WordPressのサイトを限られた人だけに見せたい、ログイン画面をもう少し強く守りたい、そんなときによく出てくるのがベーシック認証です。
ここではベーシック認証の詳細や設定方法などをお伝えします。
ひと言でまとめると「ベーシック認証は、かける場所と目的を間違えなければ、とても頼りになる追加の鍵」です。
ブログ収益化の教科書プレゼント
↓ ↓ ↓
WordPressでベーシック認証を使うとどうなる?
ここでは、まずベーシック認証のおおまかな仕組みと、WordPressに導入したときにどう動くのかをざっくり押さえておきます。
ベーシック認証とは?WordPressログインとの違い
ベーシック認証は、ページを開く前のタイミングでブラウザが小さなポップアップを出して、IDとパスワードの入力を求める仕組みです。
チェックしているのはWordPressではなくWebサーバー側で、WordPressのログイン画面とはまったく別ルートの入り口だと思ってください。
違いを表にまとめると、こんなイメージになります。
| 項目 | ベーシック認証 | WordPressログイン |
|---|---|---|
| 認証する場所 | Webサーバー | WordPress本体 |
| 画面の見た目 | ブラウザのポップアップ | ログインフォーム |
| 設定単位 | ディレクトリ(フォルダ)単位 | ユーザーや権限ごと |
| 主な用途 | サイト全体や管理画面のロック | 通常のサイト管理・投稿作業 |
| 必要なもの | .htaccess / .htpasswdなど | ユーザー名・パスワード |
ざっくり言うと、ベーシック認証は「サイトやフォルダに入る前の鍵」、WordPressログインは「入った後に何ができるかを決める鍵」というイメージです。
どんなときにWordPressへベーシック認証をかける?
実際の現場で「ここはベーシック認証を使おう」と判断するのは、例えば次のようなケースです。
- 制作中サイトやステージング環境を、外から見えないようにしておきたいとき
- WordPressのログイン画面やwp-adminへの不正アクセスが多く、入り口を増やしておきたいとき
- 社内だけで使うマニュアルサイトなど、特定の人だけにまとめて見せたいとき
- クライアント確認用のサイトを限定公開して、URLとID・パスワードを知っている人だけに絞りたいとき
特に、制作途中のサイトが検索結果に出てしまうのは避けたいので、そうした環境にベーシック認証をかけておくと、不要なアクセスをかなり減らせます。
ベーシック認証を使う前に押さえておきたい注意点
便利な仕組みではありますが、ベーシック認証にも向き・不向きがあります。WordPressに設定する前に、最低限次のポイントだけは理解しておきましょう。
- ディレクトリ単位での制御なので、個別ページだけをピンポイントに制限するのはやや苦手
- ベーシック認証をかけたディレクトリには、検索エンジンのクローラーも入れない
- 認証情報自体は平文に近い形で送られるので、暗号化された通信(HTTPS)で使うのが前提
まずは「どこを守りたいのか」「誰にだけ見せたいのか」を整理してから、どの方法でWordPressにベーシック認証をかけるか決めると失敗しにくいです。
WordPressでベーシック認証を設定する3つの方法
ここからは、WordPressにベーシック認証をかける代表的な方法を3パターン紹介します。難易度が低い順に並べているので、上から順番に検討してみてください。
レンタルサーバーのアクセス制限機能でベーシック認証をかける
一番やさしいのが、レンタルサーバーの管理画面からベーシック認証を設定する方法です。国内の主要サーバーには、たいてい「アクセス制限」や「パスワード制限」といった名前のメニューがあります。
メニュー名や扱いのイメージは、ざっくり次のような感じです。
| サーバー例 | メニュー名の例 | 主な設定対象 |
|---|---|---|
| Xserver系 | アクセス制限 / ベーシック認証 | ドメイン配下の任意ディレクトリ |
| ConoHa系 | アクセス制限 | ドキュメントルート以下のフォルダ |
| ロリポップ系 | アクセス制限 | 特定フォルダ |
| さくら系 | パスワードディレクトリ設定 | ディレクトリ |
| 自前サーバー | 専用の管理画面なし | 手動で.htaccess設定 |
具体的な流れは、どのサーバーでもそこまで変わりません。
- サーバー管理画面にログインする
- 対象ドメインを選び、「アクセス制限」系のメニューを開く
- 制限したいディレクトリ(例:/wp-admin や /stg)を指定する
- アクセスに使うIDとパスワードを登録する
- ブラウザで対象URLにアクセスし、ベーシック認証のポップアップが出るか確認する
この方法のメリットは、.htaccessファイルを自分で触らなくていいことです。もし設定を間違えても、管理画面からすぐ解除できるので、トラブル時の復旧もシンプルです。
