フォーラムへの返信

15件の返信を表示中 - 1 - 15件目 (全88件中)
  • スレッド開始 charinchi

    (@charinchi)

    色々と教えてくださり感謝です。
    おこないたいのは偏重するのではなくバランスを取りたいです。
    不正な第三者からの突破を防ぎつつ、ログイン権利のあるX社のユーザAさんが10回ログインをミスしても、同じ会社のユーザーBさんはその影響を受けずに10回まではログインミスしても大丈夫な状態を作りたいです。
    ユーザーにITにうとい方も少なくないのでID・パスワードを忘れてしまい、ちょくちょくログインロックがかかります。
    一人がログインロックされたからといって、同じ企業の別人まで正常なID・パスワードでログインしたのにそれでもロックがかかる、という仕様にはしたくないです。
    人が少ないため、復旧連絡を受けて人が手動で復旧作業をする、ということも取りたくない状況です。

    プログラミング初心者のため、このプラグインでも、違うプラグインでも良いので、簡単にデバイスごとでログインロックがかけられる方法があればと思っておりました。
    お手数お掛けして申し訳有りません。

    スレッド開始 charinchi

    (@charinchi)

    他の仕事にかかりきりになりご返答が遅くなりました。済みません。
    書かれていることは高度過ぎて理解できません。済みません。

    X社のAさんがログイン時のIDかパスワードを10回も間違えたら、その人はさすがにロックされてもしかたないのでOKなのですが、同じX社のBさんがはじめてログインする際に、Bさんの正しいID・パスワードでログインしても、「ロックかかってるからあと何時間後にしかログインできない」と動作されてはたまったものではないので、ロックまでの回数がカウントされるのはあくまでも同一デバイスにしたいです。
    そのやり方があると嬉しいです。

    たとえ、悪意ある第三者のZさんがパソコンAを使ってログインしようと試みて10回ログインを失敗して、同じZさんが今度はパソコンBを使ってログインしようと試みて10回ログインを失敗して、という具合になれば、数十台くらいデバイスを変えたくらいではログインを突破することはできるはずがないので。

    ブルートフォースアタックはものすごい文字列パターンの数を自動的に繰り返してログインを突破するものですので、デバイスを何十台変えた程度では突破できないですから、ひとつのデバイスで10回ログインをミスったらロックがかかる方式にしたいです。
    もしご存知でしたら宜しくお願い致します。

    • この返信は4ヶ月、 3週前にcharinchiが編集しました。
    スレッド開始 charinchi

    (@charinchi)

    本スレッド、解決済みに致します。

    スレッド開始 charinchi

    (@charinchi)

    @wildworks さま
    重ねてのアドバイス、有難う御座います。
    サイトにはブロック限定の表現がなかったので、問題の領域を確定することができないものなのか?・・・と、手の打ちようのなさに失望していたのですが、そうですか、そういうことだったのですか。
    こんなすごいかたもおられるのだな、とアドバイスの内容に感じ入ってしまいました。
    本当に有難う御座いました!

    スレッド開始 charinchi

    (@charinchi)

    @wildworks
    素晴らし過ぎるアドバイス有難う御座います。感動致しました・・・。

    二点質問なのですが、

    一度壊れたら戻せないとのことで、「壊れる」というのが危機感を覚えるのですが、
    「このブロックには、想定されていないか無効なコンテンツが含まれています。」の画面で、
    「解決」をクリックするとブロックが「壊れる」とのことで、
    壊れたら困ると思うのが素人の感覚で、メッセージも「想定されていない無効のコンテンツ」と書かれてあるものですから、「このままではいけない。直さなければならない」と思っていたのです。

    しかし、ご回答を拝見していると、どうやらHTMLソースが壊れているわけではなく、完全なHTML記述しかやる方法がないよ、というだけなのでしょうか。
    おっしゃるとおり、検索していると「ブロックが壊れる」と書いてあるため、直さなきゃと思ってしまいますが、要は「ブロックが分解される。一度分解されると分解前の状態である”ブロック”には戻せないよ」ということでしょうか。

