WordPressのセキュリティ対策 adminから変えてもユーザーIDは丸見えすぐに手を打とう

当サイトはアフィリエイト広告を利用しています。

wordpress
photo credit: sgs_1019 via photopin cc
photo credit: sgs_1019 via photopin cc

photo credit: sgs_1019 via photopin cc

前回の記事「WordPressのセキュリティ対策 CrazyBoneで不正なログインを監視する」でWordPressのユーザーIDを「admin」から変えても、ユーザー名はバレていたと書きました。

もう1回繰り返します。

私もユーザーIDがadminでないのに、正しいユーザーIDでログインを試みられていたのです。

WordPressのユーザーIDを「admin」から変えたとしても、ユーザーIDは簡単に分かるのです。

分かって何が困るかというと、ユーザーIDが分かれば、あとはパスワードの総当り攻撃や辞書攻撃でWordPressの管理画面にログインできてしまうかもしれないのです。

怖いですね。

adminでないのに正しいユーザーIDでアクセスされているのを知って、
「何故ユーザーIDがバレているのか???」
これは大いに疑問でしたが、恐ろしくもあり、すぐに対策が必要だと思いました。

スポンサーリンク

記事から簡単にユーザーIDは分かる

でも、どうしてログインするユーザーIDが分かるのでしょうか?

それは、実に簡単に調べられるのです。本当に簡単です。

ブログの表示名を変更する

WordPressのテーマにもよりますが、記事のメタ情報として著者名が表示されていることがあります。

このテーマ「Simplicity」もそうです。

記事を下までスクロールすると、タグの横に「こべたろ」と表示されています。

これ、デフォルトのまま何もしないと、ユーザーIDが表示されます。

ここからユーザーIDがバレてしまうんですね。

そのための対策は簡単です。

「ユーザー」ー「あなたのプロフィール」からニックネームを任意のものにして、ブログ上の表示名を変更して保存します。

こうすることで、以後は記事中の著者情報として「ブログ上の表示名」に設定したものが表示されるようになります。

profile

URLに一手間でユーザーIDは分かる

まだ他にもユーザーIDを調べる方法はあります。

ブログのトップページでURLの後ろに「/?author=1」と入れてみてください。

このブログで言えば、
「http://veruyurui.com/?author=1」
という感じです。

そうすると、
「http://ドメイン/author/ユーザーID」
となって、ユーザーIDが表示されませんか?

こんな簡単な一手間で、ユーザーIDは簡単に分かるのです。

ちなみにこのブログでは、なぜかユーザーIDが表示されないようになっています。

しかし、他のテーマを使っている別のサイトでは、ユーザーIDがバレバレでした。

ユーザーIDが丸見えになっているときは、すぐにセキュリティ対策をした方が良さそうですね。

Edit Author Slugで簡単に解決

このユーザーIDバレバレのセキュリティ対策は「Edit Author Slog」というプラグインで簡単に解決できます。

まずは「Edit Author Slug」をインストールしてください。

「Edit Author Slug」はプラグインの新規追加で検索をすると、すぐに見つかります。

インストール後は、「ユーザー」から「あなたのプロフィールを選びます。

username

プロフィールが表示されたら一番下までスクロールすると、「Edit Author Slug」という項目があります。

ここの「Author Slug」の一番上には、ユーザーIDが表示されていると思います。

ここで「Custom」を選んで、表示させるAuthor名を入力し、プロフィールを更新をすれば完了です。

editslug

簡単ですね。

これで先ほどと同じように試みても
「http://ドメイン/author/Customに設定した名前」
と表示されるようになりました。

ログインするときは、これまでどおりのユーザーIDに変わりはありません。

これで今後はユーザーIDがバレる心配は無くなりました。

しかし、これまでバレたユーザーIDでログインを試みられていたので、いつかはパスワードが破られる可能性は残っています。

一定回数ログインに失敗したら、アクセスを拒否できるようにしたいですね。

ということで、次はそのために取った対策について解説する予定です。

WordPressのセキュリティ対策:

WordPressのセキュリティ対策 CrazyBoneで不正なログインを監視する(前の記事)

WordPressのセキュリティ対策 不正アクセスをブロックするプラグイン(次の記事)