前回の記事「WordPressのセキュリティ対策 CrazyBoneで不正なログインを監視する」でWordPressのユーザーIDを「admin」から変えても、ユーザー名はバレていたと書きました。
もう1回繰り返します。
私もユーザーIDがadminでないのに、正しいユーザーIDでログインを試みられていたのです。
WordPressのユーザーIDを「admin」から変えたとしても、ユーザーIDは簡単に分かるのです。
分かって何が困るかというと、ユーザーIDが分かれば、あとはパスワードの総当り攻撃や辞書攻撃でWordPressの管理画面にログインできてしまうかもしれないのです。
怖いですね。
adminでないのに正しいユーザーIDでアクセスされているのを知って、
「何故ユーザーIDがバレているのか???」
これは大いに疑問でしたが、恐ろしくもあり、すぐに対策が必要だと思いました。
記事から簡単にユーザーIDは分かる
でも、どうしてログインするユーザーIDが分かるのでしょうか?
それは、実に簡単に調べられるのです。本当に簡単です。
ブログの表示名を変更する
WordPressのテーマにもよりますが、記事のメタ情報として著者名が表示されていることがあります。
このテーマ「Simplicity」もそうです。
記事を下までスクロールすると、タグの横に「こべたろ」と表示されています。
これ、デフォルトのまま何もしないと、ユーザーIDが表示されます。
ここからユーザーIDがバレてしまうんですね。
そのための対策は簡単です。
「ユーザー」ー「あなたのプロフィール」からニックネームを任意のものにして、ブログ上の表示名を変更して保存します。
こうすることで、以後は記事中の著者情報として「ブログ上の表示名」に設定したものが表示されるようになります。
URLに一手間でユーザーIDは分かる
まだ他にもユーザーIDを調べる方法はあります。
ブログのトップページでURLの後ろに「/?author=1」と入れてみてください。
このブログで言えば、
「http://veruyurui.com/?author=1」
という感じです。
そうすると、
「http://ドメイン/author/ユーザーID」
となって、ユーザーIDが表示されませんか?
こんな簡単な一手間で、ユーザーIDは簡単に分かるのです。
ちなみにこのブログでは、なぜかユーザーIDが表示されないようになっています。
しかし、他のテーマを使っている別のサイトでは、ユーザーIDがバレバレでした。
ユーザーIDが丸見えになっているときは、すぐにセキュリティ対策をした方が良さそうですね。
Edit Author Slugで簡単に解決
このユーザーIDバレバレのセキュリティ対策は「Edit Author Slog」というプラグインで簡単に解決できます。
まずは「Edit Author Slug」をインストールしてください。
「Edit Author Slug」はプラグインの新規追加で検索をすると、すぐに見つかります。
インストール後は、「ユーザー」から「あなたのプロフィールを選びます。
プロフィールが表示されたら一番下までスクロールすると、「Edit Author Slug」という項目があります。
ここの「Author Slug」の一番上には、ユーザーIDが表示されていると思います。
ここで「Custom」を選んで、表示させるAuthor名を入力し、プロフィールを更新をすれば完了です。
簡単ですね。
これで先ほどと同じように試みても
「http://ドメイン/author/Customに設定した名前」
と表示されるようになりました。
ログインするときは、これまでどおりのユーザーIDに変わりはありません。
これで今後はユーザーIDがバレる心配は無くなりました。
しかし、これまでバレたユーザーIDでログインを試みられていたので、いつかはパスワードが破られる可能性は残っています。
一定回数ログインに失敗したら、アクセスを拒否できるようにしたいですね。
ということで、次はそのために取った対策について解説する予定です。
WordPressのセキュリティ対策:
