WordPressセキュリティ ログインIDを隠す


Web集客クリエーターの櫻井知哉です。
WordPressのユーザー名は、“あるコマンド”を入力すると簡単に外部の人でも見えてしまいます。WordPressでサイトを運営している人は、自分のサイトURLの後ろに「/?author=1」と付け足して表示してみてください。

「/?author=1」と入力してエラーが表示された場合は、「/?author=2」「/?author=3」と数字を増やしていくと、ユーザー名が見える数字に行き当たります。

つまり、悪意のあるひとにユーザー名が解ってしまうと、残りはパスワード探しだけとなり、セキュリティがさがることになります。

なぜ見えてしまうかと言うとそれは、投稿者アーカイブを表示する時に使われる「Author Slug」という値に、ユーザー名をそのまま使っているというWordPressの仕様が原因になっているからなんです。

Edit Author Slugというプラグインを使用すれば見えなくなりますので是非、対策してください。

Edit Author Slugの設定

メニュー → プラグイン → 新規追加 と移動し、「Edit Author Slug」と検索、インストールして有効化します。インストール方法は、割愛しています。

インストール後の手順

メニュー → ユーザー → あなたのプロフィール と移動します。

画面の下へスクロールすると「Edit Author Slug」という設定項目が追加されていますので、「Custom」を選択し、ユーザー名の代わりに表示させる文字を入力します。

入力したら「プロフィールを更新」して設定は完了となります。

設定完了後にURLの末尾に「/?author=1」を入力して表示してみましょう。

設定した文字列が、ユーザー名の代わりに表示されました。これでユーザー名が外部から見られることを防げます。

もし、パスワードを単語などの簡単な文字列にしている場合は、もっと複雑な物に変更した方がいいです。

WordPressは世界中での使用率が高いCMSですので狙われます。