「うちのWordPressサイト、
Googleで検索結果に表示されるのは良いんだけどさ、
「/author/ユーザー名/」っていうのがあるんだ。
これ大丈夫なの?」
Googleの検索結果に自分の書いた記事が出るのは
とても嬉しいことですよね。
ところが、
「ドメイン名/author/ユーザー名/」
というURLで表示された状態だと、
ちょっと気を付けなければなりません。
なぜかというと、、、
目次
このURLは閲覧者の利便性のために用意されている機能で、
「ユーザー名」で指定したユーザーの記事を取得し
一覧表示させるための表記方法です。
しかし、リスクという観点では問題が1つあります。
通常のWordPressはログインに必要な情報が
「ユーザー名」と「パスワード」の2つのみです。
「/author/」のあとの文字列は「ユーザー名」です。
つまり、悪意のある第三者は「パスワード」を探すだけで
サイトを乗っ取ることができる状態ということです。
更に「/author/ユーザー名」は
「?author=0」に置き換えることができるため、
ユーザー名を複雑にするだけでは対策になりません。
※0はユーザーに割り当てられた固有の番号
リスクへの対策方法
このリスクへ対応する簡単に方法として、次の2つがあります。
- A)プラグインで「Author」と「ユーザーID」を別のものにする
- B)ログイン時の入力情報を複雑にする
弊社のおすすめは、
すべてのユーザーのセキュリティを向上できる回避方法B)です。
それぞれの手順について以下に記します。
A)プラグインで「Author」と「ユーザーID」を別のものにする
Edit Author Slugプラグインを利用します。
- WordPressの管理画面にログインする
- 「プラグイン|新規追加」メニューを選択
- 「Edit Author Slug」で検索、「今すぐインストール」後、「有効化」をクリック
- 「ユーザー|あなたのプロフィール」メニューを選択
- 「Author Slug」で「Custom」を選択し、任意の文字列を設定する
B)ログイン時の入力情報を複雑にする
All In One WP Security & Firewallプラグインを利用します。
この手順の実行後は、ログイン時にランダムに表示される
算数の問題の答を入力することが求められるようになり、
プログラムによるハッキング対策に有効に働きます。
- WordPressの管理画面にログインする
- 「プラグイン|新規追加」メニューを選択
- 「All in One WP Security」で検索、「今すぐインストール」後、「有効化」をクリック
- 「WP Security|Brute Force」メニューを選択
- 「Login Captcha」タブにある、チェックボックス3つを選択し、「Save Settings」ボタンをクリック
※上から、ログインページ、カスタムログインフォーム、パスワード再送ページでキャプチャを有効にします
是非見直していただきたいユーザー設定
なお、上記のプラグインのインストールにかかわらず
WordPressでは次の設定を行っておくことをおすすめしています。
■ブログ上の表示名の変更
WordPressの記事上に表示されるユーザー名は、
WordPress標準の機能で変更することができます。
- WordPressの管理画面にログインする
- 「ユーザー|あなたのプロフィール」メニューを選択
- 「ブログ上の表示名」を「ユーザー名」以外に設定する
※「名」「性」「ニックネーム」の組み合わせから指定できます - すべてのユーザーに3の設定を行う
◎WordPressでユーザー名を設定する画面
まとめ
今回のポイントをまとめます。
- /author/は利便性のために存在するWordPressの機能
- ユーザIDなどが漏洩するリスクがある
- なんらかの対策を行っておくべき
いかがでしたでしょうか。
利便性とリスクというのはほとんどの場合
トレードオフの関係にあります。
利便性を損なわずにセキュアに保つには、
システムについての知識とクラック側の知識の
両方が必要 になるんですね。
こういった相談を月額固定で受けられるサービス、
ご紹介いたします。
→ http://concierge4u.biz/