wp-adminにベーシック認証をかけている場合、Count per Dayに要注意！

WordPressでセキュリティ強化の為に「wp-admin」にベーシック認証をかけている、かつ、キャッシュ系プラグインを使用していて、Count per Dayの設定で「キャッシュプラグインを使用しています。ajaxでこれらの訪問者もカウントします。」にチェックを入れている場合、「Count per Day（3.5.1）」の最新版に注意が必要です！

2016年4月24日前後に、アクセス解析プラグインの「Count per Day」のバージョンが3.5.1になりましたが、最新バージョンにアップデートすると、管理画面以外のページでも、ベーシック認証画面が表示されるようになってしまいます。

つまり、どのページにアクセスしても認証画面が表示されてしまうので、訪問者は鬱陶しくてしかたがない状態です。。。

Count per Dayが原因

リクエストファイルを確認してみると、「/wp-admin/admin-ajax.php」の他に「/wp-admin/?page=cpd_ajax&f=count&cpage=0&time=○○○」というリクエストが見つかりました。「/wp-admin/admin-ajax.php」は以前から存在するリクエストファイルで、こちらは.htaccessで、wp-adminにベーシック認証を設定する際に除外設定をすることで回避できます。

「/wp-admin/?page=cpd_ajax&f=count&cpage=0&time=○○○」に関しては、「Count per Day」の記述のようです。設定でajaxもカウントするようにしている場合に、この記述が追加されてしまうようです。その為、「Count per Day」の設定画面で、「キャッシュプラグインを使用しています。ajaxでこれらの訪問者もカウントします。」のチェックをはずすと、管理画面以外で認証画面が表示されることはなくなりました。

※キャッシュ系プラグインを使用しているかと思いますので、設定を変更したらキャッシュを削除すると反映されます。

また、「/wp-admin/?page=cpd_ajax&f=count&cpage=0&time=○○○」にアクセスしてみると、「wrong request」と表示されます。

Count per Dayを最新のバージョン（3.5.1）にアップデートする前は、このような現象はなかったので、最新版で記述が追加されてしまったのだと思います。

チェックをはずしてしまうと、キャッシュ系プラグインを使用している場合、正常なアクセス解析が出来なくなってしまうと思いますが、次のアップデートが来るまでは、これで様子をみるしかないと思います。

関連記事