WordPressでブログを始めたら、運営するブログのセキュリティ対応などは全部自分で行う必要があります。
例えば、ブログの記事を投稿するときに、投稿したユーザー名を表示しているようにしている場合は、最初に設定したユーザー名(ID)が表示されますから、そのユーザー名(ID)からパスワードの総当たりをパスワード解析ソフトなんかでやられると、突破されますよね。
不正ログインされるとブログを乗っ取られることになるので、そんなことは防ぎたいです。
自分はブログの記事やその他の設定をする前に、このユーザー名変更をしたので、使用したプラグインと設定方法を紹介します。
ユーザーIDだけでなく、ログイン画面へのURLも変更することで不正アクセスへの対策が強化されます。
WordPressの設定では意味がない
WordPressにもユーザー名を変更する機能があります。
ユーザー名の変更
WordPressのダッシュボードから「ユーザー」▷「あなたのプロフィール」に進み、中央付近にニックネーム(必須)とブログ上の表示名とあり、ここで変更したものをブログの投稿者名に使用することができます。
この設定をしておけば、最初に言った「投稿したユーザー名(ID)からパスワード総当たりされてもログインされないんじゃないの!」って思ったことでしょう。
しかし!そんな甘い考えでは不正ログインされてしまいますよ。
WordPressのユーザー名は簡単にわかる
ブログ上の表示名に変更しても安心してはいけませんよ。まだ何も対策をしていないなら、次のようにアドレスバーに入力してみてください。
https://自分のブログドメイン/?author=1
ドメインの後ろに /?author=1 と入力したら次のように表示されませんでしたか?
https://自分のブログドメイン/author/ユーザー名
簡単にユーザー名が表示されます。ユーザー名分かったから、ここからソフトを使って~ってなるわけです。
それじゃあどうしたら良いかというと、このユーザー名が /?author=1 を使用されても表示されないようにしたら良いんですよね。
Edit Author Slug を使う
プラグインの Edit Author Slug を使用することで、ユーザー名(ID)がバレないようにできます。
プラグインの新規追加から Edit Author Slug を検索してインストール ▷ 有効化
プラグインを有効化したら、先ほど見た「ユーザー」▷「あなたのプロフィール」の下の方に Edit Author Slug の項目が追加されているので、投稿者スラッグを好きなように変更しましょう。
設定できたら、確認してみましょうか。
https://自分のブログドメイン/?author=1
どうでしたか?
設定していなかったときのように、ユーザー名ではなくて
https://自分のブログドメイン/author/Edit Author Slugで設定した名前
このように変わってると思います。
これで /?author=1 を使ったユーザー名(ID)を調べて知られることがなくなりました。
おわりに
WordPressは自由度が高い代わりにセキュリティ対策を自分でしないといけません。
今回紹介した Edit Author Slug はユーザー名をバレないようにするプラグインですが、他にも不正アクセスされた時間や回数などわかるプラグインや、パスワードを一定回数間違うと一定時間ログインできなくするプラグインもあります。
自分のブログは運営者自らが守っていかないといけないのです。
すでにユーザー名(ID)が知られた危険性がある場合は、プラグインを使ってユーザー名をバレないようにしても手遅れです。
新しい管理者を設定して、知られたおそれがあるユーザーは削除しましょう。
WordPressをまだはじめてない人は、サーバーを選ぶならエックスサーバーがオススメですよ
