WordPressのログインIDを隠す方法を簡単にまとめました。セキュリティリスクを減らすために設定していない人は必ず設定しておくと良いと思います。
WordPressはログインIDとパスワードが判明すれば、簡単に管理画面に侵入してサイトを改ざんすることができるので、サイト運営者はセキュリティリスクについて念頭におく必要があります。
メモ男
ログインIDさえ判明すれば後はパスワードをクラックすれば。。
WordPressのログインID表示について
まずはWordPressのログインIDが外部の第三者から見ることができる状態かを確認します。
https://自分のサイトのドメイン/?author=1
URLをこのように叩いて、
https://自分のサイトのドメイン/author/ID
記事を投稿しているユーザーIDがこのように出てくると、
ユーザーIDが外部にばれてクラックされる可能性があります。
WordPressのログインページはどこにあるのかすぐにわかるので、ユーザー情報が判明してしまうとあとはパスワードをアタックすれば良いだけなので、外から簡単に攻撃することができてしまいます。
WordPressログインIDの対処法
- Edit Author Slug というプラグインを導入して有効化する
- ユーザー>編集>投稿者スラッグをカスタム設定で任意の文字列に変更する
これでhttps://自分のサイトのドメイン/?author=1と叩いても、自分のユーザー名は出てこなくなるので、IDに関するセキュリティ対策が完了したことになります。
このユーザーIDからログインページにアタックする手法は一時期流行っていたそうなので、対処していないことに気づいた人は早めに処置しておくと良いでしょう。
コメント