一般ユーザーのログイン管理

  • 解決済 syntaro

    (@syntarou)


    1年、 1ヶ月前

    こんにちは、いつもお世話になっています。吉田です。

    質問なのですが、AjaxNonceとログインを、一般ユーザーでもつかいたいと思っています。その場合、一般ユーザー用のログインURLでは、一般ユーザーのログインと登録が可能で、管理ユーザー用のログインURLでは、開発者が管理画面にログイン可能としたいです。逆を不可能にしたいです。

    この場合、WordPressのログイン機能を使わないという選択も可能だと思いますが、多く使われているプラグインなどはございますでしょうか。

    自分で実装した場合、セキュリティとかどうなのか?と心配になっています。お金は発生しないサイトではありますが。

    以上よろしくお願いします。

    WordPressは最新を使っています。

    WindowsSubsystemForLinux 2の上でLocalHostで動作させています。本番は、Xserverの上に作ります。

    • このトピックはsyntaroが1年、 1ヶ月前に変更しました。
4件の返信を表示中 - 1 - 4件目 (全4件中)
  • dai-chan

    (@usinosuke)

    1年前

    こちらですが、一般ユーザー用のログインURLと、管理ユーザー用のログインURLを分けることは、要件的には必須でしょうか?
    一般ユーザーと管理ユーザーのログイン画面が同一のURLでも問題なければ、一般ユーザーを「購読者」として管理し、管理ユーザーを「管理者」として権限を分けることで実現できるかと思います。

    設定画面の「メンバーシップ」の「 だれでもユーザー登録ができるようにする」のチェックを入れて、
    「新規ユーザーのデフォルト権限グループ」を「購読者」にしておくと、ログイン画面から「購読者」の権限のユーザの作成が可能になります。
    ログイン画面から「購読者」のアカウントでログインを行うと、自分のプロフィール以外が編集できない管理画面が表示されます。
    同じログイン画面から「管理者」のアカウントでログインを行えば、通常の記事の投稿やWordPressの設定変更が可能な管理画面が表示されます。

    • この返信は1年前にdai-chanが編集しました。
    トピック投稿者 syntaro

    (@syntarou)

    1年前

    こんにちは、なるほど。

    それも、少しだけ考えたのですが、以下の要件で、却下となっています。

    ・ログインURLは、プラグインで変更していて、いわゆる攻撃に耐えるようにしようと思っています。

    そこでですが、2ファクターを一部のユーザーだけ有効にするということも考えられますね。(可能であるかまだ不明ですが。

    みなさんは、2ファクターは有効にされていますか?

    モデレーター Yukinobu Asakawa

    (@yukinobu)

    1年前

    こんにちは。
    例えば、「Two Factor Authentication」というプラグインの場合、管理画面上でユーザーロール毎に2要素認証を利用するかを選択できるようです。

    私はこのプラグインを常用していないので、バックアップを取った上で検証環境などで確認の上、ご利用いただきたいのですが、「一部のユーザーにだけ2要素認証を有効にする」というご希望が合致していれば、プラグインを使うことで解決できそうです。
    何が申し上げたいのかといえば、2要素認証の対象ユーザーと非対象のユーザーのがロールではっきり区別できるかということです。

    Two Factor Authentication
    https://ja.wordpress.org/plugins/two-factor-authentication/

    トピック投稿者 syntaro

    (@syntarou)

    1年前

    こんにちは。お返事遅れましたが、

    ハイレベルセキュリティーは、不必要なログインですので、URLを変えて自分で実装することにします。
    もうひとつ管理画面と、ユーザー画面で、データベース以外は共有しないというアプローチもできると思います。

    どうもありがとうございました。

4件の返信を表示中 - 1 - 4件目 (全4件中)
  • トピック「一般ユーザーのログイン管理」には新たに返信することはできません。