WordPress を初期状態のまま利用していると、WordPress のログイン ID が簡単に抜き出せるって知っていますか?
ログイン ID が抜き出せるって何か問題なの?
攻撃者はさまざまな攻撃手法を使って不正ログインを試してきます。
代表的な攻撃手法にブルート フォース 攻撃 (総当たり攻撃) という、様々なログイン ID / パスワードを試す攻撃があるのですが、ログイン ID が分かるだけで時間が大幅に短縮されます。
また、ログイン ID をメールアドレスにしているケースでは、メールアドレス流出にも繋がるため、ログイン ID を隠すに越したことはないです。
この記事ではログイン ID を隠すプラグイン「Edit Author Slug」の使い方について、詳しく解説していきます。
WordPress 初期状態の確認
まずは初期状態の確認をしましょう。
自分の WordPress の URL の末尾に「/?author=1」と入力します。
すると自動的にページが以下のような URL に切り替わるかと思います。
そして表示されたページを見てみるとそのユーザーが書いた記事一覧が表示されるのですが、トップにでかでかとログイン ID が表示されるのが分かるかと思います。
複数ユーザー登録している場合は、「/?author=2」「/?author=3」とするとそれぞれのユーザーについてログイン ID が確認できちゃいます。
ではログイン ID を隠していきましょう!
WordPress でログイン ID を隠す方法
冒頭にも紹介しましたが「Edit Author Slug」というプラグインを利用します。
プラグイン インストール
WordPress にログイン後、「プラグイン」→「新規追加」をクリックします。
「Edit Auhor」で検索し、Edit Author Slug が出てきたら「今すぐインストール」をクリックします。
インストールしたら有効化します。
ポイント
インストール済みプラグイン一覧ページから有効化しても OK です。
プラグイン インストールは完了です。続いて設定です。
プロフィール更新
プロフィールを 2 箇所変更する必要があります。
ブログ上の表示名変更
まずは「ブログ上の表示名」を変更します。
この「ブログ上の表示名」が使われるのは以下 2 箇所です。
- 投稿者ページ
- ブログ記事内
これらを変更するには「ユーザー」→「プロフィール」をクリックし、下にスクロールします。
「ニックネーム」と「ブログ上の表示名」がどちらもユーザー名と同じになっているかと思います。
- 「ニックネーム」を表示させたい名前に変更します。
- 「ブログ上の表示名」にニックネームが選択できるようになっているので、ニックネームを選択します。
投稿者スラッグ変更
更に下にスクロールすると「投稿者スラッグ」という項目があると思います。
初期状態では一番上のログイン ID が選択されているので「カスタム設定」を選択し、ボックスに適当な名前を入力します。
英数字とハイフン (-) しか利用できません。
上部に「プロフィールを更新しました。」と表示されれば OK です。
動作確認
それでは URL の末尾に「/?author=1」を付けてアクセスしてみましょう。
投稿者スラッグが変更されていますね。
また表示された投稿者ページを見るとニックネームに変わったのが確認できるかと思います。
ブラウザのキャッシュが残っていると変更前の情報が表示されることがあります。
一度ブラウザを落としてから動作確認することを推奨します。
まとめ
以上、WordPress のログイン ID を守るプラグイン「Edit Author Slug」のインストール方法と設定でした。
設定に時間は掛からないので「自分のブログは大丈夫」と思わずに今すぐ行動することをおすすめします。