WP投稿の「パスワード保護」の脆弱性について質問

  • 解決済 doumu

    (@doumu)


    15年、 2ヶ月前

    マンション住民を対象にブログを始めようと思っていますが(理事長と住民間の連絡網等に使う。マンション財政困窮のため有料コミュニティサイトは使えない)、ログイン時のID、パスワード設定は知識不足から出来ません。

    URLを変える方法も知識不足で無理。

    各種プラグイン数種試しましたがうまくゆかず(下に追記あり)、仕方なくWP投稿→一般公開→パスワード保護でやることにしました。

    この方法は、「パスワードがレンタルサーバー内のphpファイルに書き込まれていると」いう記事をどこかで読んだような気がしますが、事実でしょうか?
    またその場合、パスワードを隠すとかの方法はあるのでしょうか?

    レンタルサーバーはコアサーバーmini
    .htacceseファイルの扱いはある程度分かります。

    どうぞよろしくお願いいたします。

    追記
    プラグインの内で、Registered Users Onlyはインストール成功し作動できているのですが、ログインIDとパスワードを私自身とマンション住民が同一のものを使うとすると、wp-adminにアクセスされた場合に困る・・・、かといって、wp-admin名を変更するスキルが私にはありません。

4件の返信を表示中 - 1 - 4件目 (全4件中)
  • Heihachiro

    (@heihachiro)

    15年、 2ヶ月前

    記事ごとのパスワード設定や WordPress のログインパスワードはデータベースに書き込まれるのでPHPにはパスワードは記載されませんよ。

    他の例として WordPress の場合、データベースへのログインパスワードが wp-config.php に書き込まれていますが、そもそもPHPファイルの中身をWEB経由で閲覧する事はまともなサーバーなら出来ません。

    他の住人に wp-admin ディレクトリにアクセスされたくなければ、 .htaccess を使ってアクセス制限をすると良いでしょう。

    質問者の方が何をなさりたいのかがいまいちよく解りませんでしたので、質問だけにお答えしましたが、おそらくもっとスマートな方法があるような気がします。特に管理者の方と他の住人が同じログインIDとパスワードを共有するというのは、あまりおすすめできません。

    トピック投稿者 doumu

    (@doumu)

    15年、 2ヶ月前

    質問した動機を改めて詳しく述べますと以下の通りです。

    マンション住民と理事長の私を繋ぐコミュニティ手段として、イントラネット的にウェブサイトを利用しようと思い立ち、住民だけに閲覧とコメント書き込みを許可できる簡便なアクセス制限の方法を探しておりました。

    プラグイン「Registered Users Only」を使う方法では、http://○○○○.jp
    でアクセスしたときに以下の表示が出ます。

    Only registered and logged in users are allowed to view this site. Please log in now.

    ここで、ログインIDとパスワードの入力を求められるので、この方法が良いのではないかと思ったのですが、私(サイト管理者)と住民が同じID,パスワードを使用するので、「wp-admin」ディレクトリーのままだとwordpressの管理画面へも入られてしまうと思い断念しました。(.htacceseでのアクセス制限はやはり私には難しそうです)

    他に良い方法も見つからず、記事ごとにパスワードを設定する方法でやることに決めたのですが、その場合のセキュリティ度がちょっと心配になり質問した次第です。(この場合、煩雑になるのですべての記事に同一のパスワードを設定するつもりです)

    ご回答によれば、記事ごとにパスワード設定の方法でも簡単には破られないようなので、当面、これでいこうと思っています。

    尚、「Registered Users Only」の使用法に対して私の誤解、或いは、違う利用の仕方がある、などの場合には、その点、ご教示頂ければ幸いです。

    この度は有難うございました。

    Heihachiro

    (@heihachiro)

    15年、 2ヶ月前

    なるほどよく解りました。doumuさんの疑問は解決していますが、一応私からの提案を申し上げますので、ご自分のスキルに合わせてご検討ください。

    Registered Users Only というプラグインを使った事はありませんが、WordPress はマルチユーザーに対応していますので、管理者の方と他の住人の方が同じログインIDを使用する必要はないと思われます。管理画面のユーザーメニューから、新たに閲覧のみの権限を持った「購読者」というユーザーアカウントを住人ごとに作れば、上記プラグインと併せて、ご希望に近い環境が構築できるのではないかと思われます。この場合は wp-adminディレクトリをアクセス制限する必要はありません。

    あと WordPress のフォーラムで別の CMS をおすすめするのも変ですが、コミュニティサイト構築に特化した無償の CMS もあります。OpenPNE なんかがそうで、WordPress よりも多少スキルが必要かも知れませんが、コミュニティサイトとしての機能は一通り揃っています。

    もちろん現在検討されている記事毎のパスワード制限が悪いという訳ではありませんので、あくまで提案という形でご理解ください。

    トピック投稿者 doumu

    (@doumu)

    15年、 2ヶ月前

    ご提案感謝します。

    「購読者」での設定は検討はしていたのですが、購読者自身によるパスワードの変更が可能だし、訳が分からなくなる・・・・と選択肢から外していました。
    それは私の勘違いで、マンション住民各自にユーザーアカウントを発行すれば良かったのですね。
     でも、多世帯住民との間のやりとりはいささか荷が重いです。一方的に各人にユーザーアカウント通知するのは現段階ではためらわれるし・・・
    「投稿へのパスワード設定」というやり方について、住民の皆さんからセキュリティ上不満だとかのクレームが出てきた場合などに、将来的な選択肢として残しておこうと思います。
    ・・・・・・・・・・・・・・
    OpenPNEのことは知りませんでした。
    早速、調べて見ましたが、一見、多機能に亘って複雑ですので、マンション住民(高齢者が結構多い)が使いこなせるかどうかの問題もあり、これからよく検討してみます。費用もかからないようですし、マンション住民間コミュニティ構築のツールとして将来的に期待が持てます。

    私がマンション住民に対してサイトを開設する当面の動機は、マンションインターホンの全交換問題等につき「問題提起、関係資料の紹介」のような、一方的情報提供が主なので、まずはWordPressの投稿へのパスワード設定でやってゆくことになりそうです(必要な投稿のみパスワード保護をかけながら)。
     色々と詳細なご教示有難うございました。大変勉強になりました。

4件の返信を表示中 - 1 - 4件目 (全4件中)

トピック「WP投稿の「パスワード保護」の脆弱性について質問」には新たに返信することはできません。

タグ