admin から変更しても WordPress のユーザー名は丸見え!投稿者アーカイブの URL を守る方法

photo credit: William Hook via photopin cc
photo credit: William Hook via photopin cc

WordPress に対するブルートフォースアタック(総当たり攻撃)への対処法をいろいろと調べていた時に読んだ記事で、特定の URL にアクセスするとログインに必要なユーザー名が丸見えになってしまうことを知りました。これはちょっと怖いな、と思ったので、Edit Author Slug というプラグインを使って対策しました。

目次

  1. きっかけの記事
  2. 投稿者アーカイブという存在
  3. Edit Author Slug で URL を変更
  4. ユーザー名を変更したい人には Admin renamer extended
  5. 最後に

きっかけの記事

ユーザー名が丸見えになってしまうことは、次の記事で知りました。

自分のブログの URL アドレスの最後に /?author=1 を付けてアクセスすると、投稿者アーカイブページというものが表示されます。このページの URL の最後がユーザー名になっているのです。「1」ではエラーが返ってくる場合も、数字を「2」「3」と増やしながら何度も入力していけば、そのうちヒットしてしまいます。

投稿者アーカイブという存在

具体的に説明しますと、このブログの URL は http://shirose.jp なので、まずはブラウザで http://shirose.jp/?author=1 と入力します。

すると、ユーザー ID が「1」 、つまり私が書いた記事の一覧ページが表示されます。これが投稿者アーカイブページです。そこでブラウザのアドレスバー(URL を入力するスペース)を見ると、http://shirose.jp/author/hirose/ と表示されているはずです。水色の部分がユーザー名です(自分は後述する方法で URL を変更してあるので、実際のユーザー名は hirose ではありません)。

これって、あんまり気持ちいい感じはしないですよね。せっかくユーザー名を変更しても、すぐに分かってしまうのです。ログインするためにはユーザー名とパスワードが必要ですが、ユーザー名が知られてしまうのはやっぱり嫌です。

ブルートフォースアタックへの対策として、「新規ユーザーを追加→admin を削除」という形でユーザー名を変更した人も多いと思いますが、そういうケースでも先ほど書いたように「2」「3」と数字を増やしながらアクセスされると、ユーザー名が判明してしまいます。

Edit Author Slug で URL を変更

冒頭で紹介した記事の中では、Edit Author Slug を使って、投稿者アーカイブページにアクセスされても、表示される URL を変えてしまってユーザー名が分からないようにする方法が説明されています。念のため、バックアップを取ってから作業に入ることをおすすめします。

まず WordPress 管理画面の「プラグイン」→「新規追加」で Edit Author Slug を検索してインストール、有効化します。それから「ユーザー」→「あなたのプロフィール」を開きます。

真ん中辺りに「名前」という項目があるので、ここで「ニックネーム」と「ブログ上の表示名」をユーザー名とは別のものに設定します。

そして1番下まで進むと、プラグインによって「Edit Author Slug」という項目が追加されていますので、ここで「Author Slug」をニックネームに変更します。「Custom:」の欄に任意のスラッグを入力することもできます。選択肢の1番上はユーザー名なので、これは選ばないようにしましょう。設定が済んだら「プロフィールを更新」をクリックします。

こうすることで、http://shirose.jp/?author=1 にアクセスされても、URL には http://shirose.jp/author/hirose/ が返るようになります。

ユーザー名を変更したい人には Admin renamer extended

とりあえずここまでやれば、投稿者アーカイブページからユーザー名が漏れることはなくなります。私はこの際なので、以下の方法でユーザー名そのものも変更しました。admin ではなかったのですが、簡単に推測される短い文字列だったので、果てしなく長いランダムな文字列に変えましたw

ユーザー名の変更には、Admin renamer extended というプラグインを使ってみました。これも管理画面から検索してインストールできます。

有効化すると管理画面の「プラグイン」のところに「Admin renamer extended」と表示されます。テキストボックスに新しいユーザー名を入力し、「Update」ボタンをクリックすればユーザー名が変更されます。「Update」をクリックする前に、新しいユーザー名はきちんと自分だけが分かる形で控えておきましょう。

変更後、管理画面の中でどこか別のページに移動しようとすると、ログイン画面が表示されるので、新しいユーザー名でログインします。iPhone アプリなどのログイン認証ももう一度やり直す必要があります。

最後に

ブルートフォースアタックへの対策としてユーザー名を admin から別のものに変更するのは1つの方法だとは思いますが、それ以上に重要なのは強固なパスワードを設定することです。WordPress では大文字と小文字のアルファベット、数字、記号をパスワードに使うことができます。これをすべて組み合わせ、辞書に出てくるような英単語は使わず、できるだけ長くランダムな文字列のパスワードにするのがいいと思います。

なお、今回紹介した2つのプラグインは、作業が終わった後は削除してしまっても大丈夫でした。

10 thoughts on “admin から変更しても WordPress のユーザー名は丸見え!投稿者アーカイブの URL を守る方法

  1. Pingback: [WP] 簡単にできるWordPressのハッキング対策 | VIVABlog

  2. Pingback: [£]ロリポップで運営しているWordpressの乗っ取り対策? | るうのたわごと。

  3. Pingback: 恐怖!!WordPressが不正アクセスにさらされた2日間。事前・追加対策、事の顛末。 | Feelingplace

  4. Pingback: WordPressのセキュリティ対策 Part1 | Sei Ken's Website

  5. Pingback: WordPressインストール直後にやっておくといいこと6つ | ViviLog

  6. Pingback: WordPressのセキュリティー | soraTOkumo

  7. Pingback: WordPress導入直後に行った設定5つ | VivilLog

  8. Pingback: WordPressの総当り攻撃でユーザー名が見破られている | Area5.net  Arisaya blog

  9. Pingback: WordPressのユーザー名を変更してみました | Area5.net  Arisaya blog

  10. Pingback: 私がSTINGER5でブログを始めて最初にやった設定・プラグイン・広告 | 違いがわかる男

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です