WordPressでサイトを作成、編集する場合、ダッシュボードと呼ばれる管理画面から様々な編集を行うよね。
この管理画面に悪意のある他者がログインできてしまったらどうなるかな。
これまで積み上げてきたものがすべて水の泡になるどころか、下手をすれば知らぬ間に犯罪の片棒を担がされてしまうことだってあるかもしれない・・・。
そうならないためにも、WordPressに不正ログインをさせないための対策は必ず実施するべき。
そこで便利なのが「Edit Author Slug」というプラグイン。
今回は不正ログインの手段と対策について簡単に紹介してみるよ♪
目次
Edit Author Slugで不正ログイン対策
WordPressの管理画面(ダッシュボード)にログインするための情報は2つある。
そう、「ユーザー名またはメールアドレス」と「パスワード」だね。
もし”ユーザー名”または”メールアドレス”のどちらかが悪意のあるユーザーに知られてしまうと、あとはブルートフォースアタック(総当たり攻撃)で突破される可能性が跳ね上がってしまう。
ここを突破されるとサイトは乗っ取られてしまうぞ。
こうならないために注意したいことは2つ。
「”ログインに使えるメールアドレス”を公開しないこと」と、
「”ユーザー名”を知られないこと」。
メールアドレスについては、不用意に公開しないように自分でしっかりと管理するほかない。
やむを得ず連絡先を公開する必要が生じた場合も、関連性のないメールアドレスを使用するようにしよう。
Edit Author Slugの必要性
さて、問題は”ユーザー名”を知られる危険性だ。
実は何の対策も講じていないWordPressサイトの”ユーザー名”を知るのはとっても簡単。
方法は2つある。
一つは投稿者の名前を確認すること。
このように、サイト内の適当な記事に飛ぶと投稿者名を確認することができる。
実はこの投稿者名、初期設定では”ユーザー名”が表示されてしまうのだ。
しかしこれについては対策も簡単。
WordPressのメニューから画像のように「ユーザー」→「あなたのプロフィール」と選択。
次のように、「ニックネーム(必須)」に公開したいニックネームを入力し、その後「ブログ上の表示名」にて入力したニックネームを選択すればOK。
これで記事に”ユーザー名”が表示されることはなくなった。
もう一つ外部から”ユーザー名”を確認する方法がある。
試しに「”あなたのサイトのアドレス”/?author=1」と入力してみてほしい。
例)当サイトなら「https://koko-log.com/?author=1」
すると投稿者別の記事一覧に飛び、アドレスバーに次のように表示されるはずだ。
「”あなたのサイトのアドレス”/author/”ユーザー名”/」
なんと、ユーザー名が丸見えではありませんか!
そこで登場する便利なプラグインが「Edit Author Slug」だ。
このプラグインを使えば、先ほどのアドレスに表示される”ユーザー名”を書き換えることができるぞ。
Edit Author Slugの設定
プラグインのインストールと有効化の方法はこちらをどうぞ→【プラグインとは?WordPressnoおすすめプラグインと追加方法】
Edit Author Slugを有効化したら、先ほどと同様「ユーザー」→「あなたのプロフィール」と進んでみよう。
最下層に次のような項目が出現しているはずだ。
この値が、先ほど表示されたアドレス「”あなたのサイトのアドレス”/author/”ユーザー名”/」の”ユーザー名”の代わりに表示されることになるぞ。
「カスタム設定」を選択すれば好きな文字列に変更することが可能だ。
試しにもう一度「”あなたのサイトのアドレス”/?author=1」と入力してアドレスバーを確認してみよう。
「”あなたのサイトのアドレス”//author/1/」と表示されていればOK。
お疲れ様でした。
まとめ
繰り返しになるが、”ユーザー名”を知られてしまうと、あとは手当たり次第パスワードを試行するだけでログインされてしまう。
もちろん人間が無限に近い文字の組み合わせを1つ1つ試行することは不可能だけど、専用のアプリを使えばそれも可能なはず。
まずは”ユーザー名”を知られないようにすること。
「Edit Author Slug」は一度設定すればそれで終わりなので、是非利用してみてほしい。
終わり。
