Tanweb.net

PC・デジモノ・旅行など他にも色々語りたいブログ

実はWordPress利用ブログのほとんどがユーザー名もろバレな件 – 対処法紹介します

実はWordPress利用ブログのほとんどがユーザー名もろバレな件 – 対処法紹介します

Sponsor link
  • このエントリーをはてなブックマークに追加
  • follow us in feedly
  • LINEで送る

   
 Wordpress

   Wordpress

about-wp

最近お腹まわりのお肉が気になってきたキタムラ(office151a)です。こんにちは。秋って食べ物美味しくてやばいですね!

さて、今回はWordpressのセキュリティについてのおハナシです。

実は、WordPressで運営されているウェブサイトやブログの多くは、ユーザー名がもろバレで、誰でも簡単に調べられてしまえるんですっ!!

おぉ!これは由々しき事態だっ!!と気になった方はスクロールして読んで下さいね♪

Sponsor link
Sponsor link

試しにユーザー名が「もろバレ」かやってみよう

自分のウェブサイトやブログのトップページを表示させて、アドレスバーのURLの末尾に

/?author=1

をコピペして「Enter / Return」を押してみてください。

本ブログでしたら「http://tanweb.net/?author=1」ですね。

画面が切り替り投稿者アーカイブが表示されます。アドレスバーの末尾にはアナタのWordpressサイトのユーザー名が表示されていませんか?

もしも表示されていたら、もろバレしています。もうダダ漏れもいいところです!!

表示例

2016-11-22_16h40_20

こんな感じです。このウェブサイトのユーザー名はズバリ「mys」なのです。(インデックスしていないサンプルサイトなので問題なしですが)

ユーザー名がもろバレだと何がマズイの?

何がマズイのか・・・考えるまでもありませんが・・・

アナタのウェブサイト(ブログ)を狙ってきた悪のクラッカーが、サイトを乗っ取ろうと狙っています。ログインページのURLはすでにバレてしまいました。

ユーザー名はもろバレしているので残すところパスワードのみ!!

さあ、総当たりのブルートフォースアタックでパスワードを解析して・・・

こうしてアナタのウェブサイト(ブログ)は悪のクラッカーに乗っ取られてしまいましたとさ。

はい、デフォルトの「admin」からユーザー名をしっかり変えたから安心だっ!と思っているそこのアナタっ!!このままでは「admin」だろうと「hdaiwhihsdihei」こんな難しいユーザー名だろうと差はありません。バレてるので。

・・・ということで対策をしましょう!!

だだ漏れユーザー名はプラグインで隠します

投稿者アーカイブを無効化したりユーザー名を隠す方法はfunction.phpに追加したりなどいくつかありますが、やはりプラグインを使う方法が一番難易度が低く簡単なので、本記事ではそれを紹介したいと思います。

2016-11-22_16h39_13

1:まず、プラグインの新規追加に「Edit Author Slug」をコピペして検索します。そのながれて「今すぐインストール」の「有効化」をします。

2016-11-22_16h44_01

2:プラグインの有効化が完了したら、サイドメニューの「ユーザー」から「あなたのプロフィール」を開いてください。スクロールすると先程インストールしたプラグイン「Edit Author Slug」の項目が新たに追加されています。

Custom のフォームには現在のアナタのユーザー名が表示されているはずです。

2016-11-22_16h45_17

3:Custom のフォームに表示されているアナタのユーザー名を適当に差し替えます。ここでは例として「mystery」(ミステリー)としました。

変更したらば「プロフィールを更新」を押します。

2016-11-22_16h46_18

4:これで「/?author=1」で検索されたときには、ユーザー名ではなく、プラグインで変更した語句が表示されるようになります。画像でもちゃんと「mystery」になっていますね!!

因みに本ブログは「admin」が表示されるようになっています(もちろん本当のユーザー名はadminぢゃないですよ)。

続いてここも絶対に変えてくださいね

2016-11-22_17h56_42

同じく「あなたのプロフィール」にある項目なのですが、「ニックネーム」と「ブログ上の表示名」を必ず変更してください。

デフォルトの状態だとここにはユーザー名が表示されています。そのままだと上記の隠す設定をしても、ここを設定していなければやっぱりユーザー名が「投稿アーカイブ内」に表示されてしまいます

手順としては・・・

  1. ニックネームをユーザー名から差し替える。ユーザー名と縁遠いニックネームを入力してくださいね(コメントなどでも表示されるので適当はダメよ)。
  2. ニックネームを入力すると「ブログ上の表示名に」入力したニックネームが現れますのでそれを選択します。
  3. 最後に「プロフィールを更新」を押したら完了です。

まとめ

このユーザー名もろバレ現象は、Wordpressのバージョンが3.8だろうと4.6だろうと関係ありません。とにかくもろバレなんです。

もしも、チェックしてみてユーザー名が表示されてしまっていたら、ぜひ対策を講じてみてください。絶対やったほうが良いですよ!!

ログインURLの変更などのセキュリティ対策については、以下のリンク先記事で紹介していますのでよかったら読んでみてください。

about-wp
wordpress この設定をするだけで不正アクセスがなくなる・・・かも!!
Wordpressのセキュリティ系のハウツーブログは検索をかけると沢山ヒットすることと思います。今回はそんな中の選択肢のひとつとして、実際に僕が設定したらログインページへの不正アクセスがほぼ皆無になった方法をブロ…
tanweb.net(内部)

さてさて、あなたのウェブサイト(ブログ)は大丈夫でしたか?