WordPressの管理画面(wp-admin)のBasic認証トラブルと解決方法－記事ページで認証がでる現象

ワードプレスの管理画面にBasic認証かけてますか？

先日、管理画面（/wp-admin/）にBasic認証を入れたはずなのに、なぜかフロントページでBasic認証を要求されちゃって参りました…。

原因を調べる方法と解決方法をまとめておきます。

ワードプレスプレスの管理画面(wp-admin)にBasic認証をかけたのにおかしい

今使っているXサーバーは、/wp-admin、/wp-login.php、XML-RPC APIの国外IPアドレス接続制限、ログイン試行回数制限設定が標準で設定されていて、一時期騒がれたブルートフォースアタック対策がされてたんですね。

個人の小さなブログだから、まぁ管理画面(/wp-admin/)にBasic認証かけなくてもいっか、と放置してたんですよ。

でも最近アクセスも増えてきたし、ハッキングされてサイト閉鎖に追い込まれたら嫌だなぁと思ってベーシック認証を入れました。

▲ワードプレスプレスの管理画面にBasic認証

/wp-admin/のみにBasic認証を入れたのに、記事ページを閲覧するとBasic認証がでてくるんです。
しかも、ID・PWを入力せずにキャンセルしても正常に表示されるんです。
…何でだよ。。

なんだこれ？って意味がわからない状態になりました。もちろんサイト全体にBasic認証をかけたという間違いは犯してませんよ。

スマートに書きますが…Twitterのフォロワーさんにアドバイスをもらい解決に至りました。

サーバーのログを確認したところ、記事ページを開いているのにwp-admin/admin-ajax.php にアクセスしているのが判明！

素人なりに詳しく解説しますと、ぼくのケースではワードプレスの管理画面（/wp-admin/）にBasic認証を記述した.htaccessファイルを設置しました。

当然、管理画面のログイン画面（wp-login.php）にアクセスしようとすると認証が必要になります。

Basic認証対象：https://netotas.net/wp-admin/以下すべて

ところが、記事ページを閲覧しようとする時に、内部的にwp-admin/admin-ajax.phpにアクセスしているのです。/wp-admin/配下はBasic認証がかかっているので認証を要求されていたというわけです。

ちなみにレンタルサーバーの場合、サーバ管理パネルからログをダウンロードできます。Xサーバーの場合で、下部で説明します。

wp-adminデイレクトリにBasic認証を記述した.htaccessファイルを設置していました。

AuthUserFile "～/.htpasswd" AuthName "パスワードを入力してください" AuthType BASIC require valid-user </Files>

AuthUserFile "～/.htpasswd" AuthName "パスワードを入力してください" AuthType BASIC require valid-user

<Files admin-ajax.php> Satisfy any allow from all </Files>

このように記述することで、特定ファイル（wp-admin/admin-ajax.php）をBasic認証から除外することができます。

これで完了です。記事ページにアクセスしてみると、Basic認証を要求されなくなりました！

原因がわかってしまえば対策は打てるけど、原因不明だと難しいんですよね。しかも、そういう状況のときは何てキーワードで検索したらよいか分からない...。

今回のトラブル解決の鍵は、ログファイルでした！

Xサーバーのサーバーパネルにログインします。
統計＞ログファイル

対象ドメインを選択します

対象のサイトドメインの[ダウンロード]をクリック

サイトドメイン.access_logというファイルがダウンロードできます。
（ぼくの場合は、netotas.net.access_log）

メモ帳などテキストエディタでログを閲覧できます。

/admin/にBasic認証かけてるのになぜかフロントでID,PWを要求される。キャンセルして表示できるという謎。。
プラグインを切ってもダメ...。迷走中。。

— ねとたす@中小企業診断士 (@netotas) November 5, 2015

このつぶやきを見て、アドバイスをくれてフォロワーさんありがとうございました！
　