プラグインでWordPressにベーシック認証を追加する
次に、プラグインを使ってWordPressにベーシック認証を追加する方法です。WordPressの管理画面だけで完結するので、FTPやサーバーパネルにあまり触れたくない人にも向いています。
代表的なプラグインのイメージを挙げると、次のような感じです。
| プラグイン名の例 | 主な用途 | 特徴 |
|---|---|---|
| WP Basic Authentication | サイト全体にベーシック認証 | 有効化するだけのシンプル設計 |
| WP BASIC Auth | 管理画面の保護 | ログイン画面周りを二重ロックできるタイプもある |
| Password Protected | サイト全体のパスワード保護 | 厳密にはベーシック認証ではないが用途が近い |
基本的な使い方の流れはどのプラグインも似ています。
- 「プラグイン」→「新規追加」でプラグイン名を検索し、インストールする
- 「有効化」ボタンを押す
- 設定画面で、保護したい範囲とID・パスワードを指定する
プラグイン方式の良いところは、サイト全体を一時的にロックしたり、管理画面だけを守ったりと、比較的柔軟に設定できる点です。
一方で、プラグインが増えすぎるとサイトが重くなったり、アップデートのタイミングで思わぬ不具合が出る可能性もゼロではありません。必要なときだけ導入し、不要になったら停止・削除する、という運用を意識しましょう。
.htaccessと.htpasswdで手動設定する
3つ目は、.htaccessと.htpasswdを使った、もっとも自由度の高いベーシック認証のかけ方です。少し上級者向けですが、一度覚えてしまえばWordPress以外のサイトでも使い回せます。
まずは2つのファイルの役割を整理しておきましょう。
| ファイル名 | 役割 | 置き場所のイメージ |
|---|---|---|
| .htpasswd | IDと暗号化されたパスワードを保存する | Webから直接アクセスできない場所が理想 |
| .htaccess | どのディレクトリに、どのパスワードファイルを使うかを指定する | 制限したいディレクトリ直下(例:wp-admin) |
手順のイメージは次の通りです。
- 暗号化パスワード生成ツールやコマンドで、「ユーザー名:暗号化パスワード」の1行を作成する
- その1行だけを中身にした.htpasswdファイルを作り、サーバーにアップロードする
- 制限したいディレクトリに.htaccessファイルを置き、
AuthType Basicなどの設定を書き足す - ブラウザで対象ディレクトリにアクセスし、ベーシック認証のポップアップが出るか確認する
WordPressのログイン画面やwp-adminだけを守りたい場合は、wp-admin直下に.htaccessを置きつつ、管理画面からの非同期通信で使われるadmin-ajax.phpだけは例外としてアクセスを許可する書き方にするのが一般的です。
用途別のおすすめWordPressベーシック認証パターン
ここからは、実際のシチュエーションごとに「どの方法が向いているか」を整理していきます。自分のケースに近いところから読んでみてください。
開発中サイトやステージング環境をまるごと隠したい場合
新規制作中のサイトや、リニューアル用のステージング環境は、外部から見えないようにしておきたい場面が多いと思います。検索結果に出ても困りますし、URLが漏れると予想外の人に見られる可能性もあります。
このケースで相性が良いのは、次のようなパターンです。
- サーバーのアクセス制限機能で、対象ディレクトリ全体にベーシック認証をかける
- WP Basic Authenticationのようなプラグインで、サイト全体を一時的にロックする
クライアントに確認用URLを共有するときは、「URL」「ID」「パスワード」をセットで伝えておくと、ログインできないという連絡を減らせます。
【稼げるキーワード教えます】
▼ ▼ ▼
本番公開時にベーシック認証の解除を忘れると、せっかくのサイトが検索結果に出てこなくなってしまうので、公開作業のチェックリストに「ベーシック認証解除」を入れておくと安心です。
ログイン画面と管理画面を二重ロックしたい場合
ログイン画面に向けて総当たり攻撃が来ていたり、不審なアクセスが急に増えたりするサイトでは、WordPressのログインの前にベーシック認証を1枚挟んでおくと、かなり負荷を軽くできます。
よく使われるパターンは次の通りです。
- wp-adminディレクトリに.htaccessと.htpasswdを置き、管理画面一式にベーシック認証をかける
- 管理画面専用のベーシック認証プラグインで、ログインページ周辺をロックする
IDとパスワードを共有するときは、共有先を必要最低限に絞り、担当者が変わったタイミングでパスワードを変更するなど、運用ルールも合わせて決めておくと安全です。
