WordPressで投稿者アーカイブURLから漏れるログインユーザー名対策プラグインはこれ

投稿者: | 2014年6月17日

WordPressのセキュリティ対策の基本として、インストール時にユーザー名を「admin」以外にしたり、adminでインストールしてしまった場合は、インストール後に新規ユーザーを追加し「admin」を削除する方法はよく知られている。

※インストール後にユーザー名を変更できるプラグイン「Admin renamer extended」というのもある。

また、ユーザー名は投稿者名として記事内等に表示されることから、
「ユーザー」→「ユーザー一覧」→編集→「ニックネーム」を追加→「ブログ上の表示名」をニックネームに変更→「プロフィールを更新」
として、ログインユーザー名が表示されないようにするのも基本。

しかし、残念なことにWordPressの仕様として、ニックネームを設定しても投稿者アーカイブのURLには元の「ログインユーザー名」がそのまま使われる。

つまり、ログインユーザー名が「admin」の場合、ニックネームを追加しブログ上の表示名を「master」にしたとしても、記事の投稿者名をクリックするとURLは
https://www.digital-gate.com/author/admin/
となり、ログインユーザー名が分かってしまう。

また決め打ちで

https://www.digital-gate.com/?author=1
https://www.digital-gate.com/?author=2
https://www.digital-gate.com/?author=3

のように「?author=XX」とすることで、ユーザーが存在すると自動的にリダイレクトされ

https://www.digital-gate.com/author/admin/
https://www.digital-gate.com/author/taro/
https://www.digital-gate.com/author/jiro/

のように表示されるから、この方法からログインユーザー名を得ることが可能。

ログインユーザー名が判明してしまうとブルートフォースアタック( 総当たり攻撃)への手掛かりを与えてしまうので、是非、投稿者アーカイブのURLも対策したい。

投稿者名のリンクや投稿者アーカイブのURLからログインユーザー名を隠す、おすすめプラグインは、

Edit Author Slug

まずはプラグインのインストール
「プラグイン」→「新規追加」→「Edit Author Slug」を検索→「インストール」→「有効化」

有効化が完了したら
「ユーザー」→「あなたのプロフィール」をクリック
1番下に「Edit Author Slug」という項目が追加されてる。

Author Slugを「ニックネーム」に変更するか
Custom:で別の名前にしても良い。

ここで例えばAuthor Slugを「hogehoge」とすれば、投稿者名をクリックした時のURLは
https://www.digital-gate.com/author/hogehoge/
となり、実際のログインユーザー名を隠すことができる。

さらに、WordPressの仕様である投稿者アーカイブのURLの「author」も変更したい時は
「設定」→「Edit Author Slug Settings」から「author」を別の文字に変更することができる。