今回はロリポップでWebサイトにBasic認証(パスワード認証)をかける方法について紹介します。
ユーザー名とパスワードを知っている人だけがアクセスできる会員限定サイトを作りたい場合や、一般には公開したくないけど関係者だけには制作中のサイトを見せたい場合はBasic認証機能を使ってみてください。
ロリポップでBasic認証・パスワード設定する方法
ロリポップでは以下の手順でBasic認証(パスワード認証)を設定できます。
Basic認証の注意点
Basic認証は簡素な認証方式で、ネットワーク上ではID・パスワードが暗号化されずに通信されます。
セキュリティ強化のため、Basic認証を設定する場合は、常時SSL(HTTPS)をかけたWebサイトに対して設定するようにしましょう。
また万一のため、他のサイト・システムで使うような重要なID・パスワードとは別のものにしておいた方が無難です。
(関連)WordPressのSSL/HTTPS化とは?意味や実装手順
(外部サイト)非SSL環境下でのBASIC認証が危険な理由をWiresharkで実際にパケット解析をして実感してみる
STEP. 1:ユーザー専用ページにログインする
まずはユーザー専用ページにログインしましょう。
以下のURLをクリックしてください。
ロリポップのドメインとパスワードを入力し、ログインします。
以上で、ロリポップのユーザー専用ページにログインできました。
「セキュリティ>アクセス制限」からアクセス制限(Basic認証)の設定ができます。
(注意).htaccessをカスタマイズ・WordPressの場合の注意点
設定先のディレクトリに『.htaccess』が設置されている場合、以降のSTEP2のでBasic認証の設定をすると、設置済みの『.htaccess』の内容が上書きされます。
※もし、設置済みの『.htaccess』を上書きしたくない場合は、 設置済みの『.htaccess』に追記する形で手動で「パスワード制による制限」の設定をする必要があります。手動で作成する方法は「パスワードによるアクセス制限 | ロリポップ公式サイト 」を参照ください。
独自に.htaccessを作成・カスタマイズしている場合は、ロリポップ!FTPから事前に.htaccessをバックアップしておきましょう。
.htaccessはロリポップ!FTPから確認できます。サーバー管理・設定>ロリポップ!FTPをクリックします。
ロリポップ!FTPの画面が表示されます。Basic認証を設定したいドメイン・ディレクトリまで移動します。
対象のドメイン/ディレクトリから.htaccessを必要に応じて保存・バックアップしておきましょう。
WordPressを利用している場合は本作業実施後にパーマリンク保存しよう
WordPressを利用している場合も.htaccessが自動作成させているので中身が上書きされてしまいます。
STEP2の操作でアクセス制限実施後に固定ページや投稿を表示しても404エラーとなったり、ページの保存時に「正しいJSONレスポンスではありません」とエラーがでる場合があります。
■固定ページや投稿を表示しても404エラーと表示される
■「更新に失敗しました。返答が正しいJSONレスポンスではありません」とエラーになり保存できない
WordPressの場合、設定>パーマリンク設定で何もせずそのまま変更を保存ボタンを押下しましょう。.htaccessが自動作成(またはWordPressの記述が追記)されて表示が元に戻ります。
WordPressの場合、管理画面で設定>パーマリンク設定で何もせずそのまま変更を保存ボタンを押下します。
パーマリンク保存後、各ページが表示されるようになります。
STEP. 2:対象の独自ドメインにアクセス制限を追加する
STEP1の続きです。
ロリポップの管理画面で「セキュリティ>アクセス制限」をクリックします。
「新規追加」をクリックします。
「設定したドメインのディレクトリから入力できます。」と書かれた箇所をクリックします。
そうすると、隠しメニューが現れてドメインの選択ができるようになるので、Basic認証を追加したいドメインを選択します。
特定のディレクトリのみアクセス制限を設定する方法
特定のディレクトリのみアクセス制限を設定するには、ドメインを選択した後に、ドメインのディレクトリ以降に「/test/」のような形で制限したいディレクトリを記述します。
ディレクトリに関しては、ロリポップFTP!からフォルダ名を確認してみてください。
あとは任意の認証フォームタイトルとアカウント名、パスワードを入力し「作成」をクリックします。
「処理を実行してもよろしいですか?」といった確認画面が表示されるので「OK」をクリックします(※注)。
(※注).htaccessを上書きしますとの警告が出た場合
設定先のディレクトリに『.htaccess』が設置されている場合、設置済みの『.htaccess』の内容が上書きされますのでご注意ください。
.htaccessを上書きしますとの警告が出た場合は、「.htaccessをカスタマイズ・作成している場合の注意点」を参考に、.htaccessをバックアップしておきましょう。
もし、設置済みの『.htaccess』を上書きしたくない場合は、 設置済みの『.htaccess』に追記する形で手動で.htaccessや.htpasswdの記述をする必要があります。
これでアクセス制限の設定が完了です。
「セキュリティ>アクセス制限」画面に戻ると、設定したアクセス制限が追加されていることが確認できます。
パスワード認証をかけたサイト・URLにアクセスして試してみましょう。対象URLにアクセスするとパスワード認証画面が表示されます。ユーザー名とパスワードを入力してみてください。
パスワードを正しく入力するとサイト(ページ)が表示されます。
パスワード認証に失敗すると、401と表示されます。
Basic認証(パスワード設定)を解除する方法
Basic認証を解除したい場合は「セキュリティ>アクセス制限」画面を開き、削除したい認証設定の上で「削除」から解除できます。
なお、アクセス制限の設定を削除した場合は、『.htaccess』『.htpasswd』が削除されます。もし独自にカスタマイズしている人はバックアップしておきましょう。
削除したい認証設定の上で「削除」をクリックします。
「OK」をクリックするとBasic認証が解除されます。
なお、本操作により、生成された.htaccessとhtpasswdファイルが削除されます。
WordPressを利用している場合、投稿や固定ページを表示しても404エラーとなる場合があります。
その場合は、WordPressの設定>パーマリンク設定で何もせずそのまま変更を保存ボタンを押下しましょう。.htaccessが自動作成(またはWordPressの記述が追記)されて表示が元に戻ります。
WordPressの場合、管理画面で設定>パーマリンク設定で何もせずそのまま変更を保存ボタンを押下します。
パーマリンク保存後、各ページが表示されるようになります。
これでBasic認証を削除することができました。
まとめ
まとめです。今回はレンタルサーバー「ロリポップ」でBasic認証(パスワード認証)を設定する方法を解説しました。
Webサイトの制作途中などで一般には見せたくないけれど関係者には見せたいといった場合に、簡単にWebサイト・ディレクトリ単位でパスワード設定・アクセス制限することができます。
注意点としては、元の.htaccessの記述が上書きされるため、WordPressを利用している方や.htaccessを独自にカスタマイズしている方は注意しましょう。
今回は以上になります。最後までご覧頂き、ありがとうございました。
個別指導形式のスクールでは、自分の知りたいことをピンポイントで学習・達成でき、自分で更新もできるというメリットもあります。
教室の無料事前相談もしておりますので、まずはお気軽にご登録ください。
YouTubeチャンネル開設しました!
最大月間50万PVの当ブログをベースに、Youtube動画配信にてWordPress、ホームページ作成、ブログのことについてお役立ち情報を随時配信していきます。
ご興味ある方はぜひチャンネル登録をしていただけますと幸いです。