投稿者名をニックネームに変更するだけでは、ログイン認証に使用するユーザー名は丸裸…。
ワードプレスの投稿者アーカイブに対策をされていない方は、実際にログイン認証で使用しているユーザー名がURLの末尾にデフォルトで入り込んでいるため、投稿者アーカイブにかかるリンクから下記のURLに飛ぶとユーザー名が外からわかってしまう状態にある。
投稿者アーカイブのデフォルト表示 |
http://サイトURL( ドメイン )/author/ユーザー名 |
ログイン認証画面URL: |
http:// サイトのURL / ( ファイルを配置したディレクトリ ) / wp-login.php |
http:// サイトのURL / ( ファイルを配置したディレクトリ ) / wp-admin/ |
投稿者アーカイブがデフォルトでむき出しになるテーマでは、対策をしていないとログイン認証画面とユーザー名が外から推測できる状態にあるため、加えてログイン認証画面に何のプロテクションもかけていないとなれば、これはパスワードさえわかれば管理画面( ダッシュボード )まで突破されることを意味する。
ブルートフォースアタックを受けている(ほぼ受けています)とすれば非常に危険な状態なので、今すぐ対策しておこう。
Edit Author Slug プラグインとは
Edit Author Slug は投稿者アーカイブに表示される投稿者スラッグの値を任意に変更できるプラグインである。
セキュリティ対策のひとつとして、ワードプレスのユーザー名は外部には分からない、推測されない名前にしておくことが望ましいが、デフォルトのままではユーザー名の手掛かりが外に出てしまっているケースが大半である。
このプラグインを導入することで、投稿者スラッグを任意の値( 文字列 )に変更し、実際のユーザー名を追跡できないようにすることが可能になる。
ここでは Edit Author Slug プラグインのインストールと使い方について解説していくが、特に難しい設定はない。対策がまだの方は今すぐ導入しておくことをおすすめする。
Edit Author Slug プラグインのインストール手順
インストール: 管理画面 > プラグイン > 新規追加 > Edit Author Slug
ダウンロード: WordPress.orgからダウンロード
1. プラグインの新規追加から、右上の検索窓に「Edit Author Slug」を入力しEnterをクリック。
2. プラグインの作者が「Brandon Allen」であることを確認後、「いますぐインストール」をクリック。
3. 「プラグインの有効化」をクリック。
有効化が完了したら次に設定。その前にプロフィールページで表示方法の設定を済ませておく必要がある。投稿者スラッグのニックネームおよび表示名を反映させる場合は、事前に設定が完了している必要があるからだ。
4. 管理画面 > ユーザー > あなたのプロフィール
表示名を変更するためにニックネームを作成する。「ブログ上の表示名」を実際のユーザー名からニックネームに変更し、ニックネームが決まったらこのページの最下部までスクロールする。ここでは、ニックネームを access にする。
ページ最下部に「Author Slug」の項目が追加されている。
5. 投稿者スラッグ表示に使用する文字列を選択。
上が実際のユーザー名、中央が表示名、下がカスタムとなっている。
カスタム( まったく別の文字列 )を表示させる場合は、その値を入力しよう。上または中央のラジオボタンを選択した場合は、自動で「Custom」欄にその値が表示される。
「プロフィールを更新」をクリックしてこのページの設定は完了である。
Edit Author Slug の設定
6. 設定 > Edit Author Slug をクリックして設定画面に移動。
投稿者表示は「author」がデフォルトで設定されている。こちらも任意の文字列に変更できるようになっている。お好みで変更が可能。チェックボックスを選択し、投稿者スラッグの表示を選択しよう。
プロフィール編集画面のAuthor Slugで「Custom」を選択し、任意の文字列を使用している場合はこのページのチェックは不要である。
投稿者表示の「author」もデフォルトのまま使用する場合は、このページで触る場所は特にない。
まとめ
今回の解説は、権限グループを管理者に限定している。
「投稿者」「編集者」それぞれにも反映させる場合は、投稿者表示( author:デフォルト )の下にあるチェックボックスをオンにすると、さらに細かい設定が可能。
セキュリティ対策のひとつとして導入しておきたいプラグインといえる。
コメント
この記事へのトラックバックはありません。
この記事へのコメントはありません。