2015.2.2

Edit Author Slugの使い方 wordpressセキュリティ向上。ログインユーザーバレバレな状態を防ぐ

こんにちは。最近ハッカーによるサイト乗っ取りとかのニュースもよく聞きますよね。
WordPressサイトはログインするために、ユーザー名とパスワードを使用しますが、
このうち「ユーザー名」についは簡単に分かってしまう構造になっています。

ご存知の方も多い方思いますが、、、

WordPressはログインIDがバレバレ

簡単に言えば、WordPressには投稿者別記事一覧ページというものがあり、
そちらを表示するときのパーマリンクでログインユーザーIDが簡単に分かってしまうというものです。

具体的な調べ方については以下のようにWordPressサイトでアクセスします。

htttp://sample.com/?author=ID

上記IDについては追加されているユーザー毎、連番となります。

たとえば以下のようにユーザーIDの「1」の場合でブラウザからアクセスすると、

htttp://sample.com/?author=1

投稿者別アーカイブページへリダイレクトされます。

以下リダイレクト先例
htttp://sample.com/author/user1/
htttp://サイトURL/author/ユーザー名/

このようにして表示されたものがユーザー作成時に設定されたAuthorSlugというものです。

上記例の場合は、ユーザーID1のログインユーザー名は「user1」だということが分かります。

WordPressではこのAuthorSlugをログインユーザー名を元に自動生成するため、URLに表示さえたAuthorSlugを見ることでログインユーザー名を推測することが容易にできてしまうのです。

ログインユーザー名が分かってしまえば、後はブルートフォースアタックなどで突破されてしまう可能性がでてくるわけです。

この方法については、基本的にブログ上の表示名をニックネームなどに変更していた場合でも、AuthorSlugは表示されてしまうため、ユーザーIDを分からなくするためにAuthorSlug自体を変更する必要があります。

Edit Author Slugプラグインを使う

WordPress_›_Edit_Author_Slug_«_WordPress_Plugins
Edit Author Slugプラグインというのは、投稿者毎のAuthor Slugを変更することができるといったものになります。

以下、Edit Author Slugの使用方法になります。

プラグインをインストールする

プラグインのインストール手順については割愛させていただきます。

プラグイン追加から検索するか、公式サイト「WordPress › Edit Author Slug « WordPress Plugins
よりダウンロードしてください。

Edit Author Slugプライングをインストールしたら有効化させてください。

プラグインをインストールし有効化されるとユーザーの編集画面で以下のようにEdit Author Slugの設定ができるようになっています。

3q78647qwetrq

Author Slugを変更する

ここでは全く別の名前を設定するように「Custom」をチェックし、好きなAuthor Slugを入力します。

3q78647qwetrqs

「ユーザーを更新」をクリックして保存します。

表示を確認する

それでは上記設定をおこなった後、
htttp://sample.com/?author=1

とブラウザで表示させてみましょう。
以下のようにAuthor Slugが変わっているのがわかると思います。

htttp://sample.com/author/sample/

これによりユーザー名が知られるのを防ぐことができます。

さらに、Edit Author SlugではAuthor Slugのみではなく、/author/というディレクトリ名を変更することもできます。

気になる方はこちらもオリジナルのものに変更しておくと良いでしょう。

以下変更手順です。

まずは管理画面の「設定」にある「Edit Author Slug」をクリックして開きます。

3q78647qwetrqa8sds

以下設定画面で「Author Base」の部分を任意の名前に変更してみましょう。

3q78647qwetrqa8sds2q7387

上例では、「user」といったものに変更してみます。
「変更を保存」をクリックします。

これで完了です。
そうすると以下のように投稿者別アーカイブのURLが変わっているのがわかるかと思います。

htttp://sample.com/author/sample/

WordPressのセキュリティ向上のために、是非「Edit Author Slug」導入してみては如何でしょうか。