WordPressのログインIDをバレなくする方法【不正アクセス対策】
こんにちは!Aoneko( @blue_cats03)です。
今回は、WordPressで作ったあなたのサイトのIDをバレなくする方法を紹介します。
この記事をエントリーした理由の1つにWordPressを狙ったハッカーのサイバー攻撃が多発しているという背景があります。この件に関しての詳しい内容は過去の記事に記載してます。
このような理由から、今回の記事ではあなたのWordPressサイトのセキュリティを強化する1つの方法として、サイトのIDを他の人にバレなくするやり方を紹介します。
あなたのワードプレス・ログインIDは丸裸です
実は、WordPressの初期設定では、あなたのログインIDが丸見えになっています。
あなたのサイトのURLの最後に「/?author=1」と入れてEnterを押してみてください。
そうすると、下図のようにURLの末尾にログインIDと同様の文字列が表示されているのがわかるかと思います。
出典:当サイト作成
URL末尾にログインIDと同様の文字列が表示される
投稿者アーカイブは、WordPressログイン画面のIDに紐づいているため、初期段階のままだとあなたのログインIDはバレバレなのです。もしハッカーがあなたのログインパスワードを把握した場合、あなたの大切なサイトは改ざんされてしまうことになります。
出典:当サイト作成
WordPressログイン画面
初期状態のままだとセキュリティ上、かなり危ういです。
利用するテンプレート(テーマ)によっても異なりますが、「各投稿の投稿者名」、「投稿ごとのアーカイブ」などから特定が可能なのです。
上記のようにサイト上でもIDが分かりますし、その他にも投稿者名がIDのままになっていると、HTMLソース上にも記載されてしまっているので、「投稿者名=ID」を早急に変更することをお勧めします。
Edit Author Slugで投稿者アーカイブの表示を変更する
上記のとおり、WordPressの初期設定のままですと、セキュリティ上かなり危ういです。
そこで、投稿者のURLをユーザー名とは別のものに変えることのできるプラグイン「Edit Author Slug」を導入することをお勧めします。
「Edit Author Slug」のインストール方法は、WordPressのプラグイン設定画面から新規追加をクリックします。
次に、画面右上の検索枠に「Edit Author Slug」と入力します。
そうすると、候補のプラグインが表示されるので、「Edit Author Slug」の「今すぐインストール」をクリックします。
出典:当サイト作成
Edit Author Slugのインストール手順(その1)
「今すぐインストール」をクリックすると、インストール中と表示されるので完了するまで待ちます。
インストールが完了すると「インストール中」から「有効化」にボタンが変わるので、「有効化」ボタンをクリックします。
有効化が完了すると下図のようにプラグイン一覧画面に、「Edit Author Slug」が反映されます。
出典:当サイト作成
Edit Author Slugのインストール手順(その2)
「Edit Author Slug」が有効化されたら、WordPress管理画面の「ユーザー>あなたのプロフィール」をクリックします。そうすると下の方に「Edit Author Slug」セクションが出てくるので、「カスタム設定」を選択して、好きな文字列を入れて「プロフィールを更新」します。
出典:当サイト作成
Edit Author Slugの投稿者スラッグ画面
「プロフィールを更新」したら、もう一度あなたのサイトのURLの最後に「/?author=1」と入れてEnterを押してみてください。先ほど設定した文字列がURLに出てくることを確認します。
これで少なくとも、「?author=1」でログインIDがバレることはなくなりました。
このように投稿者のスラッグを変更することで、ユーザーIDを隠すことはできますが、投稿者ごとの一覧を出す必要がなければ、投稿者アーカイブを無効化するといった方法もあります。
複数のライターが投稿するようなポータルサイトなどではなく、一人の投稿者が管理しているような場合は、投稿者アーカイブの無効化も選択肢の1つとして考えてみてください。
投稿者アーカイブを無効化するには「functions.php」というWordPressの機能記載ファイルにコードを入力する必要があります。
「投稿者アーカイブ 無効化」などのキーワードでGoogle検索をすると「functions.php」のカスタマイズ方法が出てきます。
ワードプレスのセキュリティを強化するための関連記事
今回は、WordPressで作ったサイトのIDをバレなくする方法を紹介しましたが、同時にログインURLを変更すると、あなたのサイトのセキュリティはさらに強化します。
様々な方法で、WordPressで作成されたあなたのサイトのセキュリティを強化することができます。別の記事にもセキュリティを強化する方法を記載しておりますので、よかったらコチラも読んでみてください。
WordPressセキュリティ大全が役立った
今回、当サイトのセキュリティを強化する際に「WordPressセキュリティ大全」の本を参照しました。
「パスワードの管理」、「データベースの守り方」、「SSL」、「パスワードの二段階認証」などを具体的に実行するためのやり方がくわしく書かれています。「WordPressセキュリティ大全」のおかげで、サクサクと作業をすることができました。
ユーザーの反響もいい感じです。
本日の業務の締めは「WordPressセキュリティ大全」。主にプラグインの紹介だったけど、基本のセキュリティ対策がまとまっていて一冊あるとありがたい。
これから家に帰って自分のサイトのセキュリティ対策をしよう。
本日もお疲れ様でした! pic.twitter.com/kUB4fJyHMJ— なごみ@Web制作 753DESIGN (@nagomixxxx) December 5, 2019
【電子書籍】Kindle、楽天koboのご購入はコチラから。
Kindle unlimited(30日無料)で『WordPressセキュリティ大全』を読む
お手持ちのスマホ、タブレット、パソコンでいつでも読むことができる、デジタルな本、Kindle Unlimitedは「30日間の無料体験」が利用できます。
Amazonの電子書籍(Kindle Unlimited)
通常月額980円が新規登録なら30日無料で試せます!漫画や雑誌、ビジネス書などもありますし、対象の書籍なら読み放題。
家で退屈しそうなら、電子書籍がおすすめ!#お家で過ごそう
登録はこちらリンクより⇒https://t.co/lXjX5bm2ZG pic.twitter.com/lHbOhu3q3J— Aoneko Lab (@blue_cats03) April 10, 2020
今回紹介した『WordPressセキュリティ大全』もKindle にて読むことができます。
本当に無料なの?解約できるの?
はい、大丈夫です。
Kindle Unlimitedの公式HPにはっきり「30日間無料」と記載されています。追加料金は一切かかりません。無料体験できる方の条件としては、これまでにKindle Unlimitedをご利用いただいたことがない方になります。
これまでにKindle Unlimitedをご利用いただいたことがない方は、無料でお試しいただけます。無料体験期間が終了すると、自動的に月額料金プランの料金が請求されます。
(引用:Amazon公式サイト, Kindle Unlimitedについて)
30日以内に解約すれば料金はかかりません。
