WordPressプラグイン

ユーザー名を隠す Edit Author Slug 設定と使い方【WordPressプラグイン】

2020-07-12

EditAuthorSlug_アイキャッチ

こんにちは、レイです(@Rei_Grand

 

WordPressのセキュリティリスクのひとつとして「ログインユーザー名がバレる」という問題があります。

ユーザー名がバレるとリスト攻撃を受けたり、最悪サイトを乗っ取られる可能性があります。

 

本記事では、何故ユーザー名がバレるのか、また、ユーザーを隠す方法について解説します。

 

この記事で分かること

  • ユーザー名(ログインID)は何故バレるのか
  • ユーザー名を隠す「Edit Author Slug」の効果と使い方
  • ニックネームを変更する方法
  • ログインURLを変更する方法
 

ユーザー名(ログインID)は何故バレるのか

WordPressはデフォルトだと以下のような設定になっています。

・ユーザー名とニックネームが同じ
・「ドメイン名/?author=1」で簡単にユーザー名が判明
・「ドメイン名/wp-admin」で簡単にログイン画面へアクセス可能

 

試しに、「自分のドメイン名/?author=1」へアクセスしてみて下さい。

URLが「自分のドメイン名/author/ユーザー名」となるはず、これでユーザー名は一発でバレますね。

 

さらに、「ドメイン名/wp-admin」とすれば誰でもあなたのログイン画面へアクセスが可能です。 あとはひたすらパスワードを手当たり次第打ち込んで突破すれば「乗っ取り完了」です。

 

パスワードなんてそうそう分かるわけがないと、思うかもしれませんが、仮にパスワードが6桁くらいなら総当たり攻撃、リスト攻撃と呼ばれる方法で簡単に突破されます。

 

結論として、ユーザー名を隠し、ニックネームを変え、さらにログインURLを変更するのは当然のセキュリティ対策と言えます。

 

実際のところ、月間1000PV以下の個人サイトではこうした乗っ取りは起きにくいかもしれません。

ですが、被害にあうのはいつも対策をしていない、わきが甘い人だという事を覚えておいてください。

 

Edit Author Slug の特徴

Edit Author Slugは、投稿者ベースや投稿者アーカイブのユーザー名を変更でき、第3者からユーザー名の特定を防ぐプラグインです。

 

先程の「自分のドメイン名/author/ユーザー名」で言うと

「自分のドメイン名/投稿者ベース/ユーザー名」⇒投稿者アーカイブのURLとなります。

 

これを「自分のドメイン名/任意の文字列/任意の文字列」とすることができます。

 

※ニックネームの変更はWordPressの設定で行うことができるので、後ほど補足します。

 

Edit Author Slug のインストールと有効化

WordPress管理画面から「プラグイン」⇒「新規追加」をクリックします。

右側の検索窓に「Edit Author Slug」と入力し、表示されたら「今すぐインストール」、インストールが終わったら「有効化」ボタンをクリックします。

EditAuthorSlug_インストール

Edit Author Slug - インストール

インストールと有効化が完了したら、次へ進みましょう。

 

Edit Author Slug の設定方法

ニックネーム、投稿者スラッグ(ユーザー名)、投稿者ベースの表示を変更していきます。

 

ニックネーム、投稿者スラッグの変更

EditAuthorSlug_設定_01_あなたのプロフィール

Edit Author Slug - あなたのプロフィール

設定方法

  • 「ユーザー」⇒「あなたのプロフィール」へアクセス
  • ニックネームを入力し、一度設定を保存する
  • ブログ上の表示名から先程のニックネームを選択
  • 下段のEdit Author Slugから投稿者スラッグを変更し、設定を保存する

※投稿者スラッグは、ユーザー名の部分です。

 

投稿者ベースの変更

EditAuthorSlug_設定_02_投稿者ベース

Edit Author Slug - 投稿者ベース

設定方法

  • 「設定」⇒「Edit Author Slug」を選択
  • 投稿者ベースを変更し、設定を保存する

任意の文字列を指定します。

 

Edit Author Slug の使い方

設定が反映されているか、確認します。

ブラウザから「ドメイン名/?author=1」にアクセスして、投稿者アーカイブURL、ニックネームが変わっているか確認しましょう。

EditAuthorSlug_使い方

Edit Author Slug - 設定の反映を確認

 

ログインURLの変更

ログインURLの変更には、以下プラグインがおすすめです。

「Edit Author Slug」と併用することでより強固なセキュリティ対策が施せます。

セキュリティ対策 SiteGuard WP Plugin 設定と使い方【WordPressプラグイン】

 

まとめ:ユーザー名を隠して、総当たり攻撃を事前に回避

ユーザー名がわかってしまえば、後はパスワードだけです。

悪意のあるユーザーは、こういった隙のある人を狙うので、ユーザー名が分からないというだけでも、被害を事前に回避できる確率は高まります。

特にWordPressは、ログインURLを変更しないと誰でもアクセスできてしまう状態なので尚更変えておきましょう。

-WordPressプラグイン
-

© 2020 ReiCodeBlog