wordpressのログインファイルにダイジェスト認証

先日ConoHaのVPSにwordpressをインストールし、無事にwordpress童貞を卒業した訳だけども、「wordpressって当然、ディレクトリ構造は共通だよね、ログインページのパスが共通って不味くね?」と不安になる。せめて何らかの保険が必要だな…と思ったところで先日、ドキュメントルートにダイジェスト認証を入れる記事を書いた事を思い出し、wordpressログインページにもダイジェスト認証を入れてみる事にする。

CentOSでダイジェスト認証。お前に見せる画面はねぇ!
Basic認証ではなく、Digest認証を導入する理由 CentOSにて、ドキュメントルート下にDigest認証を設定する。ちょっと前までは簡単に設置出来るBasic認証でええやんと思っていたが、どうやらBasic認証は通信が暗号化されておらず、セキュリティ的によろしくないようだ…知らなかった。となると例えば社内のみからアクセスされるサイトであればBasic認証でも良いと思うが、ワールドワイドで公開されるサイトは、設置が多少面倒だろうとID・パスが暗号化されるDigest認証を選ぶべき。 D...

やる事は同じだろうと、深く考えず wordpress/wp-admin/ 以下を保護してみたら、ブログ記事を開いただけでダイジェスト認証を要求されるようになった…

駄目な例(使ってはいけません!)

きっと記事見る時にもwp-admin以下のファイルを読みこんだりしてるんだな…これじゃ駄目だとgoogle先生に質問していると、どうやらファイル単位でも指定が出来るようだ。とりあえずwp-adminディレクトリより先に、wordpressディレクトリ内にあるwp-login.phpに制限を掛けてみる。

※ xxxの部分は当然個人の環境によって異なります。

始めに<Directory>指定などせず、いきなり<Files>指定でフルパス記述してもらっても、もちろん構わない。

じゃあ何で始めに<Directory>を書いたかというと、wp-admin以下のファイルも後で追加するかと思っていたからなのだが、実際はwp-login.phpに制限掛けただけで、wordpress/wp-admin/ にアクセスしても制限がかかるようになった。きっとwp-admin/ディレクトリのindex.phpでwp-login.phpを読み込んでんだな。

という事で無事解決。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする