【WordPressセキュリティ対策】Edit Author Slugを設定して乗っ取りや不正ログインを防ぐ!
目次
WordPressの乗っ取りや不正ログインなどセキュリティ対策はしてますか?
圧倒的なシェアを獲得しているWordPress(ワードプレス)。
HTMLやCSSの知識さえあれば、簡単にホームページを作成できるので個人ブログから企業まで幅広く利用されています。
しかも無料で使えるなんて、嬉しい限りです。
しかし、気をつけなければいけないのがセキュリティ問題。
実は以前からWordPressでの不正ログインが問題になっています。
ワードプレスにログインするためにはユーザー名とパスワードが必要ですよね。
そのユーザー名が簡単な方法で知られてしまう・・・としたらどうですか。
「いやいや、私は大丈夫!」
と思うのはちょっと待ってください。
特定の URL にアクセスすると、あなたがワードプレスのログイン時に必要なユーザー名が他人にわかってしまうのです。
あなたの ブログのURLの最後に /?author=1 を付けて「ENTER]キーをクリックしてみて下さい。
例えば、私のブログの場合、URLはhttp://kokoro39.comなのでhttp://kokoro39.com/?author=1と入力します。
すると、http://kokoro39.com/author/kotsuafu39/と表示されていませんか?
このkotsuafu39というのがユーザー名です。(私の場合はすでにセキュリティ対策をしているため、実際のユーザー名とは異なります。)
あなたのブログの場合は、http://あなたのブログURL/author/○○○○○/
この「○○○○○」の部分がユーザー名です。
なぜこのようにユーザー名がわかってしまうかというと、WordPressには、投稿者毎に投稿したページをアーカイブしたページを作る機能があります。
そのページの URLに使われる文字列にユーザ 名が使われるのです。
不正ログインや悪用に利用されないようにログイン対策をする必要があります。
ワードプレスをインストールしたら早急にログイン対策をしておきましょう。
WordPress不正ログイン対策
ログイン対策は3つです。
- WordPressで「admin」というユーザ名を使わない。→admin以外の管理者権限を持つユーザを作成する
- サイトにユーザー名が表示されないようにする
- ユーザ名(ワードプレスのログインID)と、 Authorとして表示されるものを違うものに変更する方法
WordPressのログイン名に、「admin 」を使っているのは危険です。
管理画面を乗っ取られてしまう可能性が高いです。
もし現在、あなたのWordpress で、ユーザに「admin」を使っている場合は、管理者ユーザを作成してから、adminを削除しましょう。
WordPressで「admin」以外のユーザー名に変更する方法
「admin」とは別の管理者アカウントを作成し、「admin」の削除の方法を解説します。
これから行う作業中に行程を誤ると記事が消えてしまう恐れがあります。
万が一のために、wordpressのバックアップを取っておくことをおすすめします。
まず、ワードプレスログインします。
ダッシュボード(WordPressの左メニュー)→「ユーザー」→「新規追加」をクリックします。
「新規ユーザーを追加」の画面に切り替わりましたら、ユーザー名、メールアドレス、パスワードを入力します。
(上図参照)
①ユーザー名→「admin」以外の任意のユーザー名を入力します。※1参考
②メールアドレス→「admin」と同じメールアドレスは利用できませんのでそれ以外のメールアドレスで設定しましょう。
③パスワード→※1参考
④権限グループの設定を必ず「管理者」に設定変更して下さい。
⑤新規ユーザーの追加をクリックします。
※1 ユーザー名→ブルートフォース攻撃を避けるためにも、ユーザー名やパスワードはadmin以外にも数字のみの文字列を使わないように注意しましょう。
ブルートフォース攻撃(Brute Force Attack) は、非常に単純な方法でアクセス権を取得しようとします。
ユーザー名とパスワードを入力し、ログイン成功するまで繰り返します。
美しくないですが、ユーザー名 admin パスワード 123456 のようなものを採用している場合、攻撃が成功しやすいです。
一旦、ログアウトします。(「admin」のユーザーでログインをしている状態ですので、画面右上のログアウトをクリックしてログアウトします。)
続いて、先ほど作成した新しい管理者アカウントでログインして下さい。
「admin」アカウントを削除しますので、ダッシュボード→「ユーザー一覧」をクリックして下さい。
「admin」アカウントの欄の「削除」をクリックします。
「すべてのコンテンツを以下のユーザーのものにする」のところにチェックを入れ、先ほど追加した新しいユーザーを選択します。
※ここで間違えると投稿が全て削除されてしまいますので注意しましょう!
「削除を実行」をクリックします。
※記事数が多いと処理に時間がかかります。
以上で「admin」を削除し、新しいユーザーに変更できました。
しかし、冒頭でお伝えしましたとおりユーザー名を変更しても、「記事URL+/?author=1」を入力するとユーザー名が表示されてしまいます。
そのため、以下のEdit Author Slugというプラグインを入れて設定していきましょう。
Edit Author Slugとは、ユーザ名(ワードプレスのログインID)と、 Authorとして表示されるものを違うものに変更することができる便利なプラグインです。
設定は簡単です。
プラグインEdit Author Slugを導入する
ダッシュボード→「プラグイン」→「新規追加」
検索窓に「Edit Author Slug」と入力し「ENTER]キーをクリックします。
「今すインストール」をクリックします。
「プラグインを有効化」をクリック。
2つの設定をしていきます。
ダッシュボード→「ユーザー」→「あなたのプロフィール」をクリックします。
Webサイトにユーザー名が表示されないようにする
ブログ上に表示されるユーザー名を変更します。
あなたが投稿したブログ記事には投稿者のログイン名が表示されています。
そのため、Webサイトにユーザー名が表示されないようにする必要があります。
「ニックネーム (必須)」の入力欄にはログイン名と別の任意の名前を入力しましょう。
「ブログ上の表示名」の選択欄にはニックネーム(必須)で入力した名前を選択しましょう。
ユーザ名(ワードプレスのログインID)と、 Authorとして表示されるものを違うものに変更する方法
上記の画面からそのまま一番下までスクロールして下さい。
「Author Slug」でCustomにチェックを入れ、入力欄に任意の名前を入力します。
?author=1を入力したときURLに表示されるのはこちらで設定したものになります。
「プロフィールを更新」をクリックします。
設定は以上になります。
確認のために「?author=1」と入力してみて下さい。
先ほど設定した任意の名前が表示されてるかと思います。
以上で設定は終わりです。
お疲れ様でした。
※他にもブログを開設している場合は全てのブログに同様の設定を行う必要があります。
他にも、WordPressのセキュリティ対策として、WordPress本体やプラグインを常に最新の状態にしておくといいでしょう。
また、最近ではブログの不正コピペが多発しています。(コピペとはコピー&ペーストの略したもので、他のサイトの文章から必要部分をコピーして自分のブログに貼り付けることです。)
そこで不正コピペ対策こちらの記事をご覧ください。
今回も最後までお読みいただきありがとうございました。
私の記事が少しでもお役にたてれば嬉しく思います。
今回の記事に関するご質問、ご感想等がございましたら、 お気軽に下記のフォームより私にお伝え下さい。
頂きましたコメントに気付き次第すぐに回答いたします。