WordPress

WordPressパスワード保護の設定方法を初心者向けに徹底解説

WordPressを運営していると、「この記事だけ特定の人にしか見せたくない」「サイト全体を一時的に非公開にしたい」という場面に必ず出くわします。

実際にWordPressのパスワード機能を使いこなせるようになると、コンテンツの公開範囲を自在にコントロールできるようになります。しかし、個人的な経験では、多くのWordPressユーザーがパスワード保護の設定方法を正しく理解しないまま運用しているケースが少なくありません。

投稿単体のパスワード保護、サイト全体のロック、さらにはサーバーレベルでのBasic認証まで、WordPressのパスワード設定にはいくつもの方法があり、目的に応じて使い分ける必要があります。この記事では、初心者の方でも迷わず実践できるよう、すべての方法をステップごとに解説していきます。

この記事で学べること

  • WordPress標準機能だけで投稿・固定ページにパスワード保護を設定する具体的手順
  • プラグイン「Password Protected」を使えばサイト全体を5分でロックできる
  • Basic認証(.htaccess)によるサーバーレベルの高セキュリティ保護の実装方法
  • パスワードは最低12文字以上で英数字・記号を組み合わせると安全性が大幅に向上する
  • 目的別に最適な保護方法を選べる比較表と、よくあるトラブルの解決策

WordPressのパスワード保護とは何か

WordPressのパスワード保護とは、特定のコンテンツやサイト全体に対してアクセス制限をかける仕組みのことです。パスワードを知っている人だけがコンテンツを閲覧できるようになります。

この機能が必要になる場面は意外と多いものです。

たとえば、クライアントへの納品前にサイトをプレビューしてもらいたいとき。あるいは、会員限定の情報を一部の読者だけに公開したいとき。さらには、開発中のサイトを一般公開前に保護しておきたいときなど、用途は多岐にわたります。

WordPressには大きく分けて3つのパスワード保護方法があります。

1
投稿・固定ページ単位の保護(標準機能)

2
サイト全体の保護(プラグイン利用)

3
Basic認証(サーバーレベル保護)

それぞれの方法にはメリットとデメリットがあり、目的やスキルレベルに応じて最適な選択肢が変わります。順番に詳しく見ていきましょう。

投稿・固定ページにパスワードを設定する方法

WordPressのパスワード保護とは何か - wordpress パスワード
WordPressのパスワード保護とは何か – wordpress パスワード

もっとも手軽で、もっとも多くの方が必要とするのが、個別の投稿や固定ページにパスワードをかける方法です。WordPressの標準機能だけで実現できるため、プラグインのインストールも不要です。

ブロックエディタでのパスワード設定手順

WordPress管理画面から、パスワード保護したい投稿または固定ページの編集画面を開きます。

1

編集画面を開く

投稿一覧から対象の記事を選び、編集画面に移動します。

2

公開状態を確認

右サイドバーの「投稿」タブにある「公開状態」の項目をクリックします。

3

パスワード保護を選択

「パスワード保護」を選び、任意のパスワードを入力して公開・更新します。

この操作は投稿でも固定ページでもまったく同じ手順で行えます。設定後、ページのタイトルには自動的に「保護中:」という接頭辞が付き、訪問者にはパスワード入力フォームが表示されるようになります。

クイック編集で複数記事を一括設定する方法

パスワード保護したい記事が複数ある場合、一つずつ編集画面を開くのは効率的ではありません。

そんなときに便利なのがクイック編集機能です。投稿一覧画面で記事タイトルにマウスを合わせると表示される「クイック編集」をクリックすれば、編集画面に入ることなくパスワードを設定できます。

この方法なら、10記事のパスワード設定も数分で完了します。

パスワードの変更と保護の解除方法

一度設定したパスワードは、いつでも変更・解除が可能です。

パスワードを変更したい場合は、再度編集画面を開いて新しいパスワードを入力するだけです。変更は即座に反映されるため、古いパスワードではアクセスできなくなります。

パスワード保護を完全に解除したい場合は、公開状態を「公開」に戻すだけで完了します。クイック編集からも同様の操作が可能です。

💡 実体験から学んだこと
以前、クライアント向けのプレビューサイトで投稿ごとにパスワードを設定していたのですが、パスワードを変更した際に関係者への通知を忘れてしまい、混乱を招いたことがあります。パスワード変更時は必ず共有先にも連絡する運用ルールを作っておくことをおすすめします。