    次に、新規でカスタムHTMLブロックを追加するか、参考サイトに記載されているように「HTMLに変換」のどちらかを行ってみて下さい。とのことですが、
    ブロックで動画を仕込んで、そのあとにHTMLモードにしてソースを仕込んだら、「HTMLへ変換」が出て来るので、その流れでHTML型にしていました。でもこの行為は「ブロックを壊す」行為なので、「カスタムHTMLブロック」を最初から選択して作成するのとは違うものと思っていました。
    「ブロック」と名がついているから、ブロックが壊れていないHTMLモードなのだと思うからです。
    しかし、実は、「HTMLに変換」したあとの状態も、「カスタムHTMLブロック」と同じことだった、ということでしょうか。

    アタマがごちゃごちゃになっており、変な質問になっていたら済みません。
    宜しくお願い致します。

    スレッド開始 charinchi

    (@charinchi)

    @jp-secure
    大変ご無沙汰しております。
    SiteGuard WP Pluginをプラグインの無効化したときは設定した内容は削除しないで残しておくようにして、再びプラグインを有効化したときにその設定がそのまま使えるようにして、プラグインの削除時になってはじめて設定を削除するという例の改修ですが、もしかしてすでに実装されましたでしょうか。
    実装されていれば SiteGuard WP Plugin をインストールして使いたいと思いましてお尋ね致しました。
    宜しくお願い致します。

    フォーラム: 使い方全般
    返信が含まれるトピック: 公開中HPを新たにWPで作り直す作業について

    こんにちは。
    そうですね。WordPressのインストールは、ドメイン直下ではなくて、ひとつサブディレクトリを作って、そこにインストールしておきます。ドメイン直下にインストールする場合よりも良いことが多いので、そうするのが良いと思います。

    WordPressのデータはサブディレクトリにインストールされたままで、公開時にはドメイン直下のURLでサイトを表示させることができます。少々の作業をするだけでできますよ。

    スレッド開始 charinchi

    (@charinchi)

    @jp-secure さま
    有難う御座います。自身での改修はプログラミング初心者からするとかなりハードルが高いと思いますが、休日に調べたいと思っております。
    また、実は他にもログインURL変更機能でうまくいかないことがありまして、そちらは別スレッドで投稿致します。よろしければアドバイス頂けますと助かります。

    スレッド開始 charinchi

    (@charinchi)

    @jp-secure さま、バラバラと投稿して済みません。
    もうひとつ、SiteGuard WP PluginのログインURL変更機能で良いな!と思っていることがあり、どうしてもお伝えしておきたく投稿いたします。
    もしかしたら、開発者なら当然のことです、と言われるかも知れませんが。

    WordPressでユーザーの登録やパスワードリセット・メールアドレス変更などをしたときに、WordPressで自動送信されるいくつかのメールがありますが、嬉しいことに、SiteGuard WP PluginのログインURL変更機能を使用してURL名を独自のものにしても、
    例えばパスワードリセットURLの場合であれば、

    $message .= network_site_url( "wp-login.php?action=lostpassword", 'login_post' ) . "\r\n";

    と、純正状態と変わらないカスタマイズ記述を子テーマのfunctions.phpへおこないさえすれば、
    実際のメールに、ちゃんと変更したログインURLが自動生成され、リンクをクリックすると正常に動作するのです。これは本当に助かりました。

    WordPressの純正の自動送信メールの文章やタイトルは使えたものではないので、どうしてもカスタマイズが必要ですので本当に助かる仕様です。

    • この返信は12ヶ月前にcharinchiが編集しました。
    • この返信は12ヶ月前にcharinchiが編集しました。
    • この返信は12ヶ月前にcharinchiが編集しました。
    スレッド開始 charinchi

    (@charinchi)

    @jp-secure さま、お返事有難う御座います。
    改修ができたときにはぜひとも使用させて頂きたいです。
    引き続き宜しくお願い致します!

