wordpress とMembership Pluginを使用してメンバーシップ サイトを構築しています。
サイトはまだ私のローカルホストにあります。私はいくつかのトライアルサインアップを行いましたが、それは完全にうまくいきました. しかし、xyz@gmail.com などの偽のメール アドレスでもサインアップしてアカウントを作成できることに気付きました。それが問題です。サイトを自分のサーバーに移動したときに、これがどのように機能するかわかりません。
しかし、これはセキュリティホールだと思いますか?
そして、これを解決するために何ができますか?
これが私が提案するものです:
登録ページで、ユーザーが登録を完了するために特別なコードを入力する必要があるフィールドを追加し、コードを画像として (または少なくともロボットが簡単に処理できないものとして) 作成します。これにより、ロボットが偽の情報で常に新しいアカウントにサインアップするのを防ぐことができます。
次に、基本的な電子メール検証を実行して、形式が正しいことを確認します。
次に、ユーザーが入力した電子メール アドレスを削除し、ドメイン部分が正しいことを確認します。正しい場合は、サーバーが自動的に新しいアカウント所有者に電子メールを送信し、サイトの特別なセクションに戻るように依頼します。に割り当てられた特別な登録コードを入力して、登録を完了します。
また、データベースの容量を節約するために (登録情報は 1 つに保存されると想定しています)、限られた時間内に登録を完了するようユーザーに依頼します。そうしないと、最初からやり直す必要があります。時間切れの場合は、データベースから関連データを削除できます。期間を少なくとも 1 日に設定することをお勧めします。
これができない場合は、私が説明した機能を備えたより良いプラグインを見つける必要があるかもしれません.
何をするにしても、localhost で Web サイトを操作し、ライブ サーバーでの変更をできるだけ少なくします。これは、ライブサーバーにすべてを一度にアップロードできる場合は、localhost ですべての変更を一度に行うことを意味します。