サポート » 使い方全般 » ログイン画面をdigest認証にしたが、androidが認証をすり抜ける

ログイン画面をdigest認証にしたが、androidが認証をすり抜ける

  • 解決済 ShiyuuNoda

    (@shiyuunoda)


    9年前

    ログインのセキュリティを少しでも高めたかったので、.htaccessで以下のようにログイン画面をdigest認証にしました。

    AuthUserFile (.htpasswdまでの絶対パス)
AuthName "(.htpasswdで設定したものと同じ名前)"
AuthType    Digest
<Files ~ "(wp-login.php)$">
    Require valid-user
</Files>
<Files ~ "(wp-admin/*)">
    Require valid-user
</Files>

    実際、この方法でログイン画面へアクセスする際にdigest認証のダイアログが出て、正しいパスワードを入力するまではログインできません。
    ですが、何も設定していないWordPressAndroidアプリで普通に記事の投稿などが行えてしまいます。
    これでは意味がない上、どこかこの認証をすり抜ける穴ができてしまっているのかなと思うのですが、何が原因なのでしょうか?

    http://shiyuunoda.wwww.jp/blog/

2件の返信を表示中 - 1 - 2件目 (全2件中)
  • Hinaloe

    (@hnle)

    9年前

    Androidアプリなどはwp-login.php,wp-adminを利用したログインは行っていません。

    では何を使っているのかと言うとxmlrpcです。(リクエスト先は/xmlrpc.phpです)

    ※xmlrpcは記事の取得や更新以外にもpingback等にも利用されるため安易に認証を掛けない方がいいです。

    トピック投稿者 ShiyuuNoda

    (@shiyuunoda)

    8年、 11ヶ月前

    ありがとうございます。
    xmlrpcを使用しているとは知りませんでした。

    個人のブログとして使用しているため、機能がうまく動かないことよりもセキュリティ面の方が心配なので、認証をかけてから問題が発生した際に解決する形を取ろうと思います。

    ありがとうございました。

2件の返信を表示中 - 1 - 2件目 (全2件中)
  • トピック「ログイン画面をdigest認証にしたが、androidが認証をすり抜ける」には新たに返信することはできません。

トピックタグ

表示