Wordpress

WordPressで始めにするセキュリティ対策。ログインユーザー名がバレる!「/?author=1」は恐怖のリダイレクト

WordPressを使ってサイトを作成する際にまず最初に確認しておきたいセキュリティー対策の基本のキ!何も対策していないと簡単にログイン情報の一つである「ユーザー名」がバレちゃうかも...

第三者にユーザー名が分かると、残りはパスワードだけ合えば簡単に不正ログインされてしまうという標準だと思えないWordpressの恐ろしい仕様。
「サイトURL/?author=1」という悪魔のクエリ文字列を対策しました。
functions.phpを編集する方法もありますが、今回はプラグインを使用して実装しました。

wordpressユーザーIDを隠す0

まずはログインユーザー名が第三者に見えている状態かチェック!
アドレスバーに自分のサイトのURLの後ろに「/?author=1」付けたものを入力し検索する。1だけでない可能性があるので2.3.4.5.6.7.8と順番に試してみてください。
(例)https://sologaku.com/?author=1
↓OKの場合

404ページ(Not found)やトップページにリダイレクト(移動)するようであれば、テーマかプラグインか何かで既に何かしらの対策が取られており、ユーザー名は第三者に見えない状態です!wordpressユーザーIDを隠す1

↓NGの場合(1が表示される場合危険はない)

注意ポイント

投稿者アーカイブページが表示されるようであれば対策したほうが良いです。
※特にアドレスバーを見て末尾にユーザー名が表示されている場合は対策必須。
(例)https://sologaku.com/author/ログインユーザー名/となっている場合。
wordpressユーザーIDを隠す2
ユーザー名が1で著者ページが表示される場合は危険ではありませんが、複数人でサイト管理をしていない限り不要であり、隠すのが吉かと。

当サイトでは有料テーマ「AFFINGER5」を使用していますが、何の対策もしていない場合に/?author=1で検索するとユーザーID1が表示されました。
1が表示されている場合は大丈夫なのですが、adminやuser_nameのようなユーザー名が表示されている場合は危険です!

wordpressユーザーIDを隠す3

↓リダイレクトで投稿者アーカイブページが表示

wordpressユーザーIDを隠す4

この最後の数字である1が何かというと、ユーザーIDと呼ばれるものです。Wordpressをインストールして管理人(ユーザー)が一人の場合初めに強制的に1という番号が振られます。
次に追加したユーザーは2というように順番に振られていきます。

Edit Author Slugを使ってユーザー名を隠す方法

ユーザースラッグを隠すプラグインとして超有名なものに「Edit Author Slug」があります。インストールして簡単な設定を行うだけでユーザー名が第三者に露出するのを防いでくれます。

Edit Author Slugのインストール

wordpressのメニューからプラグイン>新規追加>検索窓に「Edit Author Slug」と入力。
wordpressユーザーIDを隠す5
今すぐインストールをクリックして有効化しましょう。

Edit Author Slugの設定

次にプラグインを使用して投稿者スラッグの表示方法を設定します。
wordpressメニューのユーザー>プロフィールを選択
下の方にスクロールしていくとプラグインを追加したことによって投稿者スラッグという設定欄が増えています。
wordpressユーザーIDを隠す6
任意のチェックボタンを選択することでユーザー名を隠すことができます。
一番上のチェックマークはログイン情報となりますので、このチェックマーク以外のものに変更しましょう。
1で問題ないかと思います。
プロフィールを更新ボタンを押し、https://sologaku.com/?author=1のようなURLを入力して動作していることを確認しましょう。

プラグインその2「Login rebuilder」

以前まではEdit Author Slugを使用していたのですが、ユーザー名を隠す機能+ログインページを変更する機能を備えた「Login rebuilder」の方がセキュリティー的に良さそうだったので、現在はこちらを使用しています↓

まとめ

ログイン情報の一つであるユーザー名を隠すプラグインの紹介でした。現在ではテーマなどで何らかの対策がされている場合が多いようで、リダイレクトでユーザー名が表示されることは少ないように思います。が、複数人で記事を書くことがないようなサイトの場合、投稿者アーカイブページは不要なので404などで隠しておくのが吉かもしれません。。。

■基本のキ、ブログ上に表示される投稿者名(ニックネーム)を変更する方法

-Wordpress
-

© 2020 ソロ学