会員管理WordPressプラグインの記事

ARTICLE
会員管理WordPressプラグイン

WordPressでログイン認証機能を実装する方法やセキュリティを解説

掲載日:2021年8月16日更新日:2024年9月2日

Webサイトや特定のページを表示した際に、ユーザー名やパスワード入力などの認証を求める仕組みがログイン認証機能です。WordPressで作成したサイトにも様々なレベルで認証機能をつけられます。認証の必要性や、WordPressにおける認証機能の仕組みや設定方法、それぞれのメリット・デメリット、セキュリティについて解説します。

WordPressでのログイン認証とは?

WordPressでのログイン認証とは?

WordPressでのログイン認証機能の仕組みと設定方法について説明します。

WordPressでのログイン認証機能の仕組み

WordPressでのログイン認証機能の仕組みは、Basic認証を利用するのが一般的です。Basic認証とは、Webサイトや特定のページを表示した際に、ユーザー名やパスワード入力などの認証を求めて、アクセス制限をかけられる仕組みのことです。Webサイトにアクセスしようとすると、まず認証ダイアログが表示され、ユーザー名とパスワードの入力が求められます。正しく入力されればサイトは表示されますが、間違った入力がされると、サイトは表示されず、認証ダイアログに戻ったり、エラーメッセージが出てきたりします。

WordPressにログイン認証機能を設定する方法は複数ある

WordPressにログイン認証機能を設定する方法は複数あり、代表的なものとしては、htaccessを作成して設定する、レンタルサーバーの管理画面で設定する、WordPressプラグインで設定する、WordPressの管理画面から設定するなどがあります。それぞれにメリットとデメリットがあり、設定方法も異なります。各々の方法の特徴をよく理解した上で、ログイン認証機能を設定する方法を選定しましょう。

WordPressでログイン認証機能を利用するシーン

WordPressでログイン認証機能を利用するシーン

WordPressでログイン認証機能を利用するシーンにはどのようなものがあるかについて説明します。

サイト制作中でまだ公開したくないとき

WordPressでログイン認証機能を利用するシーンの1つ目は、Webサイト制作中でまだ公開したくないときです。レンタルサーバー上にWordPressをインストール済みの状態で、Webサイトを制作している途中であれば、インターネット上で公開された状態となっています。制作途中なのでサイトに訪れるユーザーが多いとは考えられませんが、検索エンジンに評価されたくないタイミングであることは間違いありません。

そこで、ログイン認証機能を設定しておけば、ユーザーに閲覧されたり検索エンジンに評価されたりする心配はなくなります。また、一人でサイトを制作しているのではなく、複数人で共同で作業をしているケースでは、ログインできる人だけがアクセスして作業を行えるので、大変便利です。

サイトを公開するユーザーを限定したいとき

WordPressでログイン認証機能を利用するシーンの2つ目は、Webサイトを公開するユーザーを限定したいときです。会員制のサイトなどを作成して、公開するユーザーを限定したいときにも、WordPressのログイン認証機能は有効です。

たとえば、有料会員のみがログインできるファンクラブサイト、マンション入居者のみがログインできる入居者専用サイト、学生とその保護者のみがログインできる保護者ポータルサイトなどです。会員はログインをしてサイトにアクセスして閲覧できるだけではなく、自分の個人情報を編集・管理したり、Web掲示板などのコミュニティページに書き込みをしたりできます。会員でない人はサイトを閲覧できませんので、外部に会員内部の情報が流出することはありません。たとえば、ファンクラブ会員限定のリリース情報、マンションの行事予定などは、ログインした会員のみに留めておきたい情報です。

また、ログインした会員本人でないとアクセスできない限定情報もあります。たとえば、学生とその保護者のみがログインできる保護者ポータルサイトにおいては、学生本人の成績や出席状況などについて、ログインさえすれば誰でも閲覧できるわけではありません。あくまでも、本人に関する情報のみにアクセスできるのです。

サイトを一時的に非公開にしたいとき

WordPressでログイン認証機能を利用するシーンの3つ目は、サイトを一時的に非公開にしたいときです。普段は公開しているサイト、あるいはサイトの中の特定のページをリニューアルするときに、ログイン認証機能を設定します。この場合はサイトの管理者のみがログインすることになります。また、悪質な書き込みなどによりトラブルが発生して、一時的に特定のページを非公開にしたいようなケースにも利用できます。

WordPressのログイン認証機能を使うメリット

WordPressのログイン認証機能を使うメリット

WordPressのログイン認証機能を使うメリットについて説明します。

閲覧ユーザーを制限できる

WordPressのログイン認証機能を使うメリットの1点目は、閲覧ユーザーを制限できることです。特定の人たちの内部で情報を共有したいケースは、たとえば、マンション入居者専用サイトです。マンション入居者に対するお知らせは、入居者以外に公開すべき内容ではありません。

また、入居者専用サイト内でも、管理組合役員のみがアクセスできるページに対して、二重にログイン認証機能を使うことも考えられます。管理組合で審議中の内容など、役員以外の入居者に知らせる必要のない情報を扱えます。また、ファンクラブサイトにおいては、有料会員のみがアクセスできるサイトであるのは、非会員に公開すべきでない内容を公開しているからではありません。

会員の特典として、会員のみがアクセスできる、会員限定ライブ動画のような特別なコンテンツが存在するのです。ファンクラブの会員しか閲覧できないブログや動画が発信されていることにより、会員に自分は特別だというプレミア感を与え、アーティストとの結びつきを強めて、さらにコアなファンにする効果が期待されます。

迷惑なユーザーを除外できる

WordPressのログイン認証機能を使うもう1つのメリットは、迷惑なユーザーを排除できることです。悪質な書き込みや、サイトを荒らすような行為に対しては、その行為を行っているのが誰なのかを突き止めることは難しいので、トラブルが発生してからでは対処が困難です。あらかじめ、ログイン認証機能を設定しておけば、ユーザー登録した人しかログインできなくなります。ある程度の個人情報を登録しなければならないため、悪質な行為の歯止めとなる効果が期待できます。不特定多数の中の一人ではなく、特定のユーザーとして振る舞わなければならなくなるからです。

また、それでも悪質な言動がなされる場合には、Webサイトの管理者の権限によってユーザー登録を解除してしまえば、そのユーザーはログインできなくなります。

WordPressでログイン認証機能を設定する方法

WordPressでログイン認証機能を設定する方法

WordPressでログイン認証機能を設定する3種類の方法について説明します。

htaccessを作成して設定する

WordPressでログイン認証機能を設定する方法のうち、最も基本的な方法は、手動でhtaccessを作成して設定することです。基本的であるがゆえにコードを書かなければならないので、やや難しい方法です。ただし、WordPressのサイトをシンプルに構成できるという大きなメリットがあります。プラグインも使いませんのでほかのプラグインとコンフリクトする問題は発生しませんし、サーバーの仕様も関係ありません。

ログイン認証機能を設定するためには、まず、htpasswdファイルを作成します。これは、ユーザー名とパスワードを暗号化して記述し、入れておくためのものです。次に、ユーザー名とパスワードを使った認証の設定のためのコードを、htaccessファイルに記述します。WordPressの構成ファイルがあるフォルダの中で、wp-adminと同じ階層に「.htaccess」というファイルがありますので、その中に記述しましょう。

レンタルサーバーの管理画面で設定する

よりかんたんにWordPressでログイン認証機能を設定する方法は、レンタルサーバーの管理画面で設定することです。まず、管理画面でBasic認証設定のページを開き、パスワードなどの必要項目を入力し、完了ボタンをクリックするだけです。ただし、ログイン認証機能の設定に対応していないレンタルサーバーもありますので、確認が必要です。

また、認証設定ページの場所がわかりにくいケースもありますので、マニュアルをよく読んで確認しましょう。

WordPressプラグインで設定する

WordPressプラグインには、Basic認証を設定できるプラグインがいくつもあります。まず、自分のWebサイトに適したプラグインを選定し、WordPressのプラグインの新規追加画面で検索してインストールします。

インストール後、有効化をクリックすれば使えるようになります。注意点は、プラグインによってインストール方法が異なる点、ユーザー名とパスワードにWordPressの管理画面へのログインと同じ情報を使うプラグインがある点です。WordPressの管理画面へのログインと同じ情報を使う場合は、そのユーザー名とパスワードを、ユーザーに伝えることになってしまうからです。

