WordPressサイトのHTTP Auth導入でJetpackが引き起こす意外な落とし穴

2025.06.17

はるるるｒ

WEB制作の現場でWordPressを扱う方なら、一度は検討したことがあるのが「BASIC認証（HTTP Auth）」の導入です。
制作中のサイトを外部に見せないため、クライアント限定の確認環境を作るため——その理由は様々です。

しかし、私が先日遭遇したのは、そんな便利なHTTP AuthとJetpackという人気プラグインの間で起きた思わぬ衝突でした。
今日はそのトラブルと解決までの道のりを共有したいと思います。

Contents

1 HTTP Authを導入する理由
2 トラブルはJetpackが原因だった
3 最終的な解決策
4 JetpackとHTTP Authの併用は要注意
5 結論

HTTP Authを導入する理由

WordPressは世界中で利用されている反面、攻撃の標的になりやすいCMSです。
そのため制作途中のサイトやステージング環境を外部にさらさないよう、BASIC認証を使うことは非常に一般的な方法です。

たとえばApacheなら、.htaccessに次のように記述します。

apache

AuthType Basic
AuthName "Restricted Area"
AuthUserFile /path/to/.htpasswd
Require valid-user

この設定を入れることで、WordPressに到達する前にIDとパスワードを入力する「第1の関所」を設けることができます。
特に管理画面やログインページを保護するには非常に効果的です。

トラブルはJetpackが原因だった

今回、私たちが作業していたのは、とある企業サイトのステージング環境。
ログインページをSiteGuard WP PluginでカスタムURLに変更し、さらにBASIC認証を導入して二重の防御を実装していました。

ところがいざ運用を開始してみると、こんな現象が発生。

WordPressにBASIC認証でログイン
管理画面のトップページや投稿一覧などは正常に閲覧可能
プラグイン一覧ページ（/wp-admin/plugins.php）を開くと、再度BASIC認証を求められる
認証を突破しても「500 Internal Server Error」や「接続がリセットされました」になることも

最初は.htaccessの設定ミスかと思い、書き方を見直しました。
しかし、他の管理画面ページは問題なく表示できる。
にもかかわらず、特定のページだけ再度認証が出るのは非常に不可解でした。

Jetpackの仕組みが原因

調べを進めるうちに、原因はJetpackにあることが判明しました。

Jetpackは非常に多機能で、サイト統計、画像CDN、セキュリティ機能などを提供してくれます。
しかし、その裏側ではREST APIやXML-RPCを利用してWordPress.comと通信しています。
この通信が、BASIC認証の壁に阻まれるのです。
Jetpackは管理画面にアクセスしたとき、WordPress.comと認証連携するためにAjaxやREST APIを叩きます。

BASIC認証が設定されていると、APIコールがすべて401 Unauthorizedで弾かれる。

結果、Jetpackは管理画面内でエラーを引き起こし、ページ遷移時に再認証を要求することになる。

実際、プラグイン一覧ページではJetpack関連のAPI通信が多く行われるため、再認証ループが特に顕著に出ていました。