KUHAKU
no
MEMOCHO

実はバレバレ!?ワードプレスのユーザー名を隠して不正ログインを防ぐ方法

実はバレバレ!?ワードプレスのユーザー名を隠して不正ログインを防ぐ方法のサムネイル

ワードプレスのログインに使用するユーザー名が実は簡単にわかってしまうというのをご存知でしたか?

実際、僕が今まで見てきたワードプレスサイトの半数以上がユーザー名がバレバレの状態で放置されていました。
ユーザー名がばれるとあとはパスワードを突破されれば不正ログインをされてしまいます。

パスワードってそんな簡単に突破されないでしょ、アホくさ。

と思ったあなた。パスワードの突破は少し知識のあるプログラマーがやればすぐにできてしまうので今すぐ対策をしましょう。

ユーザー名のばれ方

とはいうもののユーザー名がどうやってばれてしまうのでしょうか?

ワードプレスには投稿者アーカイブというものが存在し、そのURLにはユーザー名が使用される仕様になっています。
私投稿者アーカイブなんて使ってないよという方も、試しにトップページのURLの後ろに「?author=1」と打ち込んで表示してみてください。

このブログでいうとhttp://kuhaku.org/?author=1ですね。
そうするとユーザーIDが1の投稿者アーカイブにリダイレクトされます。

リダイレクトされると「http://kuhaku.org/author/ユーザー名」といった感じのURLになるかと思います。
この最後のユーザー名の部分がログインで使用するユーザー名になります。

ね、簡単にわかっちゃうでしょ?

それでは早速パターン別にユーザー名の隠し方を見ていきましょう。

投稿者アーカイブを不使用の場合

たとえば当ブログのように管理者のみで更新していて投稿者アーカイブを使用していない場合は、投稿者アーカイブ自体を無効にしてしまいましょう。

投稿者アーカイブの無効の仕方はとっても簡単。
まずは使用テーマのfunctions.phpを開いて下記のコードを挿入しましょう。

function invalid_author_archive( $query ) {  if ( ! is_admin() && is_author() ) {    $query->set_404();    status_header( 404 );    nocache_headers();  }}add_filter( 'parse_query', 'invalid_author_archive' );

上記のコードで投稿者アーカイブを丸々無効にできます。
先程のように「?author=1」を使用しても404エラーページが表示されるはずです。

投稿者アーカイブにアクセスしても404エラーを返すよというコードになります。
これでもうユーザー名がばれることは有りません。

投稿者アーカイブを使用している場合

いやいや待ってくれよ、投稿者アーカイブは使ってるんだよ。無効にされちゃ困る。

という方は『Edit Author Slug』というプラグインを使用して投稿者アーカイブのスラッグを変えてしまいましょう。

プラグインのインストール

それではまずプラグインのインストールを行いましょう。
管理画面のプラグインから新規追加を押して『Edit Author Slug』と検索フォームに打ち込めばすぐに出てきますのでインストール後、有効化してください。

ダインロードして使用したい方はコチラよりダウンロードできます。

Edit Author Slug
wordpress.org

ニックネームの変更

インストールが完了したら、管理画面のユーザーから変更したいユーザーを選択し、ニックネーム初期設定からを変更してください。

ニックネームの設定が完了したらそのまま画面下のほうに進むとEdit Author Slugという項目が出ているので真ん中の項目を選択して保存しましょう。

ニックネームを日本語にされた方は%が無駄に並びまくっている感じになっていると思いますがURLエンコードでそういう表示になっているだけなのでそのままで大丈夫です。

以上で投稿者アーカイブのスラッグが変更され、スラッグからユーザー名が出ることはなくなりました。

Edit Author Slugの詳しい使い方はまた別記事で記載したいと思います。

以上、投稿者アーカイブのスラッグからユーザー名がばれるのを防ぐ方法でした。

FB Comment