乱しています…ハッキングされないようにするために取るべき基本的なステップを番号付きで教えていただけますか…cpanel、バックエンドwp、その他役立つと思われるものを含めて…そして、A+認定を必要としないステップを願っています…ありがとう!
編集スタッフ
これまでのご経験について、誠に申し訳ございません。現時点では、WordPressのコアに既知のセキュリティ上の問題はありません。したがって、最新バージョンのWordPressを使用しているのであれば、それは良いことです。セキュリティ上の問題は、多くの場合、コードの質が低いプラグインやテーマによって引き起こされます。サイトを保護する前に、まずクリーンアップする必要があります。パスワードを変更したり、これらの対策をすべて追加したりしても、十分でない場合があります。ハッカーはバックドアアクセスファイルを残すことができ、それによってサーバーへのシェルアクセスが可能になるからです。Sucuriの使用を開始し、定期的なバックアップを取得することを強くお勧めします。
https://www.wpbeginner.com/opinion/reasons-why-we-use-sucuri-to-improve-wordpress-security/
プラグインとコアファイルを常に最新の状態に保つようにしてください。信頼できないソースからのプラグイン/テーマは使用しないでください。WordPressは現代のWindowsのようになりました。非常に多くのサイトがWordPressを使用しているため、ハッカーはプラグインやテーマなどの脆弱性を見つける動機があります。
セキュリティに関する包括的なチュートリアルを作成する予定です。
管理者
bob
サイトのwp-adminをパスワード保護しましたが、lilmitログインプラグインからロックアウト通知が届き続けていました。どうしてでしょうか?
その後、/wp-login.php?と入力してからキャンセルすると、ログインページにアクセスできることに気づきました。うーん。他にも知らない回避策があるのではないかと疑問に思ってしまいます。
編集スタッフ
このトリックも追加することを検討すべきです。
https://www.wpbeginner.com/wp-tutorials/how-to-limit-access-by-ip-to-your-wp-login-php-file-in-wordpress/
管理者
Peter
HOSTGATORからの解決策
セキュリティプラグインが、お客様のアカウントのwp-admin/内の.htaccessファイルにリライトを追加していたようです。これにより、サイトがそれ自体にリダイレクトされ、リダイレクトループが発生していました。
.htaccessファイルを修正しました。現在、wp-adminのログインページは正しく読み込まれています。
他にご質問やご不明な点がございましたら、お知らせください。
敬具、
Preston M.
Linux Systems Administrator
HostGator.com LLC
Peter
ホストゲーターの技術者が404エラーの問題に30分間対応してくれましたが、解決できませんでした。
彼はpublic_html/.htaccessのすべてのリライトルールを削除しました。
Peter
「リダイレクトが多すぎます」エラーが引き続き発生しています
ページが正しくリダイレクトされていません
Firefoxは、このアドレスへのリクエストが完了しないリダイレクトをサーバーが行っていることを検出しました。
この問題は、クッキーを無効にするか、受け入れを拒否することによって発生する場合があります。
しかし、追加しました:
301 リダイレクト /tag/tax/ http://snbchf.com/tag/taxes/
301 リダイレクト /tag/interest-rate/ http://snbchf.com/tag/academical/
Redirect 301 /tag/chf-flows-floor-ubs/ http://snbchf.com
Redirect 301 /tag/boom/ http://snbchf.com
RewriteEngine on
ErrorDocument 401 default”
をpublic_htmlディレクトリの.htaccessファイルに記述しました。
(「ErrorDocument 401 default」を先頭に記述することも試しました)
Ankur
wp-adminディレクトリを保護するのに最適な方法です。長年使用していましたが、commentluvをインストールしたところ、正常に動作しなかったためアンインストールする必要がありました。
何か回避策をご存知ですか?
