ワードプレスの初期状態の設定はセキュリティ的に弱く、対策をしておかないと皆さんが使っている「ユーザー名」が、第三者にも簡単に分かってしまう状態です。
初期状態では、以下のようなリスクがあります。
・「ユーザー名」と「ニックネーム」が同じになっている。
・「/?author=1」の入力でユーザー名が簡単にバレてしまう。
ブログやサイトの安全性を高めるため、「ニックネーム」を新たに設定したり、『Edit Author Slug』を使って「ユーザー名」を変更することで、セキュリティ強化をしていこうと思います。
現状確認から、スタートしましょう♪
初期状態の確認
皆さんのブログ、サイトのURL【https://ドメイン名】の後ろに「/?author=1」を付けてアクセスしてみてください。
https://ドメイン名/?author=1
⇩
https://ドメイン名/author/あなたのユーザー名
と表示されて『あなたのユーザー名』が第三者に簡単にバレてしまう状態です。
あとは「パスワード」を特定されてしまうと、第三者が管理画面に自由に出入りすることができるので、最悪乗っ取られる危険性もあります。
セキュリティ対策・強化のため、インストールから順番に進めていきましょう。
『Edit Author Slug』インストール
以下の操作手順で、インストールから有効化まで進めてください。
管理画面 → プラグイン → 新規追加 →
『Edit Author Slug』を検索・インストール → 有効化
設定を変更していきましょう♪
「ニックネーム」を先に変更しよう
「ニックネームなんて、初期設定のままで変えてない。」という方、いませんか?
僕は、変えていませんでした。。。
「ニックネーム」とは管理画面などで作業している時に、右上に表示されている「 ○○○ さん」という名前で、他にも「プロフィール欄」や「ブログ・サイトの中」に表示されることもあります。
初期状態では「ユーザー名」と「ニックネーム」が同じに設定されているため、変更しておかないと 「プロフィール欄」 などに「ユーザー名」がそのまま表示されることになり、秘密情報を自分から公開する状況になってしまいます。
外部に漏れるのは、マズイ!
「ニックネーム」の変更にはワードプレスの機能を使いますので、『Edit Author Slug』はもう少し待ってください。
管理画面 → ユーザー → プロフィール
まで進むと、
①ユーザー名
②ニックネーム(必須)
③ブログ上の表示名
④こんにちは、○○○ さん(右上にある)
の「4つが初期状態の同じ名前」になっていると思います。(赤く塗りつぶしてある部分)
「ユーザー名」以外の3つを「新しいニックネーム」に変更していきます。
「ニックネーム(必須)」 部分に、
他人に見られても大丈夫な名前・単語
を入力すると、「ブログ上の表示名」にある「▼ボタン」で入力した名前などが選べるようになります。
選択したら、一番下までスクロールして〔プロフィールを更新〕を押してください。
更新した後、3ヶ所の名前が同じになっていれば大丈夫です。
「投稿者スラッグ」を編集する
ここから『Edit Author Slug』の機能を使って「/?author=1」入力への対策をします。
編集するのはさっきと同じ「プロフィール画面」で、もう少し下の位置にあります。
【操作手順】
投稿者スラッグ → 「カスタム設定」を選択 →
「URLに表示されても大丈夫な名前・単語」を入力する → 更新
入力できたら、再び一番下にある〔プロフィールを更新〕を押せば完了です。
結構、カンタンに終わりましたね。
確認してみよう
「出来たつもりが、出来てない」場合もありますので、確認をしてみましょう。
https://ドメイン名/?author=1
⇩
https://ドメイン名/author/新しく設定した単語など
表示が変わっていれば、OKです♪
「ログインページURL」の変更も重要!
ワードプレスは「ログインページURLのセキュリティ」についても弱い部分があり、こちらの設定変更も、とても重要ですので合わせてやっておいたほうが安全です。
『SiteGuard WP Plugin』というプラグインを使い、設定方法などは別記事にまとめてありますので導入する場合には参考にしてください。
まとめ
「ユーザー名」が悪意ある第三者に漏れてしまうと、あとは「パスワード突破」を狙ってきます。
設定の変更や、プラグインを導入することでセキュリティ対策・強化をしてゆきましょう。
ありがとうございました♪
