WEBサイト・ホームページ・新規ページ制作の際に、一度お客様に確認をしてもらうテストページにベーシック認証(基本認証)で「ID・パスワード」がかけられていると、アクセス制限によって「機密情報を扱っています」的な感じでちょっとかっこいいですよね。
もちろん、ただ単にかっこいいからだけでなくちゃんとした理由があります。
閲覧防止にして社外秘を守る
新しいWEBページを「index_test.html」で制作・サーバーアップした時に、URLを直接アドレスバーに入力してしまえば新規ページは見れてしまいます。
そこまで重要な内容のページでなければ気にすることはありませんが、もしIR情報や新商品のページだとかなり大変な問題ですよね。
もし外部に情報が漏れたら、会社の経営に関わる一大事です。それほどの危機感を持つことが大切です。アクセス制限をして閲覧できるユーザーを限定しましょう。
案内メールの誤送信対策にもなる
これはごくまれだと思いますが、お客様にテストページのURLを案内する時に、間違った宛先に送ってしまうことが100%ないとも言い切れません。
人間ですからこういったヒューマンエラーも十分に考えられます。こういったミスから、お客様に迷惑がかからないように、予防策を立てておくことも必要です。
ベーシック認証の設定方法
まずは、「htaccess.txt」ファイルを制作します。下記がベーシック認証の命令文です。
AuthUserFile .htpasswdの場所(サーバーから見たフルパス) AuthGroupFile /dev/null AuthName "ポップアップで表示される文言" AuthType Basic require valid-user <Files ~ "^.(htpasswd|htaccess)$"> deny from all </Files>
301リダイレクトの命令文が記載されたhtaccessと同じファイルで問題ありません。命令文の順番も特に関係ありません。
ベーシック認証をかけたいページが別の階層の場合は、その階層に新たにhtaccessを制作します。
要注意ポイントはサーバーから見たフルパス
「サーバーから見たフルパス」とは、FTPツールのディレクトリではありません。「/web/.htaccess」だとベーシック認証のが動かない場合がほとんどかと思います。
自身の利用しているサーバーによって違うので、レンタルサーバーに問い合わせるかWEBサイトで確認しましょう。
次に「htpasswd.txt」ファイルを制作します。こちらは、暗号化ツールを使って吐き出された文字列をそのままコピペします。
パスワードの暗号化は、にししふぁくとりーさんの「基本認証用パスワード暗号化」などで出来ます。
http://www.nishishi.com/scripts/htpasswd/
ファイル名をそれぞれ「htaccess.txt」と「htpasswd.txt」にしたらサーバーにアップロードして、ファイル名を「.htaccess」に変更をします。
htaccessファイルの設置方法はこちらを参照してください。
お客さんへのID・パスワードはメール本文ではなく、添付の形で教えるといいでしょう。
これも誤送信した時の予防策でもありますし、メールの本文に記載しないことでメールの内容を不正に取得するウィルス対策にもなります。
さらにプラスでやっておくこと
robots.txtも一緒にアップロードするとなお良いでしょう。ファイルを見ようするのは人だけではありません。何もしないと、検索エンジンのクローラーもページを訪問してきます。
まだ公開しないのに、検索結果上位に表示されて、ページを見よとするとベーシック認証がかかっているなんてすっ飛んだ企業だと思われちゃいます。
robots.txtの作り方
テキストエディタに下記の命令文を記述して、ファイル名を「robots.txt」にします。
User-agent: * Disallow: /
ファイルを作成したら、ベーシック認証をかけたディレクトリ階層にそのままアップロードします。こちらはとくにファイル名を変更する必要はありません。
まとめ
自身が利用しているサーバーのコントロールパネルに「アクセス制限」などの項目があれば、ベーシック認証を自動で設定してくれるツールかもしれません。「フルパス」がわかったりするので試しに使ってみるといいでしょう。
日々の簡単な更新なら「index_test.html」のように、テストファイルをアップロードしてお客様に確認してもらうという流れで良いと思いますが、新規サイト、新規ページなどの新しいコンテンツ追加の場合は必ずベーシック認証をかけるようにしましょう。
記事のコメント