ウェブサイトには誰でもアクセスして良いページと、特定の人のみアクセスして良いページがあります。特定の人のみアクセスして良いページは、例えばサイト全体を管理する管理画面、CMSだとワードプレスやムーバブルタイプ等の管理画面などが該当しますが、これらの管理画面はIDとパスワードで守られています。
しかし、それで本当に大丈夫でしょうか。例えば通常のログイン認証に加え、Basic認証を挟むなど二重ログインにしたとしても、IDとパスワードが流出しないとは言い切れません。外部からの攻撃によるログイン情報流出が多発している昨今、セキュリティ対策はより一層、重要性を増しています。
という前置きで、「特定のIPアドレスからアクセスした場合にのみページを表示させるためのhtaccessの記述方法」をご紹介します。守るべきページは、IDパスワード以前に、ページを表示させなくしておきましょう、というセキュリティ対策の一環です。htaccessに下記を記述して、守るべきディレクトリに置きましょう。htaccessなので置いたディレクトリ配下全てに有効となります。
.htaccessの記述
order deny,allow deny from all Allow From xxx.xx.x.xxx
「order deny,allow」でdenyから優先して評価するようにし、「deny from all」で全てのアクセスを拒否します。そして「Allow From」で許可する接続元を指定します。「xxx.xx.x.xxx」に、接続する環境のIPアドレスを記述します。
接続元IPを複数指定したい場合は、半角スペースで区切ってIPアドレスを複数記述する事で設定できます。
接続元IPを複数指定する場合
Allow From xxx.xx.x.xxx yyy.yy.y.yyy zzz.zz.z.zzz
こうする事により、指定したIPアドレス以外の環境からアクセスすると403エラーが返り、ページが表示されなくなります。接続する度にIPアドレスが変わってしまっては意味が無いので、もちろん固定IPの環境がある前提での内容となりますが、開発の現場ではよく使う指定ですので、htaccessで特定のIPアドレスからのみアクセスを許可する設定が必要な場合は是非お試し下さい。