    1点お尋ねですが、改修をお待ちしている間に、SiteGuard WP PluginのPHPソースを自分で加工して、SiteGuard WP Pluginのダッシュボードの「設定状況」の直下にでも、「設定を保存する」というボタンを設けて、それをクリックすると設定が保存される、というようなことはできるものでしょうか。

    そういったボタンを押すことも無く勝手に保存されるのが改修後の姿だとは思いますが、もし今のバージョンに自分でソースを書き込むとできたりするのだろうか?と思ったもので。
    当然、SiteGuard WP Pluginがバージョンアップされてアップデートされるとこのソースは消えてしまうと思うので、アップデートしたら再度記述を追加して維持しないといけませんが。
    DBを使わず、WordPress本体のように、このプラグインのconfig.phpファイルなどに記述するとかできたら良いなと思ったものでして。

    おそらくプログラミング初心者にできることではないのかな、と思いながらもお尋ねしてみました。済みません。宜しくお願いいたします。

    • この返信は12ヶ月前にcharinchiが編集しました。
    スレッド開始 charinchi

    (@charinchi)

    @jp-secure さま、お返事有難う御座います。
    文章からするとなんとこのプラグイン、SiteGuard WP Pluginの開発元の方だと理解致しました。
    私が投稿したあとに色んな方々がご投稿くださり、さらに開発元の @jp-secure さまが加わってくださり、「確かに今は無効化時に設定を削除するけど、削除しないように検討する」との投稿を拝見いたしました。
    設定を削除する仕様には特段の理由はないとのことですので、それでしたらぜひとも無効化→有効化をしたときは登録した設定内容は維持していただき、プラグインを削除したなら削除される、という仕様になると大変助かります。
    逆に、これが達成されればこのプラグインはすでに良い機能が複数搭載されていますのでド定番プラグインになるのではないかという印象です。

    まず素晴らしいのは、ログインURL変更機能があることです。何故ならWordPressのログインURLが純正ですと悪質な外部者から簡単に推測されてブルートフォースされてしまいます。サーバのWAFの履歴を見ると公開URL+ログインURLや、その他のWordPressのファイル名の組み合わせでバンバンアクセスがあっています。
    さらに、URL名が任意の文字列だけに出来ることが良いです。なぜなら、同じ機能のプラグインは他にもありますが、「wp-login.php?独自文字列」という指定しかできないものが多いです。
    「ハイフン」や「ドット」や「拡張子名」がごちゃごちゃと入ったURL名はユーザーが覚えられず、いちいち「ログインURLどこだったかな」となりがちです。ブックマーク登録するのさえ、色んなWebサービスをこの頃のユーザーは使用しており、いちいち全てをブックマークすることすら面倒に感じられます。ひとつだけ指定文字列のみのプラグインもありましたが、それはこの機能しかありませんし、あと、機能が不全でした。
    もちろん、外部者がSiteGuard WP Pluginの弱点を突いてログインURLを抜き取られるようですといけませんが、そのようなことがない限り、これは本当に素晴らしい機能だと思っております。

    そしてログイン画面にひらがな4文字などの入力項目を追加できる機能も良いです。この程度の入力項目追加ならセキュリティ向上のためなら我慢できる、というのがユーザーの声でした。

    他にも良い機能が搭載されており、SiteGuard WP Pluginはできれば使いたいと思っておりますし、
    WordPressフォーラムに積極的にご参加いただき改善に耳を傾けて頂けることをみて、さらにこの気持ちは強まっております。
    何卒宜しくお願いいたします。

    • この返信は12ヶ月前にcharinchiが編集しました。
    スレッド開始 charinchi

    (@charinchi)

    @gblsm さま、とてもためになるアドバイスをしていただいて感謝いたします。
    また、私でも何とかわかるところまで降りてきて書いてくださっていることが伝わってきました。
    色々と「なるほど。わかりやすい」と思うところがありました。

