今回はさくらのサーバーでBasic認証(パスワード認証)をWebサイトに設定する方法を解説します。
公開前のWebサイトを関係者だけに見せたいといった場合は、Basic認証(パスワード認証)を設定してみてください。
さくらのサーバーでBasic認証・パスワード設定する方法
以下では、さくらのサーバーでBasic認証(パスワード認証)を設定する方法を3ステップで解説していきます。
Basic認証の注意点
Basic認証は簡素な認証方式で、ネットワーク上ではID・パスワードが暗号化されずに通信されます。
セキュリティ強化のため、Basic認証を設定する場合は、常時SSL(HTTPS)をかけたWebサイトに対して設定するようにしましょう。
また万一のため、他のサイト・システムで使うような重要なID・パスワードとは別のものにしておいた方が無難です。
(関連)WordPressのSSL/HTTPS化とは?意味や実装手順
(外部サイト)非SSL環境下でのBASIC認証が危険な理由をWiresharkで実際にパケット解析をして実感してみる
STEP. 1:コントロールパネルにログインする
まずは、さくらのサーバーのコントロールパネルにログインしましょう。
以下のURLをクリックします。
https://secure.sakura.ad.jp/rs/cp/
メールアドレス(あるいはサーバーに設定されているドメイン)、パスワードを入力してコントロールパネルにログインします。
これでさくらのレンタルサーバーのコントロールパネルにログインできました。
STEP. 2:ファイルマネージャーを開く
次にコントロールパネルより、さくらのサーバーのファイルマネージャーを開きます。
ホーム画面のショートカットにある「ファイルマネージャー」をクリックします。
そうすると、別タブでファイルマネージャーが開かれます。
さくらのサーバーではファイルマネージャー画面からBasic認証を設定できます。
STEP. 3:パスワードを設定したいフォルダにBasic認証を設定する
ファイルマネージャーには現在運用しているサイトのWeb公開フォルダ一覧が表示されています。
Basic認証を設定したいフォルダを選択して「表示アドレスへの操作>アクセス設定」をクリックします。
※ファイル単位でのBasic認証はできません。
「パスワード制限を使用する」にチェックを入れます。※接続元アクセス制限との併用は「両方の許可がないとアクセス不能」となっている状態でOKです。
接続元アクセス制限とは?
接続元アクセス制限とは、アクセス元のIPアドレスやホストによって制限がかけられる設定項目です。
さくらのサーバーでは、パスワード制限と接続元アクセス制限を併用することが可能です。アクセス制限の設定方法についてはこちらをご参照ください。
| 両方の許可がないとアクセス不能 | パスワード制限 ・ 接続元アクセス制限の両方で設定された条件を満たさない限り、アクセスが拒否される。 |
|---|---|
| 一方の許可があればアクセス可 | パスワード制限 ・接続元アクセス制限のいずれか一方で設定された条件を満たせば、アクセスが許可される。 |
次に.htpasswdの横にある編集ボタンを押下します。
ユーザーの追加ボタンをクリックします。
ユーザー名とパスワードを入力してOKボタンを押下します。
OKボタンを押下します。
以上で完了です。.htpasswdファイルが生成されています。
パスワード認証をかけたサイト・URLにアクセスして試してみましょう。対象URLにアクセスするとパスワード認証画面が表示されます。ユーザー名とパスワードを入力してみてください。
パスワードを正しく入力するとサイト(ページ)が表示されます。
パスワード認証に失敗すると、Unauthorizedと表示されます。
これでWeb公開フォルダに紐づいたWebサイトにBasic認証の設定ができました。
パスワード制限を解除する場合
なお、設定したBasic認証を解除したい場合は、再度「表示アドレスへの操作>アクセス設定」を開き、「パスワード制限を使用する」のチェックを外してあげることでアクセスを許可することができます。
Basic認証が必要なくなった際は、こちらの方法でBasic認証を解除するようにしましょう。
(参考)接続元単位でのアクセス制限をする方法
接続元単位でアクセス制限する方法についてご紹介します。
先ほどの設定画面で、接続元アクセス制限タブをクリックするとIPアドレスやホスト/ドメイン名、リンク元などを指定して許可・拒否の設定ができます。最初は全て許可の状態です。
非公開にして一部のアクセスを許可する方法
アクセス制限では、標準で全て拒否・例外として一部のアクセスを許可する設定ができます。
以下は、非公開(全て拒否)にして、許可したもののみアクセスできる設定です。下記例では許可するIPアドレスを記入します。
設定が完了すると許可していないIPアドレスからのアクセスはForbiddenと表示される(パスワード認証画面も表示されない)ようになります。
許可されたIPアドレスでアクセスすると(Basic認証している場合)パスワード認証画面が表示されます。
パスワードを正しく入力するとサイト(ページ)が表示されます。
公開して一部のアクセスを拒否する方法
標準で全て許可・例外として一部のアクセスを拒否する設定もできます。
以下は、公開(全て許可状態)にして、指定した一部のアクセスを拒否する設定です。
設定が完了すると拒否したIPアドレスからのアクセスはForbiddenと表示される(パスワード認証画面も表示されない)ようになります。
このように、IPアドレスなどのアクセス元、およびパスワード認証の2段階でアクセス制限することも可能です。
まとめ
今回はさくらのサーバーでBasic認証(パスワード認証)を設定する方法を解説しました。
Webサイトの制作途中などで一般には見せたくないけれど関係者には見せたいといった場合にBasic認証は便利なので、ぜひ使用してみてください。
今回は以上になります。最後までご覧頂き、ありがとうございました。
個別指導形式のスクールでは、自分の知りたいことをピンポイントで学習・達成でき、自分で更新もできるというメリットもあります。
教室の無料事前相談もしておりますので、まずはお気軽にご登録ください。
YouTubeチャンネル開設しました!
最大月間50万PVの当ブログをベースに、Youtube動画配信にてWordPress、ホームページ作成、ブログのことについてお役立ち情報を随時配信していきます。
ご興味ある方はぜひチャンネル登録をしていただけますと幸いです。