はじめてBASIC認証を設定する前に知っておくべきこと

BASIC認証によるアクセス制限とは

ウェブページを表示する際に、ユーザー名とパスワードの入力を求める画面を見かけたことはありませんか？これは、BASIC認証と呼ばれ、ユーザー名とパスワードを入力しないとアクセスを拒否し、ページを表示できなくするサーバー側の機能です。

BASIC認証はどんな時に使う？

WordPressでは、セキュリティ対策のひとつとして管理画面にアクセス制限をかけたい時によく利用します。他には、テスト中や公開前のサイトなど、仮に第三者がアクセスしてもページを表示できないようにしたり、簡易的な会員サイトとして特定のメンバーのみがコンテンツを閲覧できるようにしたい時などにも使います。

BASIC認証はどうやって設定する？

BASIC認証は、サーバー上に以下のファイルを設置することで設定できます。

それぞれのファイルは、テキストエディタを使ってプレーンテキスト（書式情報を含まないテキスト形式）で作成します。文字コードはUTF-8(BOMなし)か、半角英数字記号のみの記述なら SHIFT-JIS でも EUC-JP でもOKです。改行コードは LF にします。記述の最後にひとつ改行を入れてください。

作成したファイルは、FTPソフトなどを使ってサーバーにアップロードします。アップロード後、ファイル名の先頭がドット(.)で始まるように変更して隠しファイルにします。他、各ファイルについてもう少し説明します。

.htpasswd

 ユーザー名:暗号化したパスワード のように「ユーザー名」と「パスワード」をコロン（:）で区切って書きます。パスワードは暗号化した（MD5でハッシュ化）パスワードを使用します。パスワード生成サービスなどを利用すると便利です。

なお、セキュリティー上、.htpasswd はなるべくサーバーの非公開領域に設置する方がよいとされています。

.htaccess

BASIC認証の設定時には、.htpasswd ファイルのある場所をサーバーの一番上の階層から示すサーバーのパス（フルパス、絶対パスとも呼ばれる）を書く必要があります。

また、.htaccess を設置すると、配下のディレクトリにもその設定が影響します。例えば、配下にサブドメインのディレクトリがある場合は、サブドメインのサイトにも影響します。

もっと簡単にBASIC認証を設定するには？

はじめてBASIC認証を設定する場合、テキストエディタやFTPソフトに慣れていないと、サーバーのパス？文字コード？暗号化？と少し難しく感じるかもしれません。

そこで、各サーバー会社の管理画面やWebFTPツールを使ってBASIC認証を設定する方法もあります。この方法の場合、以下のメリットがあります。これからはじめてBASIC認証を設定する人には分かりやすいと思います。ただ、BASIC認証の設定内容によっては .htaccess へさらに記述を追加する必要などがあります。

サイト全体にBASIC認証を設定してみよう

テキストエディタやFTPソフトを使い慣れている人向け

サイト全体にBASIC認証を設定するには、以下の記事を参考にしてください。この記事では、サーバーパスの調べ方や、.htpasswd ファイルを作成するジェネレーターについても解説しています。

サイト全体にBASIC認証をかける方法

WordPressの管理画面にBASIC認証を設定してみよう

.htpasswd ファイルをひとつ作成して設置し、以下に対してそれぞれの .htaccess にBASIC認証の記述を行います。

テキストエディタやFTPソフトを使い慣れている人向け

具体的な手順は以下の記事で解説しています。

WordPressの管理画面のセキュリティ対策にBASIC認証を設定しよう

はじめて設定する人向け（サーバーの管理画面やWebFTPツールを使う方法）

エックスサーバー、さくらのレンタルサーバ、ロリポップ！レンタルサーバーの３つで実際に試してみました。ご利用のサーバーがあれば、ぜひお試しください。

初心者向け エックスサーバーでWordPressの管理画面にBASIC認証を設定してみよう

初心者向け さくらのレンタルサーバでWordPressの管理画面にBASIC認証を設定してみよう

初心者向け ロリポップ！レンタルサーバーでWordPressの管理画面にBASIC認証を設定してみよう

以上、はじめてBASIC認証を設定する前に知っておくべきことをまとめてみました！