    最初の六行は問題ないとのことですか、まことにありがとうございます。
    一応あちこち調べていて、書き方として共通しているようでしたが自信が持てなくて助かりました。PHPを勉強し始めておりますが、教材が悪いのか、「何をどう考えて組み立てて記述すればよいのか?」がいまひとつわからない状態が続いております。もっと学習いたします。

    それにしても、WordPressには純正状態で自動送信メールの内容をダッシュボード上で編集できるようにしてもらいたいです(笑)
    メールの文章がリリース初期のブログ思想のままになっていて、もはやWordPressは企業のコーポレートサイトや顧客サイトとして沢山利用されているのですから、あのような文章が送られてきても困るところでして・・・汗; プラグインはWordPress本体のバージョンアップに伴って使用できなくなることもしばしばですので、ここは純正で頑張って欲しいです。頑張って欲しいなぁ・・・(笑)

    ご説明のおかげで考え方が少しわかった気が致します。
    例えばフィルターの意味のところなど、大変にわかりやすいです。
    お示しのWordPressのUSサイトに関数名が決められていたり、パラメータが決められていたりしたのがわかり、こういうことが知りたかったです。
    実は自分も質問後に色々調べていて、お示しのUSのページがいくつかあるのを私も知りまして、それによってさらに驚いたことがわかりました。
    自動送信メールのタイプによって、記述ルールが違うそうなんです。自動送信メールAはこう記述する決まりだが、別の自動送信メールBはAの記述は使えず、別の記述ルールが存在する、などです。
    事情があるのでしょうが、何とか記述ルールを統一して欲しいと思ってしまいました。
    自動送信メールの内容をちゃんとした文章にするだけでこんなに手間がかかるのか、という印象です。
    でもおかげさまでだいぶわかってきました。重ねて御礼申し上げます。
    今後ともなにとぞ宜しくお願いいたします。

    スレッド開始 charinchi

    (@charinchi)

    @aoixtreme さま、再度のお返事ありがとうございます。
    モデレータのチェックを受けて保留されることもあるのですね。せっかく教えて頂いた内容があるのに読むことができず済みません。
    追加でお示しいただいたページは私も見つけて採用する箇所しない箇所の選別をした記憶が御座います。でも教えて頂いてありがとうございます。重ねて御礼申し上げます。今後とも宜しくお願い致します。

    スレッド開始 charinchi

    (@charinchi)

    @ounziw さま、お返事いただきまして誠にありがとうございます。
    拝見しましたが、プラグインを有効化してこのプラグインの機能をあれこれONにして、それぞれ選択できたり文字列を自分で入れて登録したりするわけですが、そういった自分がおこなった設定の内容が、このプラグインは一度無効化してしまうと、再び有効化したときに、なんと、設定した内容がすべて消えてしまっていたのです。
    このプラグインがhtaccessへ自動記述することも調べて理解して使用しておりますが、私はhtaccessは何もいじっておりません。
    設定が消えないようにこのプラグインをいじることでそうならないようにできないものだろうかと考えております。
    設定が消えてしまってはたまったものではないですし、さらに、ログインURLの変更機能を使っていたら、今回のようにユーザーがサイトへログインしようとしたとき、ログイン画面が表示されなくなりますので致命的なので・・・。
    このようなプラグインは利用しないと決めれば良いのかも知れませんが、機能は良いものが色々とあるのです。良いものだとおもうのです。

    • この返信は12ヶ月前にcharinchiが編集しました。
    スレッド開始 charinchi

    (@charinchi)

    @ishitaka さま、いつもありがとうございます。
    お返事を見落としておりました。日本人が作られたプラグインとのことで大変興味があります。
    今回、サイト移転するのでパスワードは改めてリセットして頂くことに路線変更したので取り急ぎ解決みたくなっていたのですが、このプラグインは試してみます。とても良い情報有難う御座います。

15件の返信を表示中 - 1 - 15件目 (全88件中)