新・元地方の中規模印刷会社で苦悩するWebデザイナー改めWebディレクターの日記

自由な20代、窮屈な30代を経て、遂に40代になっちまったWebディレクター&パソコン講師の覚書と思う言(こと)。略称【ちほちゅう】

*

WordPressの記事(投稿・固定ページ)ごとのパスワード保護はセキュリティの強いサーバーでは動かない

   

  • このエントリーをはてなブックマークに追加

WordPressには記事ごとにパスワードを掛けることのできる便利な機能があります。
この機能が結構便利でして、純粋にパスワードだけ(IDいらない)でフィルタリングできるし、記事ごとに違うパスワードを設定できたりもします。
ただし、これに頼ってばかりだと大変な目にあいかねません。

特に、社内サーバーを持っている会社さんなんかですがセキュリティ対策を個別にしっかり行なっているところほど、動かない可能性があります。
しかも、困ったことに社内においてテストしてもしっかり反映されてしまうんですよね。

WordPressのPASSWORD機能

記事や固定ページ投稿時にこちらで設定できる機能です。

スポンサーリンク
 

実は、WordPressの個別ページ及び投稿のパスワード保護機能はWordPressシステムのログインを司るwp-login.phpを利用しているようなんです。

つまり、そこに不特定多数がアクセスできるようにしておくと無作為に連続でパスワードを入力される等の攻撃を受けかねないわけです。

そこで、WordPressを導入されている会社には結構多いようなのですが、「wp-login.php」には社内のIP及び一部の外注先以外はアクセスすることができなくなっていたんです。

で、結果パスワード入力画面までは遷移するのですがパスワードを入力すると「403 Forbidden」エラーになってしまう。
結論から言うとセキュリティを取るか便利さを取るかの選択となり、結果、ベーシック認証等別の手が使えるWordPressの記事ごとのパスワード保護機能を諦めるという形に収まりました。
ちなみに、解決策としては
  • wp-login.php」にフルアクセスさせる
  • .htaccess等を使って一部のIPは通すようにする

等が考えられますが、前者は社内規定でNG。
後者もホワイトリスト方式ですとかなり狭まれるし、かといってブラックリスト方式ですとイタチごっこになりかねません。

まあ、個人運営のサイトであればぶっちゃけ「wp-login.php」にフルアクセス(初期設定)させちゃって別の手を考えますけどね。
まあ、会社という組織なんで仕方ありません。

以下のサイトが参考になりました。ありがとうございました。

【WordPress】パスワードかけた固定ページに入ろうとしたら403Errorになった

情報源: 【WordPress】パスワードかけた固定ページに入ろうとしたら403Errorになった

 - WordPress, セキュリティ, トラブル , , , ,

アドセンス広告メイン

Comment

Message

メールアドレスが公開されることはありません。

  関連記事

SSL証明書の切り替え、引き継ぎに注意しよう。危険なサイトと判断されPV激減

SSL化早まったかなぁ。。 先日、SSL証明書の期限が1月中で切れるので引き続き …

ガンブラーを広めたのはFFFTPなのか? (2/9追記)

僕も使わせていただいているFTPクライアントソフトのFFFTPに脆弱性があったと …

no image
「Yahoo!ログール」にトラブル!? 表示に時間が掛かりすぎ

昨日ぐらいからこのブログ含め、多くのブログでやけに読み込みに時間がかかるなあと思 …

サブミッションポート詳細

どうも微妙に勘違いしていたようです。 □突然メールが送信できなくなった(サブミッ …

なぜ今? IE(インターネットエクスプローラー)のセキュリティホールが話題になっている(インターネット外において)

なぜか、IEのセキュリティホールの話題をリアルで何人かの人から聞きました。□&n …

「LINE電話」の発信者番号通知は意味なし? 簡単に偽装可能

そんなに難しくはないだろうなぁとは思っていましたがこんなに早く実際やってみる方が …

さくらインターネットはメールアドレスがないと契約できないの?

いやぁ。いまだにこういうクライアントがいるとは。。 というよりも、間に入った営業 …

スマホでスパイウェアに絶対入られない方法

スマホ怖い。 □ アプリ使用を見直した方が良い!? 個人情報が漏れまく …

イージスノヴァ(AEGISNOVA)東京のアノマリーメダルがまだ来ない。Gmailの別アカウントでのチケット購入がまずかった?【INGRESS】

あーあ。 ひょっとするともうこないのかもしれないなぁ。。 実はですね。 アノマリ …

「住信SBIネット銀行」を偽ったフィッシングメール(スパムメール)に注意!

住信SBIネット銀行に口座を持っている方は注意しましょう。 既に、住信SBIネッ …