「Edit Author Slug」でログインID漏洩の対策方法

メモ男

「WordPressが乗っ取られた」ってTwitterで見たんだけど、セキュリティ対策ってどうすればいいんだろう？

こんな疑問を解決します。

この記事では「WordPressのログインIDを隠す方法」を簡単にまとめました。

セキュリティリスクを減らすために、設定していない人は必ずWordPressのログインIDを変更しておくと良いでしょう。

WordPressのログインIDについて表示を確認する

WordPressはログインIDとパスワードが判明すれば、簡単に管理画面に侵入してサイトを改ざんすることができます。

サイト運営者はセキュリティリスクについて念頭におく必要がありますね。

そこで今回は「Edit Author Slug」というプラグインを使って、ログインIDを隠す方法を書いていきたいと思います。

メモ男

ログインIDさえ判明すれば後はパスワードをクラックするだけで。。

アプ神

WordPressが乗っ取られてからじゃ遅いよね。あらかじめセキュリティ対策はしっかりやっておこう。

まずは自分のWordPressサイトのログインIDが、外部の第三者から見ることができる状態なのかを確認します。

https://自分のサイトのドメイン/?author=1

URLをこのように叩いて、

https://自分のサイトのドメイン/author/ID

記事を投稿している自分のユーザーIDがこのように出てくると、ログインIDが外部の第三者にばれてクラックされる可能性があります。

ちなみにWordPressはデフォルトでこのような状態になっているので、なにも対応をしていない人は基本的にはログインIDが丸見えの状態になっているはずです。

WordPressのログインページ自体はURLからどこにあるのかすぐにわかるので、ログイン情報が判明してしまうとあとはパスワードをアタックすれば良いだけです。

アプ神

WordPressの仕組みがわかっている人なら、外からでも簡単に攻撃することができてしまいますよね

ここでは「Edit Author Slug」というWordPressのプラグインの使い方について解説していきたいと思います。

まずはWordPressのプラグインメニューから、「新規追加」を選択して「Edit Author Slug」を検索しましょう。

これでhttps://自分のサイトのドメイン/?author=1と叩いても、自分のユーザー名は出てこなくなるので、ユーザーIDに関するセキュリティ対策が完了したことになります。

このユーザーIDからWordPressのログインページにアタックする手法は、一時期ですが世界的に流行っていました。

対処していないことに気づいた人は早めに処置しておくと良いでしょう。

世界で見るとWordPressのシェアは年々上がっていて、2020年の12月の時点で38.8％にものぼるとされています。

これはもはやWEBサイト全体の約4割ほどの比率となっていて、今後はますますWordPressのシェアが増えることが予想されています。

シェアが増えると当然それを狙ったハッキング（クラッキング）をする人も増えていきます。

特にWordPressはブログ初心者でも簡単にWEBサイトが作れることから、セキュリティリスクに乏しい人が狙われやすくなっているのが現状です。

もしも実際にWordPressのセキュリティ被害にあった場合は、Codexにも書かれていますが、まずは落ち着くことが重要です。

自分もサイトが乗っ取られたわけではないのですが、いつのまにか不明なファイルがサーバーに置かれていて、北海道のサイバー警察から連絡を受けたことがあります。

調べて頂いたところ海外の犯罪組織に踏み台にされていたようなのですが、警察の方に協力していただき、無事に対処することができました。

アプ神

さらっと言ってるけど実際に会社に警察から電話がきたらめちゃくちゃ焦りますよ。

「自分は大丈夫」と思っている人がほとんどだと思いますが、実際に収益が出ているサイトが乗っ取られてしまうケースがあります。

また、自分のように警察が動くような大事に発展する場合もあるので、こういったセキュリティ対策は必ずやっておくとよいでしょう。

もちろんEdit Author Slugによるセキュリティ対策では十分とは言い切れないのですが、WordPressをデフォルトの状態で運営している人の方が多いのが実態ではないでしょうか。

実際にセキュリティ被害が起きてしまってからでは遅いのです。