サイト全体にパスワードをかける方法

投稿・固定ページにパスワードを設定する方法 - wordpress パスワード
投稿・固定ページにパスワードを設定する方法 – wordpress パスワード

個別の投稿ではなく、サイト全体をパスワードで保護したい場合は、プラグインを使う方法がもっとも手軽です。開発中のサイトやクライアントへの確認用サイトなど、すべてのページを一括で保護したいケースで活躍します。

Password Protectedプラグインの導入手順

「Password Protected」は、サイト全体のパスワード保護に特化した無料プラグインです。初心者でも迷わず設定できるシンプルな設計が特徴で、WordPressを始めたばかりの方にも安心して使えます。

具体的な導入手順は以下のとおりです。

まず、WordPress管理画面の左メニューから「プラグイン」→「新規追加」に進みます。検索ボックスに「Password Protected」と入力し、表示されたプラグインをインストールして有効化します。

次に、「設定」→「Password Protected」に移動します。「Password Protected Status」にチェックを入れ、「New Password」欄に任意のパスワードを入力します。最後に「変更を保存」をクリックすれば設定完了です。

Password Protectedの設定チェックリスト

Password Protectedの便利な追加機能

このプラグインは単にパスワードをかけるだけでなく、いくつかの便利な機能を備えています。

IPアドレスのホワイトリスト機能を使えば、特定のIPアドレスからのアクセスにはパスワード入力を求めないように設定できます。たとえば、社内からのアクセスはフリーパスにして、外部からのアクセスだけパスワードを要求するといった運用が可能です。

また、ユーザーロールによる除外設定も用意されています。WordPress管理者としてログインしているユーザーにはパスワード画面を表示しない、といった柔軟な制御ができます。

Basic認証でサーバーレベルの保護を実現する方法

サイト全体にパスワードをかける方法 - wordpress パスワード
サイト全体にパスワードをかける方法 – wordpress パスワード

より高いセキュリティが必要な場合や、WordPressの管理画面自体を保護したい場合には、Basic認証(HTTP認証)が有効です。これはサーバーレベルで動作するため、WordPressのシステムに依存しない堅牢な保護を実現できます。

Basic認証の仕組みと必要なファイル

Basic認証では、.htaccessファイルと.htpasswdファイルの2つを使います。

.htpasswdファイルには、暗号化されたユーザー名とパスワードの組み合わせを記述します。.htaccessファイルには、認証の設定コードを記述し、保護したいディレクトリに配置します。

この方法はサーバーの知識が必要になるため、WordPressのカスタマイズに慣れている方向けの方法といえます。

Basic認証の具体的な設定手順

まず、.htpasswdファイルを作成します。オンラインの.htpasswdジェネレーターを使えば、ユーザー名とパスワードを入力するだけで暗号化された文字列を生成できます。

次に、生成された内容を.htpasswdファイルとして保存し、FTPでサーバーにアップロードします。配置場所はWordPressのルートディレクトリ、つまりwp-adminと同じ階層が一般的です。

最後に、.htaccessファイルに認証設定のコードを追記します。既存の.htaccessファイルがある場合は、WordPress本体の記述を消さないよう注意が必要です。

⚠️
注意事項
.htaccessファイルの編集を誤ると、サイト全体が表示されなくなる可能性があります。編集前に必ずバックアップを取得してください。また、レンタルサーバーによってはコントロールパネルからBasic認証を簡単に設定できる機能が用意されている場合もあります。

目的別に最適なパスワード保護方法を選ぶ

ここまで3つの方法を紹介してきましたが、「結局どれを使えばいいの?」と迷う方も多いのではないでしょうか。

目的と技術レベルに応じて最適な方法は異なります。以下の比較表を参考に、自分に合った方法を選んでください。

保護方法 保護範囲 難易度 セキュリティ おすすめの用途
WordPress標準機能 投稿・固定ページ単位 ★☆☆(簡単) 中程度 特定記事の限定公開
Password Protectedプラグイン サイト全体 ★☆☆(簡単) 中程度 ステージング・プレビュー用
Basic認証 ディレクトリ単位 ★★★(上級) 高い 開発環境・非公開サイト
カテゴリー保護プラグイン カテゴリー単位 ★★☆(中程度) 中程度 会員限定カテゴリーの運用

