こちらの記事ではEdit Author Slugプラグインの設定方法を解説します。
WordPressでブログを運営していると、ブルートフォースアタック(総当たり攻撃)の標的になってしまう可能性が無いとは言い切れません。
デフォルトのままだとユーザーIDはバレバレですが、Edit Author Slugプラグインを設定しておくことでセキュリティ強化が期待できます。
Edit Author Slugの設定方法!
WordPressのダッシュボードからEdit Author Slugプラグインをインストールして有効化。
| 有効化までを画像で解説したページはこちら→WordPressにプラグインをインストールし有効化する方法 |
WordPressダッシュボードの…
「ユーザー」→「あなたのプロフィール」を順にクリック。
↓
Edit Author Slugの…
Custom:をクリックして、好きな文字列を入力。
↓
「プロフィールを更新」をクリック
以上で、ユーザーIDが他の人にバレてしまわないように設定することができました。
Edit Author Slugを設定したほうが良い理由
WordPressにログインする時は管理者ID(ユーザーID)とパスワードを使いますよね。
冒頭で説明したBrute-forceattackでワードプレスを乗っ取るためには
- 管理者ID(ユーザーID)
- パスワード
の2つを突破しなければなりません。
しかしデフォルト設定のままだと①のユーザーIDがバレバレなため、②のパスワードだけを暴けばWordPressの乗っ取りが可能になってしまうのです!
2つあるセキュリティの砦のうち1つが既に崩れているなんて、ちょっと怖いことだと思いませんか?
セキュリティの砦を2つとも持っておくためにEdit Author Slugプラグインを設定しておくことをおすすめします。
Edit Author Slugを設定していない場合のユーザーIDバレとは?
Edit Author Slugを設定していないデフォルトの状態ではユーザーIDが簡単にバレてしまいます。
どれぐらい簡単にバレるかを知ってもらうために、ユーザーIDを知る方法を説明しますね。
(知ってもらうために説明するだけですので、一緒に操作したり覚えたりする必要はありません)
このブログのURLを例にあげて説明すると、
というようにブログURLの最後に?author=1と入力してエンターするだけです。
たったこれだけで「ユーザーID1の投稿者」つまり私 美紀が書いた記事の一覧ページが表示され、アドレスバーに
というような感じでユーザーIDが表示されてしまうのです。 (私の実際のユーザーIDはmikiではありません。既にEdit Author Slugを設定しているので私の本当のユーザーIDを見ることは出来ません。) |
また、仮にブルートフォースアタックを懸念して「新規ユーザー追加→adminを削除」という手順でユーザーIDを変更していたとしても、万全とはいえません。
なぜなら、?author=2→?author=3というように数字を増やしていくことで結局ユーザーIDは判明してしまうからです。
ちなみに、コメント返信時のユーザーIDを編集して投稿者名を変更していてもユーザーIDは隠せていません。
WordPressブログでコメントを受け付けている場合、デフォルトの設定のままだと読者さんからのコメントに返信する時に投稿者としてユーザーIDが表示されてしまいます。 ユーザーIDを晒すことはセキュリティ上[…]
コメント欄を設けている方は、投稿者名を変更しておくこともおすすめします。
さいごに
Edit Author Slugプラグインの設定をして、ユーザーIDが簡単にバレてしまわないようにする方法を紹介しました。
ただEdit Author Slugプラグインを設定したからと言って油断は禁物で、最終的にはパスワードが物を言います。
WordPress のパスワードには
- アルファベット大文字
- アルファベット小文字
- 数字
- 記号
を使うことができるので…
- これら全てをランダムに組み合わせて出来るだけ長いパスワードを設定する
- 念には念を入れて、辞書に載っているような単語は使わない
これぐらい慎重になっても”慎重過ぎる”ということは無いですね^^
セキュリティ強化のためにもぜひ見直してみてくださいね。