一部ページだけ限定公開にしたい場合
「この固定ページだけ、特定の人にだけ見せたい」といったように、ページ単位で制限をかけたい場合は、ベーシック認証よりも別の仕組みを使ったほうが簡単なことが多いです。
例えば、次のような選択肢があります。
- 固定ページや投稿に用意されている「パスワード保護」機能を使う
- 会員制サイト用のプラグインで、ログインユーザーだけが見られるようにする
用途ごとの向き不向きを表にまとめると、こんなイメージになります。
| 用途 | 向いている方法 | ベーシック認証との相性 |
|---|---|---|
| 開発中サイトを隠す | サーバーのアクセス制限 / サイト全体ロック系プラグイン | とても向いている |
| ログイン画面を二重ロック | wp-adminへのベーシック認証 / 専用プラグイン | 向いている |
| 一部ページだけ限定公開 | パスワード保護 / 会員制プラグイン | やや不向き |
このように、WordPressのベーシック認証は「まとめて守りたい場所」に向いていて、「この1ページだけ」のような細かい制御は別の機能に任せると考えると整理しやすいです。
WordPressベーシック認証とSEO・セキュリティの考え方
ここでは、ベーシック認証をかけるときに気になるSEOとセキュリティ面の考え方をまとめます。WordPressでの運用をイメージしながら読んでみてください。
ベーシック認証がSEOに与える影響
ベーシック認証で守られたディレクトリには、検索エンジンのクローラーもアクセスできません。そのため、その配下のページは原則としてインデックスされず、検索結果に表示されなくなります。
この性質を踏まえて、次のように使い分けるのが無難です。
- テスト環境や限定公開にしたいページ群には、積極的にベーシック認証をかける
- 検索流入を狙う本番サイト全体には、ベーシック認証をかけっぱなしにしない
- どうしても本番環境で使う場合は、wp-adminなど一部のディレクトリにだけ限定してかける
「クローラーにだけ見せたくない」という目的なら、noindexタグやrobots.txtでクローラーをコントロールする方法もあります。ただ、中身を第三者に見せたくない場合は、WordPressのベーシック認証のような仕組みで、そもそも入口で止めてしまうほうが安心です。
ベーシック認証だけに頼らないセキュリティ設計
ベーシック認証は便利な追加の鍵ですが、これだけで完璧なセキュリティになるわけではありません。WordPressサイトを守るときは、いくつかの対策を重ねて「多層防御」にしておくのがポイントです。
代表的な対策と役割を表にまとめました。
| 対策 | 役割 | ベーシック認証との相性 |
|---|---|---|
| ベーシック認証 | ディレクトリ単位の入口制限 | 不正アクセスを手前でブロック |
| ログイン試行回数制限 | 総当たり攻撃を防ぐ | ログイン画面の負荷を軽減 |
| セキュリティプラグイン | 不正ファイル検知・簡易ファイアウォールなど | サイト全体の守りを強化 |
| IP制限・国別制限 | 特定のIPや国からだけアクセスを許可 | 管理画面の保護と相性が良い |
| 常時HTTPS化 | 通信内容の暗号化 | ベーシック認証の弱点を補う |
WordPressのベーシック認証は「物理的にドアを増やす」イメージなので、他の施策と組み合わせて使ってあげることで、本来の力を発揮してくれます。
WordPressベーシック認証のトラブルと解決策
最後に、WordPressにベーシック認証を設定したときによく起きるトラブルと、その解決のヒントをまとめておきます。
画面が真っ白・500エラーになるとき
.htaccessでベーシック認証を設定しようとして、書き方を間違えると、画面が真っ白になったり、500エラーが出たりすることがあります。多くの場合、文法ミスやファイルパスの間違いが原因です。
よくあるパターンを整理すると、次のようになります。
| 症状 | 主な原因 | 対処法の例 |
|---|---|---|
| サイト全体が500エラー | .htaccessの文法エラー、存在しないディレクトリを指定している | 追加したベーシック認証部分を一度削除し、少しずつ書き戻しながら確認する |
| wp-adminだけエラー | AuthUserFileのパス違い | サーバーの絶対パスをマニュアルなどで確認し、正しいパスに書き換える |
| 一部ページだけエラー | 他のプラグインやリダイレクト設定との干渉 | キャッシュ系やリダイレクト系プラグインを一時停止して様子を見る |
いきなり全体を直そうとせず、まずは自分が追加したベーシック認証部分だけをコメントアウトしてみて、正常に戻るかどうかを確認すると、原因の切り分けがしやすくなります。
ベーシック認証が効かない・何度も求められるとき
ベーシック認証を設定したのにポップアップが出ない、もしくはIDとパスワードを入れても何度も聞かれてしまう、というケースもよくあります。
