ウェブサイトの所有者は、機密データを保護し、ユーザーの信頼を維持するために、WordPressセキュリティを優先する必要があります。WPBeginnerで私たちがこれを行う非常に効果的な方法の1つは、WordPress管理ディレクトリにパスワード保護をかけることです。
wp-adminディレクトリはWordPressサイトのコントロールセンターです。コンテンツから設定まで、すべてを管理する場所であり、ハッカーの主要な標的となります。管理ファイルにパスワード保護をかけることで、攻撃から安全に保つことができます。
この記事では、wp-admin ディレクトリに簡単にパスワード保護を設定し、ウェブサイトのセキュリティを強化するための簡単なガイドを紹介します。
WordPress 管理ディレクトリをパスワードで保護する理由
WordPress管理ディレクトリにパスワード保護をかけることで、あなたのWordPressウェブサイトの最も重要なエントリーポイントにセキュリティの追加レイヤーが追加されます。
WordPress の管理ダッシュボードは、サイトの中心的なハブです。ここで 投稿やページを公開し、テーマをカスタマイズし、WordPress プラグインをインストールするなどを行います。
ハッカーがあなたのウェブサイトに侵入しようとするとき、彼らはしばしばブルートフォース攻撃を使用してwp-admin画面から侵入しようとします。
強力なパスワードやログイン試行回数の制限などのセキュリティ対策を使用することで、潜在的な攻撃からウェブサイトを保護できます。
さらに安全にするために、wp-adminディレクトリにパスワード保護をかけることもできます。これにより、誰かがあなたの管理者エリアにアクセスしようとすると、WordPressのログインページに到達する前にユーザー名とパスワードの入力が必要になります。
それでは、WordPressの管理ディレクトリにパスワード保護を設定する手順をステップバイステップで見ていきましょう。
最初のアプローチはほとんどのユーザーにおすすめです。以下のクイックリンクを使用して、使用したいアプローチに直接ジャンプできます。
- ディレクトリプライバシーを使用してwp-adminをパスワード保護する(推奨)
- コードを使用してwp-adminにパスワード保護をかける
- wp-admin のパスワード保護のトラブルシューティング
- ボーナス:wp-adminセキュリティのための最高のWordPressガイド
動画チュートリアル
文章での説明をご希望の場合は、そのまま読み進めてください。
方法1:ディレクトリプライバシーを使用してwp-adminにパスワード保護をかける(推奨)
WordPress管理ディレクトリにパスワード保護をかける最も簡単な方法は、WordPressホスティングプロバイダーのディレクトリプライバシーアプリを使用することです。
まず、ホスティングアカウントダッシュボードにログインし、ウェブサイトのcPanelダッシュボードの「ファイル」セクションにある「ディレクトリプライバシー」オプションをクリックする必要があります。
注意:BluehostのようなcPanelを使用しているほとんどのウェブホストは、同様の手順を踏みます。ただし、ホスティングプロバイダーによっては、ダッシュボードがスクリーンショットと若干異なる場合があります。
これにより、サーバー上のさまざまなディレクトリが一覧表示された画面が表示されます。ウェブサイトのファイルが含まれているフォルダを見つける必要があります。
ほとんどのウェブサイト所有者にとって、これは「public_html」フォルダをクリックすることで見つけることができます。
これにより、サーバーにインストールされているすべてのウェブサイトファイルが表示されます。
次に、ウェブサイトの ドメイン名が入ったフォルダをクリックする必要があります。
そのフォルダ内に、wp-admin フォルダが表示されます。
フォルダー名をクリックする代わりに、そのフォルダーの横にある「編集」ボタンをクリックする必要があります。
これにより、パスワード保護をオンにできる画面が表示されます。
「このディレクトリをパスワードで保護する」というチェックボックスをオンにするだけです。必要であれば、「管理者エリア」のような名前を付けて、覚えやすくすることもできます。
それが完了したら、「保存」ボタンをクリックする必要があります。
これにより、確認メッセージが表示されるページに移動します。
次に、「戻る」ボタンをクリックすると、このディレクトリにアクセスできるユーザーを作成できる画面が表示されます。
ユーザー名とパスワードの入力、そしてパスワードの確認を求められます。ユーザー名とパスワードは、パスワードマネージャーアプリのような安全な場所に必ずメモしておきましょう。
それが終わったら、「保存」ボタンをクリックしてください。
これで、誰かがあなたのwp-adminディレクトリにアクセスしようとすると、上記で作成したユーザー名とパスワードの入力を求められます。
方法2:コードを使用してwp-adminをパスワード保護する
WordPress管理ディレクトリに手動でパスワード保護を適用することもできます。これを行うには、.htpasswdと.htaccessという2つのファイルを作成する必要があります。
注意: WordPressサイトにコードを追加することは危険です。わずかな間違いでも、ウェブサイトに重大なエラーを引き起こす可能性があります。この方法は上級ユーザーにのみお勧めします。
.htaccess ファイルの作成
まず、お好みのテキストエディタを開き、新しいファイルを.htaccessと名付けます。
その後、次のコードスニペットをコピーしてファイルに追加する必要があります。
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
「AuthUserFile」のパスを.htpasswdファイルをアップロードする場所に変更し、「yourusername」をログインに使用したいユーザー名に変更してください。
完了したら、ファイルを保存することを忘れないでください。
.htpasswd ファイルの作成
それが完了したら、.htpasswdファイルを作成する必要があります。
これを行うには、テキストエディタを開き、.htpasswdという名前のファイルを作成します。このファイルには、ユーザー名と暗号化された形式のパスワードがリストされます。