WordPressのログイン認証機能のセキュリティ

WordPressのログイン認証機能のセキュリティ

WordPressのログイン認証機能のセキュリティについて、サーバー設定の場合とWordPressプラグインの場合ごとに説明します。

サーバー設定でのセキュリティ

WordPressのログイン認証機能をレンタルサーバーで設定する場合のセキュリティの高さは、サーバーによって異なります。また、ログイン認証機能の設定に対応していないレンタルサーバーもあります。レンタルサーバーを選定する段階で、できるだけ高セキュリティのサーバーを選択するようにしましょう。

ただし、すでにセキュリティがあまり高くないレンタルサーバーと契約している場合や、そもそもログイン認証機能の設定に対応していないレンタルサーバーを使っている場合は、ほかの方法による、WordPressのログイン認証機能の設定を検討する必要があります。

WordPressプラグインのセキュリティ

WordPressプラグインでBasic認証を設定する場合は、できるだけセキュリティの高いものを選びましょう。また、ユーザー名とパスワードにWordPressの管理画面へのログインと同じ情報を使うプラグインがあるので、注意が必要です。特に会員の個人情報を管理するサイトの場合は、不正アクセスや情報漏洩されないように、厳重なセキュリティが必要です。

WordPressでログイン認証機能を実装するときの注意点

WordPressでログイン認証機能を実装するときの注意点

WordPressでログイン認証機能を実装するときの注意点について説明します。

導入の目的を明確にする

何のためにWordPressでログイン認証機能を実装するのか、導入の目的を明確にしましょう。サイト制作中でまだ公開したくないのか、サイトを公開するユーザーを限定したいのか、サイトを一時的に非公開にしたいのか、それぞれの目的によって対応が異なってきます。

目的に見合った設定方法を選ぶ

次に、WordPressでログイン認証機能を実装する目的に見合った、設定方法を選びます。サイト制作中でまだ公開したくない場合は、制作が完了したら公開するわけですから、ユーザー名とパスワードにWordPressの管理画面へのログインと同じ情報を使うプラグインであっても問題はないわけです。

あるいは、簡単ですぐに設定できる、WordPressの管理画面から設定する方法も考えられます。一方で、サイトを公開するユーザーを限定したい会員サイトなどを構築する場合は、強固なセキュリティのログイン認証機能が必要です。不正アクセスがされないように防御し、会員の個人情報を守り、また、サイトを悪質な書き込みなどから荒らされないように管理しなければなりません。

強固なセキュリティのWordPressプラグインなどが適しています。サイトを一時的に非公開にしたい場合は、ケースによります。サイトが悪質な書き込みにより荒らされてしまった場合には、より強固なセキュリティのログイン認証機能が必要となります。単純に、サイトをリニューアルするための一時的な非公開ならば、かんたんですぐに設定できる、WordPressの管理画面から設定する方法なども考えられます。

セキュリティ対策を重視する

サイトを公開するユーザーを限定する会員サイトなどを構築する場合は、会員の個人情報を管理することになるので、不正アクセスや情報漏洩を防ぐ必要があります。強固なセキュリティのWordPressプラグインを選択しましょう。

また、WordPressと連携する、会員の個人情報を管理するデータベースのセキュリティ対策も万全でなければなりません。データセンターの安全性、バックアップ、暗号化、システムの安定性など、可能な限り様々な観点から考慮して、堅固なセキュリティ対策を採用しているサービスを選びます。データセンターは、防火対策、防水対策、耐震対策、電源対策、空調対策、侵入に対する物理的な防犯対策、24時間のサイバー攻撃対策などの各項目すべてに対する安全策が、しっかりと行われているところを選びましょう。

WordPressのプラグイン・テーマを常に最新に保つ

WordPressは、世界中で利用されているオープンソースのCMSで、Webサイトの約半数がWordPressで制作されているといわれています。利用するサイトが膨大な数のため、脆弱性があった場合にハッカーから狙われることも多く、WordPress・プラグイン・テーマのバージョンを常に最新の状態に保つことが重要です。WordPressは最新バージョンが利用できるようになると、管理画面にメッセージが表示されるため、すみやかにアップデートを行いましょう。

不要なテーマやプラグインを削除する

ハッカーからの攻撃を未然に防ぐために、WordPressにインストールしている不要なテーマやプラグインを削除しましょう。使用していないテーマやプラグインであれば問題ないと考えがちですが、例え無効化していてもWordPressにインストールされた状態ではハッカーの攻撃に利用されてしまうリスクがあるため注意が必要です。テーマやプラグインの入れ替えを行った際には、以前使用していたものはすぐに削除しましょう。

WordPressのログイン認証機能に関してよくある質問

ここからは、WordPressのログイン認証機能に関してよくある質問として、「BASIC認証」「二段階認証」「不正ログイン対策」の3つをご紹介します。

BASIC認証とは?