その場合は、次のようなポイントを順番に確認してみてください。
- .htpasswdファイルのパスが、.htaccessに書いた内容と合っているか
- .htpasswdファイルのパーミッションが適切か
- ブラウザ側のキャッシュや保存された認証情報が悪さをしていないか
チェックする順番の例です。
- AuthUserFileで指定している絶対パスと、実際にアップロードした.htpasswdの位置を見比べる
- FTPソフトでパーミッションを確認し、サーバー推奨の設定値に合わせる
- ブラウザを完全に閉じるか、シークレットウィンドウを開いてから再度アクセスして試す
プラグインを使ってベーシック認証をかけている場合は、プラグインの設定や、他のプラグインとの干渉も合わせて疑ってみてください。
ベーシック認証を解除するときのチェックポイント
制作途中のサイトが完成したり、サイトの運用方針が変わったりすると、WordPressで設定したベーシック認証を外したくなることがあります。
解除方法は、導入したときの方法によって次の3パターンに分かれます。
- サーバーのアクセス制限機能で導入した場合
→ サーバーパネルの「アクセス制限」メニューから、対象ディレクトリの制限をOFFにする - プラグインで導入した場合
→ 管理画面の「プラグイン一覧」で該当プラグインを停止し、必要に応じて削除する - .htaccess / .htpasswdで導入した場合
→ .htaccessからベーシック認証に関する記述を削除し、不要になった.htpasswdも消す
特に本番サイトでWordPressのベーシック認証を使ったあとには、「公開時にきちんと解除しているか」をチェックリストに含めておくと、インデックスされないまま運用してしまう事故を防げます。
WordPressベーシック認証のよくある質問
ここでは、WordPressのベーシック認証について、よく聞かれる質問をQ&A形式でまとめます。
Q1.WordPressサイト全体にベーシック認証をかけたままでも大丈夫ですか?
A. 検索からの集客を狙っていない社内向けサイトなどであれば問題ありませんが、一般公開したいサイトではおすすめしません。
ベーシック認証をかけたディレクトリにはクローラーも入れないので、その配下のページは検索結果に出てこなくなるからです。
通常のサイトでは、「制作中はベーシック認証で守っておき、公開のタイミングで解除する」という使い方が現実的です。
Q2.WordPressへの不正ログイン対策として、ベーシック認証だけで足りますか?
A. ベーシック認証は、ログイン画面の手前にもう一枚鍵を増やせるので、WordPressの不正ログイン対策としてとても有効です。
ただし、これだけあれば絶対安全というわけではありません。強力なパスワードの設定、ログイン試行回数の制限、セキュリティプラグインの導入、IP制限、常時HTTPS化などを組み合わせて、多層的に守るのが理想です。
Q3.プラグインと.htaccessのどちらでWordPressにベーシック認証をかけるのがいいですか?
A. どちらが正解というより、「目的とスキルに合わせて選ぶ」のがおすすめです。
- まず簡単に試したい → プラグインか、サーバーのアクセス制限機能
- サーバーの仕様に縛られず柔軟に制御したい → .htaccess / .htpasswdで手動設定
- 管理画面だけを守りたい → 管理画面専用プラグインか、wp-admin直下の.htaccess
迷ったら、最初はプラグインやサーバー機能で感覚をつかみ、慣れてきたら手動設定にも挑戦してみる、くらいのスタンスで大丈夫です。
まとめ:WordPressでベーシック認証を使いこなすために
ここまでの内容を振り返ります
- ベーシック認証は、WordPressのログインとは別に「ディレクトリ単位の入口」をロックする仕組み
- WordPress向けのベーシック認証の主な方法は「サーバーのアクセス制限」「プラグイン」「.htaccessと.htpasswd」の3パターン
- SEO面では、ベーシック認証をかけたディレクトリは原則インデックスされないので、本番サイト全体にはかけっぱなしにしない
- セキュリティ面では、ベーシック認証だけに頼らず、HTTPSやログイン制限、セキュリティプラグインなどと組み合わせて多層防御にするのが安心
- トラブルが起きたら、まずは自分が追加したベーシック認証部分を疑い、少しずつ戻しながら原因を切り分ける
今日できる最初の一歩として、まずはあなたのWordPressサイトについて、「どこを誰から守りたいのか」「検索から来てほしいページはどこか」を紙やメモアプリに書き出してみてください。
そのうえで、この記事で紹介した用途別パターンを見ながら、自分のケースに合いそうなベーシック認証のかけ方をひとつ選び、テスト環境などで実際に試してみるところから始めてみましょう。
記事を読んだらコチラ
▼ ▼ ▼