暗号化されたパスワードを生成する最も簡単な方法は、htpasswdジェネレーターを使用することです。
ユーザー名とパスワードを入力し、暗号化形式を選択して、「.htpasswd ファイルを作成」ボタンをクリックするだけです。
htpasswdジェネレーターには、.htpasswdファイルに貼り付ける必要がある1行のテキストが表示されます。完了したら、必ずファイルを保存してください。
.htaccessと.htpasswdをwp-adminディレクトリにアップロードする
最後のステップは、作成した両方のファイルをウェブサイトのwp-adminフォルダにアップロードすることです。
WordPressホスティングアカウントには、FTPクライアントまたはホスティングプロバイダーが提供するオンラインファイルマネージャーを使用して接続する必要があります。詳細については、WordPressへのファイルのアップロード方法に関する初心者向けガイドをご覧ください。WordPressへのファイルのアップロード方法。
このチュートリアルでは、無料であり、MacとWindowsの両方で動作するため、FileZillaを使用します。
ウェブサイトに接続したら、左側のウィンドウにコンピューター上のファイルが表示され、右側のウィンドウにウェブサイト上のファイルが表示されます。左側で、.htaccessおよび.htpasswdファイルを保存した場所に移動する必要があります。
次に、右側で保護したいウェブサイトの wp-admin ディレクトリに移動する必要があります。ほとんどのユーザーは、public_html フォルダをダブルクリックし、次にドメイン名のフォルダ、次に wp-admin フォルダをダブルクリックする必要があります。
次に、左側の2つのファイルを選択し、右クリックメニューから「アップロード」をクリックするか、ファイルを左側のウィンドウにドラッグアンドドロップします。
これで、「wp-admin」ディレクトリがパスワード保護されます。
wp-admin のパスワード保護のトラブルシューティング
サーバーとウェブサイトの設定方法によっては、WordPressのエラーが発生する可能性があります。これらのエラーは、.htaccessファイルにコードを慎重に追加することで修正できます。
注意: これは、メインのウェブサイトフォルダにある .htaccess ファイルであり、「wp-admin」フォルダにアップロードしたものではありません。見つけられない場合は、.htaccess が見つからない理由と、その場所を見つける方法に関するガイドを参照してください。
Ajaxが機能しないエラーの修正
最も一般的なエラーの1つは、Ajax機能がサイトのフロントエンドで機能しなくなることです。WordPressプラグインでAjaxが必要なもの(ライブAjax検索やAjaxお問い合わせフォームなど)を使用している場合、これらのプラグインが機能しなくなることに気づくでしょう。
これを修正するには、wp-adminフォルダにある.htaccessファイルに次のコードを追加するだけです。
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
404エラーとリダイレクトが多すぎるエラーの修正
他に発生する可能性のあるエラーとして、404エラーとリダイレクトが多すぎるエラーがあります。
それらを修正する最も簡単な方法は、ウェブサイトのディレクトリにあるメインの.htaccessファイルを開き、WordPressのルールより前に次のコード行を追加することです。
ErrorDocument 401 default
ボーナス:wp-adminセキュリティのための最高のWordPressガイド
この記事が、WordPressの管理画面(wp-admin)ディレクトリにパスワード保護を設定する方法を学ぶのに役立ったことを願っています。管理エリアをさらに安全にするための、その他のガイドも参照することをお勧めします。
- IPアドレスでWordPress管理画面へのアクセスを制限する方法
- WordPress管理エリアを保護するための重要なヒント(更新済み)
- WordPressでカスタムログインURLを追加する方法(ステップバイステップ)
- WordPressでログイン試行を制限する方法と理由
- WordPressで2要素認証を無料の方法で追加する方法
- WordPressログイン画面にセキュリティの質問を追加する方法
- WordPressでユーザーにパスワード変更を強制する方法 – パスワードの有効期限切れ
- WordPressで全ユーザーのパスワードをリセットする方法
この記事が気に入ったら、WordPressのビデオチュートリアルについては、YouTubeチャンネルを購読してください。 TwitterやFacebookでもフォローできます。
tom
これは愚かな質問かもしれませんが、今疑問に思っています。上記のセットアップをウェブサイトに適用しており、正常に動作していますが、ボットがその追加のログイン領域をブルートフォースすると仮定します。しばらく手動で試しましたが、サーバーは私のIPをブロックしませんでした。したがって、技術的にはその領域へのブルートフォース攻撃は「永遠に」続く可能性があり、それが私のウェブサイトの速度を低下させる可能性があるのでしょうか、それともそうではないのでしょうか?もしそうなら、セットアップに数時間かかり、その追加の保護レイヤーに満足していたので残念です…
WPBeginnerサポート
可能ですが、wp-adminエリアのログインを読み込む方がWordPressのログインページを読み込むよりもはるかに少ないリソースで済むため、ブルートフォース攻撃がサイトの速度に影響を与えるにははるかに多くのリソースが必要になります。
管理者
Dayo Olobayo
あまり技術的ではありませんが、Directory Privacyアプリを使用するオプションを含めていただき感謝しています。.htaccessファイルを作成するよりもはるかに簡単そうです。ありがとうございます。
Mrteesurez
ありがとうございます。参考になりました。
これらの方法がすべて同じレベルのセキュリティを提供しているのかお伺いしたいのですが、最初の方法が簡単でわかりやすいように思えるので、そちらに留まることをお勧めします。
それとも、どちらかの方が優れているということはありますか??
