ワールドプレスのユーザー名をバレないようにしよう‼

2019-10-08

Harurin’s Café のマスター、『 はるりん 』です。今回も前回同様、セキュリティ関連の記事になります。前回は「ミックスホストは運営サイトがバレバレ!?」ということでサーバー側のセキュリティ対策についてでしたが、今回はワードプレス側のセキュリティ対策について書いていきたいと思います。こちらは必ず対応した方が良い内容になりますので是非ご覧下さい。ではこの記事の目次からです。

ワードプレスはユーザー名がバレバレ!?

ワードプレスを初期設定のまま利用していると、ユーザー名が自分以外の第3者に知られてしまう可能性があります。ユーザー名というのは、ワードプレスの管理画面にログインする際に利用するものです。つまり、ワードプレスの管理画面にログインする際に必要となる2つのキーのうち、1つが見える状態になっているのです。これはさすがにマズイです。悪意のある人に目を付けられたら、ブルートフォース攻撃によりパスワードを突破され、せっかく作り上げたサイトが乗っ取られてしまうかもしれません。必ず対応しておきましょう。

ユーザー名の変更はしましたか?

ワードプレスのインストール時にユーザー名の変更はしましたか?この時にユーザー名を変更しなかった場合、 ユーザー名はすべて「admin 」となってしまいます。ユーザー名の変更は必ず行なっておきましょう。

しかし、ここには大きな問題が1つあります。ワードプレスではユーザー名を変更することができないのです。

成功法ではユーザー名を変更することができないので、新しいユーザーを作成し、古いユーザー(admin)を削除する方法でユーザー名の変更を行います。以下、その際の手順になります。

ワードプレスのメニューから、「ユーザー」 → 「新規追加」 とクリック。「新規ユーザーを追加」という画面が表示されますので必要事項を入力していきます。その際、「権限グループ」には「管理者」を選択するようにして下さい。入力が済みましたら「新規ユーザーを追加」をクリック。これで新規ユーザーの作成は終了です。ここで一度ログアウトし、新しく作成したユーザーでログインし直します。

新規ユーザーでログインし直したら、古いユーザー(admin)の削除を行なっていきます。ワードプレスのメニューから、 「ユーザー」 → 「ユーザー一覧」 からadmin を削除します。「ユーザーの削除」という画面が表示されますので、「すべてのコンテンツを以下のユーザーのものにする」を選択し、「削除を実行」をクリックすれば終了です。

新しいユーザーを作成し、古いユーザーを削除するという、まわりくどい方法ですが、これでユーザー名を変更することができます。

ニックネームは変更しましたか?

ワードプレスにはニックネームというものがあります。使用しているテーマにもよりますがワードプレスで管理者がコメントをすると、このニックネームが表示されることが多いようです。また、記事を投稿したときの投稿者名にもこのニックネームが表示されます(こちらも使用しているテーマによります)。

ここで問題となるのが、このニックネームがデフォルトでは「ニックネーム = ユーザー名 」となっている点です。ニックネームを特に指定していない場合は、ユーザー名を公表しているのと同じなのです。ニックネームには任意のものを設定し、サイトにはユーザー名と異なるニックネームが表示されるようにしておきましょう。

ニックネームはワードプレスのメニューから、 「ユーザー」 → 「ユーザー一覧」 から変更できます。

アーカイブページの対応はしましたか?

ワードプレスでは記事を投稿するとごとにアーカイブページが自動生成される仕組みになっています。ひとえにアーカイブページと言っても、日付アーカイブやカテゴリーアーカイブといった具合にその種類はいくつかあるのですが、ここで問題となるのは投稿者アーカイブになります。

投稿者アーカイブは「サイトのURL / author / ユーザー名 」という形式で作成されるため(ユーザー名を「admin 」とし、このサイトで例えると「 harurinscafe.com/author/admin 」となる)、投稿者アーカイブのページにアクセスすればユーザー名を知ることができます。

「投稿者アーカイブのリンクを作らないから自分には関係ない」と思うかもしれませんが、サイトURLの後ろに「/ ?authtor=1 」と入力すると(このサイトを例にすると、「harurinscafe.com/?author=1 」と入力)、投稿者アーカイブページにリダイレクトされてしまい、リンクを作らなくても投稿者アーカイブページにアクセスできてしまいます。

「 ?authtor=1 」の数字の部分はユーザーIDになります。1番最初に作られたアカウントが「1」、2番目に作られたアカウントは「2」といった具合に「1」から順に付番されますので、一人で運営しているような個人ブログなどは通常「1」となります。

投稿者アーカイブのURLを変更する方法

アーカイブページの問題を解決するには、「投稿者アーカイブにアクセスさせない」、「投稿者アーカイブのURLを変更する」などの方法があるようですが、ここではURLを変更する方法についてご紹介させていただきます。

URLを変更するには、まず「Edit Author Slug 」というプラグインをインストールします。インストール後、ワードプレスのメインメニューから「ユーザー」→「あなたのプロフィール」と進み設定画面を開きます。ページの下の方に「投稿者スラッグ」という欄があります。カスタム設定にカーソルを合わせて、ユーザー名意外の半角英数字を入力し、「プロフィールを更新」をクリックすれば終了です。プラグインを有効化することもお忘れなく。

試しに投稿者アーカイブにアクセスしましょう。今設定したものに変わっていれば、投稿者アーカイブからユーザー名がバレる心配はなくなりました。

というわけで、今回はワードプレスのユーザー名の漏洩リスクと対策について書いてみました。最後まで読んでいただきありがとうございました。