WordPressのログインIDを隠す方法を簡単にまとめました。セキュリティリスクを減らすために設定していない人は必ず設定しておくと良いと思います。
WordPressはログインIDとパスワードが判明すれば、簡単に管理画面に侵入してサイトを改ざんすることができるので、サイト運営者はセキュリティリスクについて念頭におく必要があります。
そこで今回は「Edit Author Slug」というプラグインを使って、セキュリティ対応する方法を書いていきたいと思います。
ログインIDさえ判明すれば後はパスワードをクラックすれば
WordPressのログインIDについて表示を確認する
まずは自分のWordPressサイトのログインIDが、外部の第三者から見ることができる状態なのかを確認します。
URLをこのように叩いて、
記事を投稿している自分のユーザーIDがこのように出てくると、ログインIDが外部の第三者にばれてクラックされる可能性があります。
ちなみにWordPressはデフォルトでこのような状態になっているので、なにも対応をしていない人は基本的にはログインIDが丸見えの状態になっているはずです。
WordPressのログインページ自体はどこにあるのかすぐにわかるので、ログイン情報が判明してしまうとあとはパスワードをアタックすれば良いだけなので、外から簡単に攻撃することができてしまいます。
WordPressのログインIDを隠す方法
ここでは「Edit Author Slug」というWordPressのプラグインを使って、簡単にできるセキュリティ対処法を説明していきたいと思います。
- Edit Author Slugというプラグインを導入して有効化する
- ユーザー>編集>投稿者スラッグをカスタム設定で任意の文字列に変更
これでhttps://自分のサイトのドメイン/?author=1と叩いても、自分のユーザー名は出てこなくなるので、ユーザーIDに関するセキュリティ対策が完了したことになります。
このユーザーIDからログインページにアタックする手法は一時期流行っていたそうなので、対処していないことに気づいた人は早めに処置しておくと良いでしょう。
WordPressは危ない?セキュリティリスクについてしっかりと考えよう
世界で見るとWordPressのシェアは年々上がっていて、2019年の2月の時点で34.1%にものぼるとされています。
これはもはやWEBサイト全体の1/3ほどの比率となっていて、今後はWordPressのシェアがますます増えることが予想されています。
シェアが増えると当然それを狙ったハッキング(クラッキング)をする人も増えており、特にブログ初心者などでも簡単にWEBサイトが作れることから、セキュリティリスクに乏しい人が狙われやすくなっているのが現状です。
セキュリティ被害にあった場合はどうしたらよいのか
もしも実際にWordPressのセキュリティ被害にあった場合は、Codexにも書かれていますが、まずは落ち着くことが重要です。
自分もサイトが乗っ取られたわけではないのですが、いつのまにか不明なファイルがサーバーに置かれていて、北海道のサイバー警察から連絡を受けたことがあります。
海外の犯罪組織に踏み台にされていたようなのですが、警察の方にも協力していただき、無事に対処することができました。
「自分は大丈夫」と思っている人がほとんどだと思いますが、実際に収益が出ているサイトが乗っ取られてしまったり、自分のように警察が動くような大事に発展するケースもあるので、こういったセキュリティ対策は必ずやっておくとよいでしょう。
実際に起きてしまってからでは遅いのです。
コメント