こんにちは!ロリポップCRチームのotomiです。今回は、WordPressでの.htaccessの書き方についてご紹介します。
.htaccessを編集することでWordPressやサーバーのさまざまな設定を行うことができます。WordPressに関する情報を検索すると.htaccessの編集を案内する記事もよく見かけます。
読者の中にはこのファイルが何なのかよくわからないまま、検索して紹介された記事の内容をそのままコピペしている、といった方もいらっしゃるかもしれません。
そのため今回は.htaccessとは何かというところから、ロリポップで利用する際の設定例までをご紹介します。
なお、今回ご紹介する設定はマニュアル内にすでに記載されている内容となります。マニュアルに記載されているなかから、WordPressの設定に有効なものを抜粋しています。
WordPressのセキュリティを高めるためにも有効ですので、ぜひご参考いただき、ご自身のサイトへお役立てください!
.htaccessとは何か
.htaccess(ドットエイチティアクセス)とは、Webサーバーにおいてフォルダー単位で設置および設定を行える設定ファイルのことです。
通常、サーバーの設定は管理者が特定のファイルで行うのですが、レンタルサーバーなどの利用者でもさまざまな設定が個別に行えるよう.htaccessという仕組みが提供されています。
WordPressでの.htaccessを利用するケース
WordPressで.htaccessを利用する場合、大きく2つの用途があります。
「セキュリティ設定」と「リダイレクト設定」です。この記事ではそれぞれの設定が必要な理由と設定方法をご紹介します。
適切に.htaccessの設定を適用させる方法
WordPress簡単インストールを行う際は、WordPressのサイトごとにフォルダーを作成し、そのフォルダーに対しインストールを行うことを推奨します。
フォルダーごとにインストールを行い、そのフォルダー内に.htaccessを設置することで、サイトごとに個別の設定を行うことができます。
.htaccessは基本的に上位の階層のフォルダーに設置されているものの設定を引き継いで、下位の階層のフォルダーに設置されている.htaccessがその設定を上書き、もしくは追記するような仕組みになっています。
そのため、WordPressがインストールされるフォルダーより上位の階層に別の.htaccessが存在する場合、思わぬ挙動になったり、エラーでサイトが表示できなくなったりすることがあるので、注意が必要です。
WordPressをインストールしたフォルダーより上位の階層には.htaccessを設置しないように意識すると、より安全な運用が可能です。
.htaccessを編集する際の注意点
WordPressを簡単インストールした際、インストールしたフォルダー内にすでに.htaccessが存在しています。この.htaccessはWordPressを動作させるために必要なので、削除しないようにご注意ください。
この記事でご紹介している設定方法は、すでに存在する.htaccessに対しファイルを編集し追記するようになります。
また、.htaccessの記述にミスがあるとサイトに500エラーが発生する場合があります。その際に復旧できるよう、あらかじめ.htaccessをコピーし、バックアップをとっておくことを推奨します。
※削除した.htaccessの内容が不明な場合は、新たに作成したフォルダーに対しWordPressの簡単インストールを実行し、その際に作成される.htaccessの記述をコピーしてください。
※WordPressをカスタマイズされていた場合などは、上記で作成した.htaccessの記述では正常に動作しない可能性があります。そのため編集前には必ず.htaccessのバックアップをとっておき、バックアップからの復旧を基本的に行うようにしてください。
WordPressのセキュリティ設定
WordPressのセキュリティ設定が必要な理由
WordPressは世界中でもっとも多く利用されているCMS(Contents Management System、コンテンツ・マネジメント・システム)です。
これは悪意のある攻撃者から見れば格好の標的です。WordPressを使っているサイトに対して、ある1つの攻撃手法が確立できれば、インターネット上の非常に多くのサイトに対して同じような攻撃を仕掛けることができる可能性があるからです。
そのため、WordPressのセキュリティ設定は重要になります。
WordPressのセキュリティ設定が必要な理由や、.htaccess以外での対策方法についてはこちらの記事に詳しく記載がありますので、ご参考ください。
セキュリティ設定方法
WordPressのセキュリティ設定について説明します。
WordPressのセキュリティ設定として有効なものに、管理画面に対しアクセス制限を実施するという方法があります。
管理画面のファイルはWordPressをインストールしたフォルダー内のwp-adminというフォルダーに格納されています。このフォルダーに.htaccessを設置し、以下のマニュアルに記載されている「特定のホスト、IPからのアクセスのみ許可する」という項目の作業を実施してみてください。
こうすることでWordPressの管理画面に対し、特定のIPアドレス以外からのアクセスを拒否し、不正なログインを抑止することが可能となります。
※wp-adminフォルダーに.htaccessはあらかじめ作成されていないため、この設定の場合はご自身で.htaccessを設置する必要があります。
WordPressのリダイレクト設定
WordPressのリダイレクト設定が必要な理由
最近のWEBサイトでは、SSLを利用したhttps://から始まるURLでのアクセスが一般的になってきています。
Google Chromeなどの各ブラウザにおいて、SSL化されていないhttp://から始まるURLでサイトにアクセスした際に、安全でないページであるような警告が表示されるようになっています。
そのためリダイレクト設定を行い、http://から始まるURLでサイトにアクセスされた場合であってもhttps://から始まるURLとなるようにすることでブラウザ上での警告を抑止することが可能です。
設定方法
WordPressのリダイレクト設定の一例をご紹介します。
.htaccessでのリダイレクトはさまざまな書き方がありますが、ここでは比較的シンプルなhttp://からhttps://へのリダイレクトの記述の紹介をします。
WordPressがインストールされているフォルダーの直下にある.htaccessを編集し、以下のマニュアルに記載されている「httpをhttpsに統一」という項目にある記述をファイルの末尾に追記してみてください。
こうすることで常にhttps://から始まるURLでのアクセスに固定することが可能となります。
まとめ
このように.htaccessを活用し、適切なセキュリティやリダイレクト設定を行うことでご自身のサイトを守り、訪問者の方に安心感を与えることができます。