編集スタッフ
Just updated the article. Try that
管理者
Ankur
Thanks, commentluv now works fine
mindctrl
FYI、これはフロントエンドでajaxを使用するプラグインがwp-admin/admin-ajax.phpを呼び出すことで壊れるのを見たことがあります。
編集スタッフ
はい、それは本当です。私たちはその呼び出しを行っているプラグインを使用していませんでした。しかし、.htaccessでそのファイルに対する例外を追加することができます。
管理者
Martin
cpanel が何をするのかはわかりませんが、簡単な htpasswd を追加すれば同じ結果が得られます。
編集スタッフ
htpasswdを追加できます。ただし、wp-adminディレクトリに.htaccessルールを作成して、ディレクトリをロックしていることを指定する必要があります。次に、許可されるユーザーまたはユーザーグループを指定します。これは基本的にプロセスを簡素化するのに役立ちます。
管理者
zimbrul
上記のチュートリアルは、実際にはcPanelのユーザーフレンドリーなインターフェースを介して、.htpasswordと.htaccessでセキュリティを追加しています。上記を実行すると、サーバーのルートの外に(セキュリティ上の理由から).httpasswordファイルが生成され、そのファイル内に、このチュートリアルに従って入力した情報が見つかります。
ハワード
私が所有するすべてのWPサイトで、セットアップ後の最初のログイン時に、数式で構築した名前と非常に強力なコンピューター生成パスワードを持つ別のアドミンアカウントを作成します。その後ログアウトし、代替アドミンアカウントにログインして、標準のアドミンユーザー名を「このサイトのロールなし」に減らし、少なくとも35文字以上のコンピューター生成パスワードを設定します。そのパスワードはどこにも保存しません。それは今やハニーポットにすぎません。
それから「ログイン試行回数制限」プラグインをインストールします。それがトリップされるたびに、そのIPアドレスを.htaccessの拒否リストに追加して、そのIPが私のサイトに到達できないようにします。
毎週3〜4回の管理者への侵入試行をブロックしています。
編集スタッフ
はい、私たちも同様の問題を抱えていました。攻撃がIPをバウンスする段階があります。大量のIPを禁止することは十分なオプションではありません。ログインもIPで制限していましたが、それも効果がないようでした。
管理者
ハワード
「ログイン試行回数制限」プラグインはかなり良いです。4回の失敗試行後に100時間ロックアウトするように設定しており、4回目のロックアウトは4000時間に設定しています。そのため、たとえ攻撃者がIPアドレスを動的に切り替えることができたとしても、4回ごとに切り替える必要があります。そして、非常に長いランダムなパスワードがあれば、それは数世紀かかり、彼がアクセスできる可能性のある数よりも多くのIPアドレスが必要になるでしょう。
万が一、私の「管理者」がクラックされたとしても、どうせ彼らには何の役にも立ちません。そのチンピラが私の本当の管理者名を突き止めたことに気づいたら(これまでに一度だけありました)、すぐに新しい管理者を作成し、古い管理者には「このサイトのロールなし」を設定し、非常に長いランダムに生成されたパスワードを付けます。他にもいくつか詳細があります(例えば、まずメールアドレスを変更しないと、私のメールアドレスで新しい管理者アカウントを作成させてくれません)、しかし、それがその件についてはうまくいきました。
これが万全かどうかは本当にわかりませんが、悪党どもが面倒くさくて、もっと弱いサイトをいじめることに決めることを願っています。
zimbrul
「そのチンピラが私の本当の管理者名を突き止めたことに気づいたら、いつでも…」どうやって突き止めたのか教えていただけますか?
ハワード
@zimbrul はい。
ログイン試行回数制限プラグインは、どのユーザー名が攻撃を受けているかを示してくれます。通常は「admin」ですが、一度だけ実際の管理アカウント名が表示されたことがあります。そこで新しい管理者アカウントを作成し、古いアカウントはアクセス権をすべて剥奪し、非常に長いパスワードを設定したまま残しました。
犯人がどのように管理者アカウントを見つけたのか分かりません。投稿に表示される無関係な「ニックネーム」を割り当てていたからです。ハッカーが少なくとも部分的に読み取れるサーバー上のファイルがある可能性があり、そのあたりを調査する必要があると思います。
編集スタッフ
ログイン名はかなり簡単に見つかります。その人がする必要があるのは、あなたの著者URLを見るだけで、あなたのユーザー名を知ることができます。たとえば、これです。
https://www.wpbeginner.com/author/wpbeginner/
ユーザー名は「wpbeginner」になります。ほとんどのサイトではそのようになっていますが、もちろんこのテクニックで示されているようにユーザー名を変更している場合もあります。
https://www.wpbeginner.com/wp-tutorials/how-to-change-your-wordpress-username/
そのようにすると、ユーザー名は変更されますが、著者URLは変更されません。
zimbrul
ハワード、それは興味深い指摘ですね。実装を試してみます。
また、404エラーやリダイレクト過多の問題があり、解決策が分からなかったのですが、ありがとうございます!
なぜか、wp-adminフォルダの.htaccessでIPアドレスをブロックしても、私のサイトzimbrul.co.ukでは機能しません!モバイルから3Gでサイトにアクセスしようとしましたが、許可されたIPは自宅のIPだけなのに、アクセスできてしまいました。
編集スタッフ
ええ、だからこそこのような二重認証があると役立つんですね。
管理者