Basic認証とは、Webサイトや特定のページを表示するときにユーザー名(ID)やパスワード入力などの認証を求められ、認証できない場合にアクセス制限をかけられる仕組みです。この仕組みは、WordPressのログイン認証機能として広く利用されています。ユーザー名(ID)やパスワードが正しく入力されるとサイトが表示されますが、入力に誤りがあるとサイトは表示されず、認証ダイアログに戻るかエラーメッセージが表示されます。

二段階認証とは?

二段階認証とは、悪意を持った第三者による不正ログインを防止するために、ユーザー名(ID)とパスワードによる認証に加え、別の方法で二段階目の認証を行う仕組みです。二段階目の認証として、SMSに届く認証コードの利用・メールに記載されたURLにアクセスするメール認証・アプリにより生成された認証コードの利用などがあります。万が一、不正ログインがなされると情報漏えいやクレジットカードの不正利用・不正送金などのリスクがあるため、セキュリティをより強固にするために二段階認証が活用されています。

WordPressの不正ログインに対して有効な対策は?

WordPressの初期設定では、ドメインの末尾に「/wp-login.php」または「/wp-admin」をつけるとログイン画面や管理画面が表示されるため、誰でもログイン画面にアクセス可能です。このままでは、ブルートフォースアタック(総当たり攻撃)の標的にもなりかねないため、プラグインによりログイン画面のURLを変更する・画像認証を追加する・ログインの失敗回数によってロックをかけるなどの対策が有効です。

二段階認証やFIDO認証、生体認証を活用した認証機能で会員向けサイト・サービスを構築するなら

当社のご提供する 「会員管理・会員サイト構築ソリューション」は、会員向けのサイトやサービスに必要とな要素をワンストップで提供するシステムです。

会員データ管理からマイページ作成・ログインなどの基本機能から、メール配信やアンケート作成、問い合わせ、フォーム作成、決済連携まで、会員管理・運営に必要な機能が充実。また、金融機関・官公庁でも採用されている高いセキュリティで会員の大切なデータを管理します。WordPressやMovableTypeを始めとした各種CMSや基幹システム等とのAPI連携も可能です。

ログイン認証機能では、通常のID・パスワードを使った認証に加えて、スマートフォンアプリ・メール・SMSなどを用いた二段階認証、指紋や虹彩等の生体情報を利用したFIDO認証(Fast IDentity Online)など、強固な認証にも対応しています。

ファンクラブやユーザーサポートサイト、学会・協会サイト、申請受付サイト、キャンペーン受付サイト、イベント受付管理、入居者サイトなど様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。
また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。

サービスの詳細については「会員管理・会員サイト構築ソリューション」のページをご覧いただくか、サービス導入をご検討中の方はこちらからぜひお問い合わせください。

まとめ

WordPressでのログイン認証機能の仕組みは、Basic認証を利用するのが一般的です。ログイン認証機能を設定する方法は複数あり、代表的なものとしては、htaccessを作成して設定する、レンタルサーバーの管理画面で設定する、WordPressプラグインで設定する、WordPressの管理画面から設定する、などがあります。ログイン認証機能を利用するシーンには サイト制作中でまだ公開したくないとき、サイトを公開するユーザーを限定したいとき、サイトを一時的に非公開にしたいときです。認証機能を使うメリットは、閲覧ユーザーを制限できることと、迷惑なユーザーを除外できることです。

WordPressでログイン認証機能を実装するときの注意点は、導入の目的を明確にする、目的に見合った設定方法を選ぶ、セキュリティ対策を重視するなどです。WordPressにセキュリティのしっかりとしたログイン認証機能を実装して、安全に管理・運営していきましょう。