WordPressのセキュリティ対策の基本として、インストール時にユーザー名を「admin」以外にしたり、adminでインストールしてしまった場合は、インストール後に新規ユーザーを追加し「admin」を削除する方法はよく知られている。
※インストール後にユーザー名を変更できるプラグイン「Admin renamer extended」というのもある。
また、ユーザー名は投稿者名として記事内等に表示されることから、
「ユーザー」→「ユーザー一覧」→編集→「ニックネーム」を追加→「ブログ上の表示名」をニックネームに変更→「プロフィールを更新」
として、ログインユーザー名が表示されないようにするのも基本。
しかし、残念なことにWordPressの仕様として、ニックネームを設定しても投稿者アーカイブのURLには元の「ログインユーザー名」がそのまま使われる。
つまり、ログインユーザー名が「admin」の場合、ニックネームを追加しブログ上の表示名を「master」にしたとしても、記事の投稿者名をクリックするとURLは
https://www.digital-gate.com/author/admin/
となり、ログインユーザー名が分かってしまう。
また決め打ちで
https://www.digital-gate.com/?author=1
https://www.digital-gate.com/?author=2
https://www.digital-gate.com/?author=3
のように「?author=XX」とすることで、ユーザーが存在すると自動的にリダイレクトされ
https://www.digital-gate.com/author/admin/
https://www.digital-gate.com/author/taro/
https://www.digital-gate.com/author/jiro/
のように表示されるから、この方法からログインユーザー名を得ることが可能。
ログインユーザー名が判明してしまうとブルートフォースアタック( 総当たり攻撃)への手掛かりを与えてしまうので、是非、投稿者アーカイブのURLも対策したい。
投稿者名のリンクや投稿者アーカイブのURLからログインユーザー名を隠す、おすすめプラグインは、
Edit Author Slug
まずはプラグインのインストール
「プラグイン」→「新規追加」→「Edit Author Slug」を検索→「インストール」→「有効化」
有効化が完了したら
「ユーザー」→「あなたのプロフィール」をクリック
1番下に「Edit Author Slug」という項目が追加されてる。
Author Slugを「ニックネーム」に変更するか
Custom:で別の名前にしても良い。
ここで例えばAuthor Slugを「hogehoge」とすれば、投稿者名をクリックした時のURLは
https://www.digital-gate.com/author/hogehoge/
となり、実際のログインユーザー名を隠すことができる。
さらに、WordPressの仕様である投稿者アーカイブのURLの「author」も変更したい時は
「設定」→「Edit Author Slug Settings」から「author」を別の文字に変更することができる。