はじめに
WordPressサイトの管理者として、ユーザーが自由に登録できる状態ではセキュリティ上のリスクが高まります。そのような場合、ユーザーが登録後、管理者による事前承認が必要な設定を導入することで、不必要なユーザーの登録を防ぎ、サイトの安全性と管理性を向上させることができます。
症状・背景
このテーマが必要になる主な場面:
- サイトの安全性を高める必要がある場合
- 新規ユーザーが自動的に承認されるのではなく、管理者によるレビューが必要な場合
- 不特定多数からの登録を抑制したい場合
- ユーザーの質を保つため、事前にチェックを行いたい場合
手順・設定方法
ステップ1: ユーザーレジストレーションプラグインの導入と設定
# WordPress管理者画面にログインする
wp-admin
# プラグインリストで「User Registration」を検索し、インストールおよび有効化
/wp-admin/plugins.php?page=plugin-install&tab=search&s=user+registration
# 「User Registration」の設定ページを開く
/wp-admin/admin.php?page=user_registration
# 「新規ユーザー承認の要求」というオプションで「管理者による承認が必要」とするステップ2: コア機能でのユーザーアクティベーションメールのカスタマイズ
# WordPressのwp-config.phpファイルを開く
nano /var/www/html/wp-config.php
# 「CUSTOM_USER_ACTIVATION_EMAIL」を定義し、カスタムアクティベーションURLとメッセージを設定する
define('CUSTOM_USER_ACTIVATION_EMAIL', 'yes');ステップ3: ロールベースのアクセス制御(RBAC)プラグインを使用したユーザー役割の細分化
# RBACプラグイン「User Role Editor」をインストールおよび有効化
/wp-admin/plugins.php?page=plugin-install&tab=search&s=user+role+editor
# 「User Role Editor」の設定ページから新規ロールを作成し、必要な権限のみ付与する
/wp-admin/admin.php?page=user-role-editorステップ4: ユーザー登録ログとアクティベーション状況を監視・記録
# WP Activity Logプラグインを使用してユーザーのアクション履歴を保存
/wp-admin/plugins.php?page=plugin-install&tab=search&s=activity+log
# 「WP Activity Log」の設定ページで「ユーザー登録」「承認状態変更」などのイベントログ記録を行う注意事項
- 安全性と管理性を重視するため、必ず管理者によるユーザー承認が必要な場合にのみこの機能を使用すること。
- ユーザーがアクティベーションメールを受け取らない場合は、メール設定やスパムフィルターの確認を行うこと。
- RBACプラグインにより細かいアクセス制御を行えるが、複雑になりすぎると管理が難しくなるため注意が必要。
まとめ
1. ユーザー登録の安全性向上: 管理者による事前承認を導入することで、不特定多数からの登録を抑制し、サイトの安全を確保します。
2. ユーザーロールの細分化: RBACプラグインを使用してユーザー権限を適切に分けることで、管理性と効率性が向上します。
3. アクティベーションメールのカスタマイズ: WordPressコア機能でのメール設定を変更することで、より親密なユーザー体験を提供できます。
4. ユーザー登録状況の監視: ユーザー登録状況やアクション履歴を追跡・記録することで、サイト管理が容易になります。
5. 適切なセキュリティ設定: 管理者による承認が必要な場合にのみこの機能を使用し、メール送信の確認なども行うことで、安全性と運用効率性を両立させます。
関連記事: