サポート » テーマ » 会員専用サイト)ログインフォーム埋め込み時のログインロック

  • お世話になります。

    会員専用サイトで、ログインフォームをサイトのトップページに埋め込んでいます。
    デフォルトのログイン画面(wp-login.php)は、一般会員には通知せず、基本的には会員専用サイトの運営者が使うようにします。

    ■質問1:
    一般会員用にトップページに埋め込まれたログインフォームにおいて、ログイン情報の入力を一定回数間違えると、指定期間ログインロックする機能を追加したいのです。
    どのような方法で実現できるでしょうか。
    例えば、ログインに3回失敗すると1時間ログインできない、というような仕組みにしたいです。

    以下のプラグインを試してみたのですが、デフォルトのログイン画面には適用されましたが、トップページに埋め込んだログインフォームには効きませんでした。

    Limit Login Attempts Reloaded

    ■質問2:
    そもそも、ログインロックをかける場合、IPアドレスで制御をかけるという方法になるのでしょうか。
    もしくは、他の方法があるのでしょうか。
    会員の中には、ホームページにアクセスする際、同じIPアドレスの方もいます。
    同じIPアドレス同士でログインロックの影響を与えるのは、良くない気がします。

    すみませんがアドバイスいただければと思います。
    よろしくお願いします。

5件の返信を表示中 - 1 - 5件目 (全5件中)
  • CG

    (@du-bist-der-lenz)

    確認しますが、会員専用サイトなので、ログアウトしている状態で閲覧した時は、ログインフォームは表示しないのですよね。

    CG様

    早速の返信ありがとうございます。

    トップページに埋め込んだ、独自のログインフォームのことでしょうか。
    それでしたら、表示されます。
    未ログイン状態でサイトにアクセスすると、独自ログインフォームだけ表示され、その他の記事や固定ページは非表示になっています。
    ちなみに、デフォルトのログインフォーム(wp-login.php)にも、URLが分かればアクセス出来て、表示はできる状態です。

    ログイン状態では、独自ログアウトボタンだけ表示します。

    すみませんが、よろしくお願いします。

    CG

    (@du-bist-der-lenz)

    「未ログイン状態でサイトにアクセスすると、独自ログインフォームだけ表示され、その他の記事や固定ページは非表示になっています。」からは、完全な会員専用サイトでは無いように、想像しています。
    また、テーマに関した質問にどこから当てはまるか、把握できないでいます。
    質問1からは、プラグインのことかともおもえますが、「ログイン情報の入力を一定回数間違えると、指定期間ログインロックする機能を追加したい」のは、レンタルサーバーのWordPress簡単インストールで同時にインストールされるケースが多い、「SiteGuard WP Plugin」が向いていると判断しましたが、『独自ログインフォーム』が、どういう仕組か全く見当つかないところです。
    そして、質問2とは相反してないでしょうか。どちらを重要な目標においていますか。会員であろうとなかろうと、URLが分かろうがどうが、WordPressはシステム上「wp-login」で容易にログインページになります。「一般会員」が指している対照が、どういうのかもわかりにくいです。トップページが会員登録を兼ねてもいるのなら、わたしなら、会員のランクに応じたログインページを別途案内します。

    CG様

    返信ありがとうございます。
    色々と説明不足で申し訳ございません。

    > 「未ログイン状態でサイトにアクセスすると、独自ログインフォームだけ表示され、その他の記事や固定ページは非表示になっています。」からは、完全な会員専用サイトでは無いように、想像しています。

    おっしゃるとおり、完全な会員専用サイトではありません。
    サイト全体が、外部のネットワークからは遮断されているので、規制がゆるい会員専用サイトです。
    ただ、内部のネットワークからのみのアクセスとなると、アカウントの中には同じIPアドレスの方もいます。
    例えばあるチームの特定の人がパスワードをたくさん間違えてしまった場合、同じチームの人全員に影響を与えてしまうのかな、と思いました。
    この疑問が、質問2に繋がります。

    また、一時的な訪問者のように、内部のネットワークにアクセスできる人でも、アカウントを与えられていない場合があるので、そういった人がいたずらにログインフォームを突破しようとしてきた場合への防止策のために、ログインロックを実装したい状況です。

    > また、テーマに関した質問にどこから当てはまるか、把握できないでいます。
    > 質問1からは、プラグインのことかともおもえますが、「ログイン情報の入力を一定回数間違えると、指定期間ログインロックする機能を追加したい」のは、レンタルサーバーのWordPress簡単インストールで同時にインストールされるケースが多い、「SiteGuard WP Plugin」が向いていると判断しましたが、『独自ログインフォーム』が、どういう仕組か全く見当つかないところです。

    独自ログインフォームとは、ページに埋め込まれたログインフォームのことを指していました。
    具体的には、以下のような記述をしています。

    <form method="post" action="<?php echo wp_login_url() ?>?redirect_to=<?php echo esc_attr($_SERVER['REQUEST_URI']) ?>">
    <p>ユーザー名:<input type="text" name="log" id="login_username" value="" /></p>
    <p>パスワード:<input type="password" name="pwd" id="login_password" value="" /></p>
    <p><input type="submit" value="ログイン" /></p>
    </form>

    > そして、質問2とは相反してないでしょうか。どちらを重要な目標においていますか。会員であろうとなかろうと、URLが分かろうがどうが、WordPressはシステム上「wp-login」で容易にログインページになります。「一般会員」が指している対照が、どういうのかもわかりにくいです。トップページが会員登録を兼ねてもいるのなら、わたしなら、会員のランクに応じたログインページを別途案内します。

    「一般会員」とは、公的には「wp-login」というログインURLを知らされていない人を指していました。
    そのため、おっしゃるとおりWordPressのデフォルトのログインURLを知っている方は容易にデフォルトのログイン画面にたどり着けますが、そこは重要視していません。
    トップページからもログインできるし、「wp-login」からもログインできるが、「wp-login」は公にログイン画面として誘導されていないというだけになります。
    なぜ「wp-login」のログイン画面を使わないのかというと、今までは内部のネットワークにおいてオープンだったサイトを今回会員専用サイトに変更するとのことで、トップページの見た目をなるべく維持するように、という要件があったため、『サイトにアクセスすると「wp-login」にリダイレクトされる』ではなく、『今までの馴染みのあるトップページの一部にログインフォームが設置され、もっと詳しく読みたい方はログインする必要がある』という作りになりました。

    また、SiteGuard WP Plugin を試してみましたが、やはり独自ログインフォームでは効きませんでした。

    長文ですみませんが、よろしくお願いします。

    CG

    (@du-bist-der-lenz)

    やはり独自ログインフォームにこだわりますか。標準の「メタ情報」ウィジェットであれば、SiteGuard WP Pluginが機能しませんか。あるいは、会員専用のログインページへリンクを張り、そちらへ誘導すればログインの権利のある会員だけのカウントと、対象外を振り分けられるでしょう。仲間内にログインフォームを突破するような悪戯者を疑うのであれば。

5件の返信を表示中 - 1 - 5件目 (全5件中)
  • このトピックに返信するにはログインが必要です。