WordPress:authorページを一括リダイレクト
AMPの公式イメージ利用方法とガイドライン【画像ダウンロード】
【MAC】スクリーンショットの保存フォルダを変更・JPGファイルにする
MAMPでMySQLが起動しない時の解決方法
AMP化と一緒にHTTPSにすることにした:設定方法
@ 2016 fwary

WordPressログインIDはバレバレだっていう話:セキュリティ強化しよう

WordPressにログインするためのIDは、誰でも簡単にブラウザで調べることができることを知りました。ニックネームしておけばOKだと思っていたのですが、甘かったようです。今回ログインIDを簡単に見せない方法も知ったので、メモします。
 
WordPressでは、ログインIDとユーザー名は、同じになっています。なので、ユーザー名が分かればそれがログインIDということになります。投稿者や制作者をサイト内に表示している場合は、WordPressのデフォルトだと、ユーザ名が表示されます。ニックネームをつけることで、投稿者の表示をニックネームに変更することができます。ただし、これだけでは意味がありませんでした。
 
投稿者のページへ進むと、URLには、正式なユーザー名が表示されています。
http://ドメイン/author/正式ユーザー名
 
モロバレです。加えて、ブラウザ上で以下のようにすると、丁寧にもユーザーIDを調べてくれます。
 

http://ドメイン/?author=1

初めて登録したIDでそのまま管理者として利用していれば、管理者ユーザーIDは簡単に調べることができて、あとはログインパスワードだけ。ということになってしまいます。
author=1の部分をauthor=2にすれば、二人目に登録してあるユーザーIDを調べることもできます。
 
 

suponserd link


プラグインでセキュリティ強化する

?author=1で調べてもユーザーIDが分からないようにするプラグインがあります。
「Edit Author Slug」
ほぼプラグインを入れないのですが、仕方なくこのプラグインを入れることにしました。
404エラーにしたり、トップページにしてくれたりできます。
 
ただし、ブルートフォースアタック(総当たり攻撃)への対策には、上の方法よりも、ログイン画面へのIP制限が有効だと思います。

sharing is caring