ここでは、会員サイト構築に役立つWordPressプラグイン「Theme My Login」で設定可能なモジュールのうち、「Security を有効する」について解説します。
「Theme My Login」のバージョンは 6.4.5 で検証しています。
何を実現するモジュールか?
ログインに関するセキュリティや閲覧制限を設定できるモジュールです。
項目は3つだけなので、設定も簡単。
設定一覧
プライベートサイト
「サイトを閲覧するのにユーザーにログインを要求する」にチェックを入れると、ログインしていなければサイトの各ページを閲覧できないようになります。(ログインしていない場合は、自動でログインページへ移動)
逆に言えば、ここにチェックを入れないとログインせずともサイトの各ページが閲覧できる状態になります。
通常の会員サイトを構築したいなら、ここはチェックを入れるのが普通だと思います。他のケースとしては、例えばサイト内の一部ページのみログイン必須制限を掛けたいような場合、ここにはチェックを入れない事もあります。(その場合は、WordPressテーマをカスタマイズするか、「WP-Members」などの別プラグインを導入することで、どのページにログイン必須制限を掛けるか調整することになります)
プライベートログイン
「wp-login.phpを無効化」とありますが、この wp-login.php とは Theme My Login を利用しない時にWordPressの管理画面へログインする際のページです。
(これ)
Theme My Login を導入していれば、管理者であっても Theme My Login で設定されたログインページが利用されます。wp-login.php はブルートフォースアタック(総当たり攻撃:ユーザー名とパスワードを手当たり次第に入力して不正ログインを狙う悪質な攻撃)で狙われやすいページなので、利用しないならチェックを入れておいた方が良いです。
ログイン試行
これも上のブルートフォースアタックなどを多少防げるようにするためのセキュリティ措置で、短時間に何度もログインが失敗した場合にそのユーザーをロックする仕組みです。
一度ロックされると、ここで設定された時間が経過するまで、正しいユーザー名&パスワードを入力したとしてもログインできないようになります。(ロックの解除は、管理者であればWordPress管理画面の「ユーザー」メニューから手動で行えます)
「●時間(分、日)以内で●回ログイン試行が失敗した後、アカウントは●時間(分、日)ロックされます。」という設定ができますが、あまりにも厳しくする(1分以内に1回失敗したら1日ロック、など)と、正規ユーザーがユーザー名やパスワードを打ち間違えて何度もログイン試行した場合にもロックが掛かってしまうので、多少ゆるめに設定しましょう。
まとめ
以上、ログイン時のセキュリティや閲覧制限に関する設定ができるモジュールのご紹介でした。
ただ、セキュリティに関しては Theme My Login はあくまで最低限の設定しか用意していないので、別途「SiteGuard WP Plugin」などのセキュリティ対策プラグインも合わせて導入するのが良いかと思います。
セキュリティ対策用のWordPressプラグインは、また別の記事でも色々ご紹介したいと思います。
ではでは。