WordPress wp-login.phpとパスワード記事

.htaccessによるセキュリティ対策としてよくこのような例がネット上で見つかります。

下記は、wp-login.phpに対してIP制限をかける例です。

<Files wp-login.php>
Order deny,allow
Deny from all
Allow from ************
</Files>

このように設定すれば、wp-login.phpに指定のIP以外からのアクセスがあった時、403で応答します。
wp-login.phpはアクセスログなどを確認するとめちゃくちゃに攻撃を受けるのが分かるので、これを行っておくと安心です。

次にパスワードをかけた記事を投稿してみます。

画面右の公開状態から、パスワード保護を選択し、パスワード：abcで保護をして公開したページにアクセスします。

ここでパスワード：abcを入力して確定ボタンを押します。

あれ、正しいパスワードを入力したのに、403となってしまいます。

Chromeの開発者ツールで確認

…パスワードをかけた記事は、wp-login.phpで認証を行うようです。

結論

wp-login.phpにアクセス制限をかけるのはセキュリティ上有効だが、記事にWordPress標準のパスワード保護をかける予定があるときなどは注意が必要。
別のプラグインなどでのパスワードをかけるのが良いと思うが、それが無理な場合はwp-adminなどディレクトリ以下にアクセス制限をかけるべきかなと思いました。