WordPressはwp-login.phpのURLを直接叩いてユーザー登録画面に行けるようになっており、設定にも依りますが、外部の人間でも簡単にユーザー登録することが可能です。
会員制サイトのような外部メンバーの登録を許可したり、企業サイトでもメルマガを発行やコメントを設置している場合は対応が変わってくると思いますが、
今回は外部のユーザー登録を許可していないサイトを前提として、自由にユーザー登録できないように対策する方法をまとめました。
一般設定の「メンバーシップ」にチェックを入れると
管理画面の一般設定で「メンバーシップ」に「だれでもユーザー登録ができるようにする」のチェックが入っていれば、ドメイン/wp-login.php?action=registerでアクセスするとこうなります。
ユーザー名とメールアドレスを登録するとパスワードが発行され、ユーザー登録できる仕組みになっています。
ユーザー登録できないようにする
外部の人間をユーザー登録できないようにするには、管理画面の一般設定の「メンバーシップ」の「だれでもユーザー登録ができるようにする」のチェックを外します。ドメイン/wp-login.php?action=register でアクセスし、以下のように
「現在、ユーザー登録はできません」と表示されればOKです。
不正ユーザーの登録を防止するために
個人的にはWordPress でブログやサイトを構築する上で、意図しないユーザー登録を防ぐためにも、この「だれでもユーザー登録ができるようにする」機能は使わないようにしています。また、仮に一般設定の「メンバーシップ」にチェックが入っていても、管理画面(wp-login.php)にベーシック認証を掛けておけば事前にブロックすることができます。
メンバー登録を許可するサイトの場合
メンバー登録を許可する場合は、「新規ユーザーのデフォルト権限グループ」が「購読者」以外の、コンテンツを編集できる権限(編集者など)に設定されていると、不正ログインとサイト改ざんの被害に合う可能性もありますので、サイトの中身、運営方針に合わせて「どのレベルのユーザーに登録してもらうか」をしっかり決めておきましょう。
コメント