WordPressで始めに確認したいセキュリティ対策。クエリ「/?author=1」でログインユーザー名がバレる!?


Wordpress

wordpressユーザーIDを隠すeye_catch

WordPressでブログを始めるなら、まず初めに確認しておきたいセキュリティー対策の1つが「サイトURL/?author=1」というクエリです。

自サイトのトップページのURLに「/?author=1」を付けてアクセスするとユーザー名(管理者ID)が表示されてしまうことがあるのは有名です。

第三者にユーザー名(ログインID)がバレると、あとはパスワードだけ合わせれば簡単に不正ログインができてしまいます。
今回はこの操作でユーザー名を表示させなくする(隠す)方法をご紹介します。

functions.phpを使う方法もありますが、今回はプラグインを使用します。

WordPressでリダイレクトからユーザー名を隠す

wordpressユーザーIDを隠す1

WordPressのログイン画面

WordPressの管理画面には以下の2つの情報を使ってログインします。

  • ユーザー名またはメールアドレス
  • パスワード

しかし、Wordpressの仕様上「サイトURL/?author=1」というURLでアクセスするとユーザー名が丸見えになってしまう可能性があります。

ユーザー名が表示されてしまう状態ですと、後はパスワードだけでログイン可能というセキュリティー的に貧弱な状態になります。

まずは自サイトで「/?author=1」の対策がなされているか確認しましょう。

ポイント

始めからユーザー名が表示されないように対策されているテーマも多いです。

「サイトURL/?author=1」の動作確認を行う

確認方法は簡単です。

ブラウザのアドレスバー(URL欄)に自分のサイトのURLの後ろに「/?author=1」を付けたものを入力しアクセスしてみます。

1だけでない可能性があるので2.3.4.5.6.7.8と順番に試してみて下さい。

  • 例1:https://sologaku.com/?author=1
  • 例2:https://sologaku.com/?author=2

対策されている場合(問題なし)

「サイトURL/?author=1」にアクセスしてみて、404ページ(Not found)が表示される、もしくはトップページにリダイレクト(移動)するようであれば、対策の必要はありません。

既にテーマかプラグインによって何かしらの対策が取られておりユーザー名は第三者に見えない状態です!

wordpressユーザーIDを隠す2

NGの場合(1が表示される場合危険はない)

投稿者アーカイブページが表示されるようであれば対策したほうが良いです。
※アドレスバーの末尾にユーザー名が表示されている場合は対策必須です。

  • 例:https://sologaku.com/author/ログインユーザー名/

となっている場合は早急に対処しましょう。

wordpressユーザーIDを隠す3

当サイトでは有料テーマ「AFFINGER5」を使用していますが、何の対策もしていない場合に/?author=1で検索するとユーザーID1が表示されました。

1が表示されている場合は大丈夫なのですが、adminやuser_nameのようなユーザー名が表示されている場合は危険です。

wordpressユーザーIDを隠す4

↓リダイレクトで投稿者アーカイブページが表示

wordpressユーザーIDを隠す5

この最後の数字である1が何かというと、ユーザーIDと呼ばれるものです。
Wordpressをインストールして管理者(ユーザー)が一人の場合、初めに1という番号が振られます。
次に追加したユーザーは2、その次は3というように順番に振られていきます。

プラグインを使ってユーザー名を隠す

もし「サイトURL/?author=1」でアクセスしてみてユーザー名(ログインID)が表示されてしまった場合は早急に対処しましょう。

functions.phpにコードを追記しても対処できますが、ここではより簡単なプラグインを使って対処する方法をご紹介します。

ユーザー名を隠すセキュリティープラグインで有名なものは下記の2つです。

  • Edit Author Slug
  • Login rebuilder

どちらもインストールして簡単な設定を行うだけでユーザー名が第三者に露出するのを防いでくれます。

ポイント

  • 「Edit Author Slug」は設定が超簡単です。
  • 「Login rebuilder」はユーザー名を隠し、更にログインページのURLの変更が可能です。

Edit Author Slugのインストール

この記事では「Edit Author Slug」をご紹介します。

執筆時、プラグインは管理画面からインストールできました。

管理画面左メニュー>プラグイン>新規追加

に進み、プラグインの検索窓に「Edit Author Slug」と入力します。

wordpressユーザーIDを隠す6

今すぐインストールをクリックして有効化しましょう。

なお、プラグインの公式ページは以下です。

外部リンク

【Edit Author Slug】
Edit Author Slug – WordPress プラグイン | WordPress.org 日本語

Edit Author Slugの設定

次にプラグインを使用して投稿者スラッグの表示方法を設定します。

管理画面左メニュー>プロフィール

に進みます。
プロフィールを下の方にスクロールしていくと、プラグインを追加したことによって投稿者スラッグという設定欄が増えているはずです。

wordpressユーザーIDを隠す7

「投稿者スラッグ」の欄で任意のチェックボタンを選択することでユーザー名を隠すことができます。

一番上のチェックマークはログイン情報となりますので、このチェックマーク以外のものに変更しましょう。こだわりが無ければ1でOKです。

プロフィールを更新ボタンを押し、https://sologaku.com/?author=1のようなURLを入力して動作していることを確認しましょう。

プラグインその2「Login rebuilder」

当記事でご紹介した「Edit Author Slug」は評判の良いプラグインですが、ユーザー名を隠す機能と更にログインページを変更する機能も備えた「Login rebuilder」の方がセキュリティー対策的にはより良いです。

WordPressのログインページはデフォルトですと

  • サイトURL/wp-login.php
  • サイトURL/wp-admin

という誰でも簡単に推測できるURLでアクセスすることが出来ますが、このページのURLを変更できるのでログインページ自体を隠してしまうことができ、効果的です。

Login rebuilderについては長くなりますので別の記事にしました↓

関連記事

WordPressのログインページURLを変更するセキュリティ対策プラグインLogin rebuilderの設定方法。

まとめ

ログイン情報の一つであるユーザー名を隠すプラグインの紹介でした。

現在ではテーマなどで何らかの対策がされている場合が多いようで、リダイレクトでユーザー名が表示されることは少ないように思います。
が、複数人で記事を書くことがないようなサイトの場合、投稿者アーカイブページは不要なので404などで隠しておくのが吉かもしれません…

■基本のキ、ブログ上に表示される投稿者名(ニックネーム)を変更する方法

Wordpressニックネーム変更方法3
WordPressでのニックネーム変更方法。初期設定だと危険!ブログ上の表示名はニックネームに変更しておこう。

続きを見る

-Wordpress
-

ありがとうございました。
良かったらシェアしてネ・w・
この記事タイトルとURLをコピー

© 2022 ソロ学