WPBeginnerサポート
これらはすべて同じ結果を達成するための異なる方法ですので、どちらを使用するかはあなたの好みに依存します。
管理者
Mark
ハッカーがこのパスワードにアクセスしたり、phpMyAdminのように変更したりする方法はありますか?
WPBeginnerサポート
このガイドには、ホスティングプロバイダーまたはサイトファイルへのアクセスが必要になります。
管理者
サルマン
「WPS Hide Login」プラグインを使用してログインURLを変更しました。以前のURLがwp-admin/で終わっていたと仮定し、新しいURLがhidden/で終わる場合、この新しいURLにパスワード保護をかけるにはどうすればよいですか?
WPBeginnerサポート
It would depend on what method you are using and how you changed the URL, as long as there is a file/folder in the new location you should be able to select that folder or change the path on line 2 of the htaccess method
管理者
イジー・ヴァネック
WPShideは新しいフォルダを作成しません。私もそれを使用しています。wp-adminフォルダはサーバー上にあり、機能しています。したがって、WPSHideを使用する場合は、wp-adminフォルダをまったく同じように保護してください。
イジー・ヴァネック
WordPressの管理URLを変更し、管理者ユーザー名を「admin」以外にするのも良い方法です。URLを変更すると、攻撃者が管理画面を見つけにくくなり、「admin」を使用しないことで、ブルートフォース攻撃が成功するリスクを減らすことができます。
WPBeginnerサポート
ユーザー名をadmin以外にするのは間違いなく推奨されますが、wp-adminのURLを変更することは、一部のプラグインで問題を引き起こしたり、トラブルシューティングを困難にしたりする可能性があるため、必ずしも推奨されるわけではありません。
管理者
Jose
Ajaxの修正はうまくいきました。本当にありがとうございます。
WPBeginnerサポート
Glad our article could help
管理者
Umer Yaseen
誰かが mywebsite.com/wp-admin の代わりに mywebsite.com/wp-login.php と入力して WordPress 管理ディレクトリにアクセスしたらどうなりますか?この方法は wp-admin のみを保護し、wp-login.php は保護しません。では、どのように役立つのでしょうか?
WPBeginnerサポート
これは、wp-login.phpを使用してログインしようとするユーザーにも同じプロンプトを表示します
管理者
nadia
あなたは最高です。いつも通り、本当にありがとうございます。
WPBeginnerサポート
Glad you’ve found our content helpful
管理者
Lordemmaculate
これをやりたいのですが、私のサーバーはApacheではなくNginxなので、.htaccessは使用できません。
WPBeginnerサポート
We’ll see if we can add a method for that type of server when we update this article
管理者
Rajah
cPanel経由の最初の方法はうまくいきました。しかし、WPからログアウトして再度ログインすると、ディレクトリパスワードを再度求められません。一度だけ求められるものでしょうか?
WPBeginnerサポート
クッキー/キャッシュがログイン情報を記憶します。通常、次回コンピューターを起動したときに再度ログインを求められます。
管理者
Webo
とても良いです、ありがとうございます…
WPBeginnerサポート
You’re welcome
管理者
Izzy
「ディレクトリのパスワード保護」が「セキュリティ」の下のcPanelにありません。手動で試しましたが、wp-adminを開いてもログインを求められないため、機能していないようです…
WPBeginnerサポート
ホスティングプロバイダーに問い合わせれば、機能しない理由がないか確認してもらい、サポートを受けられるはずです。
管理者
Ahsan Ali
ご尽力いただきありがとうございます!
cpanelの方法を使用しましたが、問題なく動作しました。しかし、私のウェブサイトのすべてのページにパスワードプロンプトが表示されるのが問題です!
wp-adminページにのみ表示されるようにするには、どうすればよいですか?
WPBeginnerサポート
public_html フォルダをパスワードで保護し、wp-admin フォルダを保護していない可能性があります。現在の保護を削除し、再度設定を試みる必要があります。
管理者