あなたのユーザー名は見えている
投稿者名をニックネームに変更するだけでは、ログイン認証に使用するユーザー名は丸裸。
ワードプレスの投稿者アーカイブに対策をされていない方は、ログイン認証で使用している実際のユーザー名がURLの末尾にデフォルトで入り込んでいるため、投稿者アーカイブにかかるリンクから下記のURLに飛ぶとユーザー名が外からわかってしまう状態にある。
http:// サイトのURL / (ファイルを配置したディレクトリ) / wp-admin/
投稿者アーカイブがデフォルトでむき出しになるテーマでは、対策をしていないとログイン認証画面とユーザー名が外から推測できる状態にある。
加えて、ログイン認証画面に何のプロテクションもかけていないとなれば、これはパスワードさえ解ればダッシュボード(管理画面)まで突破されることを意味する。
ブルートフォースアタックを受けているとすれば非常に危険な状態、今すぐ対策が必要だ!
WordPressのログイン認証画面に3段階認証のプロテクションをかける方法
Edit Author Slug プラグインとは
Edit Author Slug は投稿者アーカイブに表示される投稿者スラッグの値を任意に変更できるプラグインである。
セキュリティ対策のひとつとして、ワードプレスのユーザー名は外部には分からない、推測されない名前にしておくことが望ましいが、デフォルトのままではユーザー名の手掛かりが外に出てしまっているケースが大半を占める。
今回紹介するプラグインを使用すれば、投稿者スラッグを任意の値(文字列)に変更し、実際のユーザー名を追跡できないようにすることが可能だ。
ここでは「Edit Author Slug」プラグインのインストールと使い方について解説する。
特に難しい設定はないので、対策がまだの方は今すぐ導入しておくことをおすすめする。
Edit Author Slug プラグインのインストール手順
- インストール: 管理画面 プラグイン 新規追加 Edit Author Slug
- ダウンロード: WordPress.orgからダウンロード
1.プラグインの新規追加から、右上の検索窓に「Edit Author Slug」を入力しEnterをクリック。
2.プラグインの作成者が「Brandon Allen」であることを確認して、「いますぐインストール」をクリック。
3.「プラグインの有効化」をクリック。
有効化が完了したら次に設定だが、その前にプロフィールページで表示方法の設定を済ませておく必要がある。
投稿者スラッグのニックネームおよび表示名を反映させる場合は、事前に設定が完了している必要があるからだ。
4.管理画面 ユーザー あなたのプロフィール
表示名を変更するためにニックネームを作成する。「ブログ上の表示名」を実際のユーザー名からニックネームに変更し、ニックネームが決まったらこのページの最下部までスクロールしよう。
ここでは、ニックネームを「access」と仮定する。
ページ最下部に「Author Slug」の項目が追加されているのを確認しよう。
5.投稿者スラッグ表示に使用する文字列を選択。
上が実際のユーザー名、中央が表示名、下がカスタムとなっている。カスタム(まったく別の文字列)を表示させる場合は、その値を入力しよう。
上または中央のラジオボタンを選択した場合は、自動で「Custom」欄にその値が表示される。「プロフィールを更新」をクリックしてこのページの設定は完了だ。
続いて、「Edit Author Slug」の設定である。
6.設定 Edit Author Slug をクリックして設定画面に移動。
7.投稿者表示の変更および投稿者スラッグの選択。
投稿者表示は「author」がデフォルトで設定されている。こちらも任意の文字列に変更できるようになっているので、お好みで変更が可能だ。
チェックボックスを選択し、投稿者スラッグの表示を選択しよう。
プロフィール編集画面のAuthor Slugで「Custom」を選択し、任意の文字列を使用している場合はこのページのチェックは不要である。
投稿者表示の「author」もデフォルトのまま使用する場合は、このページで触る場所は特にない。
まとめ:投稿者スラッグの値を自由に変更できる「Edit Author Slug」プラグイン
今回の解説は、権限グループを管理者に限定している。
「投稿者」「編集者」それぞれにも反映させる場合は、投稿者表示( author:デフォルト )の下にあるチェックボックスをオンにすると、さらに細かい設定が可能だ。
セキュリティ対策としても導入しておきたいプラグインのひとつである。