サポート » 使い方全般 » 会員登録:管理画面とセキュリティ

  • お世話になっています。
    運営しているサイトで、一般読者なら誰でも自由に会員登録してもらい、投稿者権限まで与えて記事を書いたり画像を登録してもらいたいと思います。が、権限設定するとは言え、不特定多数の人に管理画面を見せるのにセキュリティ上の問題が出たりハッキングされたりしないかちょっと不安です。ワードプレスはセキュリティが甘いとよく言われますが、自分では検討がつきません。社内イントラネットでこういう使い方をされている例はたまにあるようですが。
    どなたかご教授いただければ幸いです。どうぞ宜しくお願い致します。

5件の返信を表示中 - 1 - 5件目 (全5件中)
  • ワードプレスはセキュリティが甘いとよく言われますが

    そうなんですか?誰でしょうねそんなこと言ってる人は。ハッキングに成功した人でもいるんですかね?

    なんて、余計なことは置いておいて。

    WordBenchでは誰でもユーザー登録ができ、すばらしいコミュニティーが出来上がっています。ぜひkamiyさんも登録しWordBench勉強会に参加してみてください!

    日本のWordCampでもWordPressのユーザー登録を利用した参加登録を行っているサイトの例がたくさんあります。今回のWordCamp Fukuoka 2011でも参加登録はWordPressの管理画面です。ダッシュボードもちゃんと見れますよ。

    これだけの実用例があっても不安ですか?

    ただし、自由に投稿できるということは、どんな内容(スパム)でも投稿できる、かつ、設定しだいでは機械的な登録も許してしまうということです。そのあたりはきちんと検証してから公開するようにしましょう;)

    こんにちは、

    ご計画中のWEBサイトを、何のカスタマイズも行わないで、運営されることは、多分ないだろうと思います。

    テーマファイルをカスタマイズしたり、インストールしたり、プラグインを導入したりすること思いますが、例えば、テーマをデザインだけで選んだり、サードパーティのプラグインを、何のためらいもなくインストールしたりすれば、セキュリティの問題が出るかもしれないです。

    ワードプレスにも、セキュリティの問題はあると思いますが、そういうことよりも、サーバの設定やテーマやプラグインの選定や、カスタマイズの方法などが、激しいセキュリティリスクになる事のほうが多数だと思います。

    ワードプレスはセキュリティが甘いとよく言われます

    「ワードプレスなんか使ってるから、そうなっちゃうんだよ。」
    「ワードプレスで実現してしまったよ。アイツ。」

    運営する人次第で、どちらにも転ぶ可能性があると思います。

    甘く使うかどうかは、運営者の考え次第ではないでしょうか

    トピック投稿者 kamiy

    (@kamiy)

     >shokun0803さん

     早速登録してみました!なるほど、確かにそういう作りになっていますね、素晴らしいです。しかし、やっぱり然るべき対策を採られているのでしょうか。
    ついこないだ、WP2.84で構築していた知り合いの会社のサイトが、ユーザー登録などは特に設置してなかったのですがハッキングされてアダルトサイドにリダイレクトされるようになってしまったのを見て、ちょっと怖いなぁと思った次第です。なので、こんな私のショボサイトでもとりあえず常に最新バージョンにアップデートしておく必要があるなと。
    投稿は自由にできるようにしても、公開権限までは持たせないようにしておこうと思うのですが、これで歯止めはかかるものなのでしょうかね?投稿しちゃったらデータベースに入るので、悪意あるファイルなんかをアップロードされたら意味がないのでは、という気もしてよく分からないです。。

     >nobitaさん
    サジェスチョン大変ありがとうございます。はい、twentytenをベースにコードも本を片手にカスタマイズ中です。子テーマで作成し、親テーマは常に最新のにバージョンアップしておこうと思います。サーバーはヘテムル、プラグインはワードプレス管理画面からダウンロードできるものだけを使用しております。無知な私にはとりあえずこの程度の対策しか思い浮かばないのですが、以上でどんなものでしょうか。

    WordPressだろうが、Windowsだろうが、アップデートをしなければセキュリティが保てないのは当たり前のことですね、それができないならWebの管理者なんてできません。

    のび太さんのおっしゃる得体の知れないプラグインの導入がセキュリティの問題を招くというのも実に重要です。フッター部分に暗号化したコードを載せているテーマなどよく見ます。また、有名なプラグインでも使い方を間違えるとセキュリティを落としますね。

    で、権限をどうこうするプラグインもありますので、公開するのであれば権限を細かく見直すことも必要かと思います。当方は自作のプラグインで承認されるまで公開ができない&公開後に修正を加えると未承認になって非公開になるなどの工夫はしています。

    こんにちは

    無知な私にはとりあえずこの程度の対策しか思い浮かばないのですが、以上でどんなものでしょうか。

    謙遜しすぎです。

    「問題は、全部つぶした」と思っているところにやってくると思います。

    チャイルドテーマも、style.css + どんなファイル編成でも作ることができます。

    それは、オリジナルのテーマと変わらない事になります。

    例えば、タイトルのないエントリを書く人がいてもシングルページへのリンクが切れない方法として、日付にパーマリンクがついているわけですが、タイトルがない時には、代替文字を準備するとか、

    チャイルドテーマページで、the_content()内のフロートがクリアできているかとか、

    twentyten使っているから大丈夫というだけでなく、検証しておいたほうがいいと思います。

    WordPressのデべロッパ用のプラグインなどを使って自分のサイトを評価してみるのもひとつの方法だと思います。

    http://wpdocs.sourceforge.jp/%E3%83%97%E3%83%A9%E3%82%B0%E3%82%A4%E3%83%B3:Theme-Check

    http://wpdocs.sourceforge.jp/Theme_Review

5件の返信を表示中 - 1 - 5件目 (全5件中)
  • トピック「会員登録:管理画面とセキュリティ」には新たに返信することはできません。