これまでの経験から言えば、まずはWordPress標準機能から試してみることをおすすめします。多くの場合、個別の投稿にパスワードをかけるだけで十分な要件を満たせます。サイト全体の保護が必要になったときに初めてプラグインやBasic認証を検討する、という段階的なアプローチが無理なく進められるでしょう。

安全なパスワードを設定するためのポイント

どの方法を選んだとしても、パスワード自体が脆弱であれば意味がありません。パスワードのセキュリティは、設定方法よりもパスワードそのものの強度に大きく依存します。

強力なパスワードの条件

安全なパスワードには、以下の条件を満たすことが推奨されています。

安全なパスワード

  • 12文字以上(理想は16文字)
  • 英大文字・小文字・数字・記号を組み合わせる
  • 意味のない文字列を使用する
  • サービスごとに異なるパスワードを設定

危険なパスワード

  • 8文字未満の短いパスワード
  • 「password」「123456」などの推測しやすい文字列
  • 誕生日や名前など個人情報を含む
  • 連続する数字や同じ文字の繰り返し

パスワードの安全な共有方法

パスワード保護を設定したら、当然ながらアクセスを許可したい相手にパスワードを伝える必要があります。

よく見かける課題として、パスワードをメール本文にそのまま記載して送信してしまうケースがあります。これはセキュリティの観点からは推奨されません。

できれば、パスワードはメールとは別の経路で伝えるのが理想的です。たとえば、URLはメールで送り、パスワードはチャットツールやSMSで別途送信するといった方法が考えられます。

💡 実体験から学んだこと
複数のクライアントにそれぞれ異なるパスワードを設定して運用していた時期がありましたが、管理が煩雑になりすぎて結局ミスが増えてしまいました。パスワードマネージャーを導入してからは、管理の手間が劇的に減り、セキュリティも向上しました。運用の仕組みを先に整えることが大切だと実感しています。

カテゴリー単位でパスワード保護をかける方法

「特定のカテゴリーに属する記事だけを一括でパスワード保護したい」というニーズも少なくありません。たとえば、「会員限定コンテンツ」というカテゴリーを作り、そこに属する記事すべてにパスワードを要求するような運用です。

この場合は、カテゴリー保護に対応した専用プラグインを使用します。

カテゴリー保護プラグインでは、以下のような設定が可能です。

  • 特定のカテゴリーを選択してパスワード保護を適用
  • パスワードの有効期限(Cookie期間)を設定
  • 特定のユーザーをホワイトリストに登録して除外
  • 抜粋だけ公開し、全文はパスワード入力後に表示
  • 完全にコンテンツを非表示にする設定

WordPress標準のパスワード保護では投稿ごとに個別設定が必要ですが、カテゴリー単位の保護なら、カテゴリーに記事を追加するだけで自動的にパスワード保護が適用されます。運用の手間を大幅に削減できる方法です。

なお、WordPressの非公開機能とパスワード保護は似ているようで異なります。非公開はログインユーザーのみに表示する機能で、パスワード保護はパスワードを知っている人なら誰でもアクセスできる機能です。用途に応じて使い分けてください。

パスワード保護ページのカスタマイズ

WordPress標準のパスワード保護画面は、正直なところ見た目があまり洗練されていません。クライアントや顧客に見せるページであれば、デザインを整えたいと思うのは自然なことです。

表示メッセージのカスタマイズ

プラグインを活用すれば、パスワード入力画面に表示されるメッセージをカスタマイズできます。

具体的には以下の要素を変更可能です。

  • パスワード入力を促すメッセージ文
  • 入力フォームのフィールドラベル
  • 送信ボタンのテキスト
  • パスワード不正時のエラーメッセージ

たとえば、デフォルトの「このコンテンツはパスワードで保護されています」という無機質なメッセージを、「会員限定コンテンツです。配布されたパスワードを入力してください」といった親しみやすい文言に変更することで、訪問者の体験が向上します。

コンテンツの表示範囲を制御する

パスワード保護時に、コンテンツをどこまで見せるかも重要な検討事項です。

選択肢は大きく2つあります。

1つ目は、抜粋(概要)だけ公開する方法です。記事の冒頭部分や要約を表示し、全文を読むにはパスワードが必要という形式です。これにより、コンテンツの存在自体は訪問者に伝えつつ、本文へのアクセスを制限できます。

2つ目は、完全に非表示にする方法です。パスワードを入力するまで一切のコンテンツが表示されません。機密性の高い情報を扱う場合はこちらが適しています。

パスワード保護と二重セキュリティの組み合わせ

より高いセキュリティが求められる場合は、複数の保護方法を組み合わせることも検討に値します。

たとえば、Basic認証とWordPressのパスワード保護を併用することで、二重のセキュリティレイヤーを構築できます。サイトにアクセスする際にまずBasic認証のID・パスワードを求められ、さらに個別の記事にもパスワードが設定されている、という構成です。

この二重保護は、開発中のサイトで機密情報を扱う場合や、WordPressのログインセキュリティを強化したい場合に特に有効です。

ただし、すべてのケースに二重保護が必要なわけではありません。過度なセキュリティはユーザビリティを損なう原因にもなるため、保護すべき情報の重要度に応じてバランスを取ることが大切です。

よくある質問

パスワード保護した記事はSEOに影響がありますか

パスワード保護された記事は、検索エンジンのクローラーがコンテンツを読み取れないため、検索結果に本文が表示されることはありません。ただし、タイトルやメタ情報はインデックスされる可能性があります。SEOを意識する記事にパスワードをかける場合は、その点を理解した上で判断してください。検索からの流入が不要なコンテンツであれば、特に問題はありません。

パスワード保護のCookieはどのくらい有効ですか

WordPress標準のパスワード保護では、Cookieの有効期間はデフォルトで10日間に設定されています。つまり、一度パスワードを入力すれば、同じブラウザから10日間はパスワードなしでアクセスできます。この期間はプラグインやfunctions.phpのカスタマイズで変更可能です。セキュリティを重視する場合は、有効期間を短く設定することを検討してください。

複数の記事に同じパスワードを設定できますか

はい、可能です。複数の投稿や固定ページに同じパスワードを設定すれば、訪問者は一つのパスワードですべての保護記事にアクセスできます。ただし、一つのパスワードが漏洩するとすべての記事が閲覧可能になるリスクがあるため、重要度の異なるコンテンツには別々のパスワードを設定することをおすすめします。

パスワード保護とWordPressの「非公開」設定の違いは何ですか

パスワード保護は、パスワードを知っている人なら誰でもアクセスできる仕組みです。一方、「非公開」設定は、WordPressにログインしている管理者や編集者のみが閲覧できる仕組みです。外部の人にコンテンツを共有したい場合はパスワード保護を、内部スタッフだけに限定したい場合は非公開設定を選ぶのが適切です。

スマートフォンからでもパスワード保護の設定や閲覧はできますか

WordPress管理画面はレスポンシブ対応しているため、スマートフォンからでもパスワード保護の設定は可能です。また、パスワード保護されたページの閲覧も、スマートフォンのブラウザから問題なく行えます。ただし、パスワード入力画面のデザインがテーマによってはスマートフォンで見づらい場合があるため、設定後にモバイル端末での表示確認をしておくと安心です。

まとめ

WordPressのパスワード設定は、目的に応じて適切な方法を選ぶことが重要です。

個別の記事を限定公開したいなら標準機能のパスワード保護、サイト全体をロックしたいならPassword Protectedプラグイン、高いセキュリティが必要ならBasic認証と、段階的に選択肢があります。

どの方法を選ぶにしても、12文字以上の強力なパスワードを設定すること、パスワードの共有方法に気を配ること、そして定期的にパスワードを変更する運用ルールを作ることが、安全な運用の基本です。

まずは標準機能でのパスワード保護から試してみて、必要に応じてプラグインやBasic認証へステップアップしていくのが、もっとも無理のないアプローチではないでしょうか。WordPressの基本操作に慣れている方であれば、ここで紹介したすべての方法を短時間で実装できるはずです。