WordPressユーザー名隠しプラグイン『Edit Author Slug』

Edit Author Slug


  1. 「SiteGuard WP Plugin」でも防げないこと
  2. 『Edit Author Slug』のインストール
  3. 『Edit Author Slug』の設定




「SiteGuard WP Plugin」でも防げないこと

WordPressのセキュリティを高めようと
SiteGuard WP Plugin
をインストールして安心していたのも束の間。

SiteGuard WP Pluginのログイン履歴を確認すると、下図のような状態になっていました。

Edit Author Slug


幸いにもログインは失敗していますが、同じIPアドレスから何度も不正アクセスを受けていることが分かります。

もちろんこのIPアドレスは私のものではなく、海外のIPアドレスです。


しかも、[ログイン名]は私が実際に使用しているWordPressユーザー名と同じものが記録されていました。


これらが何を意味するかというと、

  • WordPressログインページURLが漏れている
  • WordPressログインユーザー名が漏れている

可能性があるということです。


SiteGuard WP Pluginをインストールしたにも関わらずなぜこのような不正アクセスがあったのか。

その原因を私なりに調べてみました。



WordPressログインページURLが漏れた理由

まず第一に
どうやって私のWordPressログインページにアクセスしたのか
が問題です。

SiteGuard WP Pluginの機能を使ってURLは
http://ドメイン/wp-admin/
からかなり複雑なものに変更してあるので、私のWordPressログインページにアクセスすることは不可能なはず。

ではなぜSiteGuard WP Pluginのログイン履歴に残っているのか。

その答えはログイン履歴の
[タイプ]
に残っていました。

Edit Author Slug

上図でログイン失敗している履歴の[タイプ]は全て
XMLRPC
となっています。


※XMLRPCとは※
かなり専門的な用語のため詳細説明はしませんが、簡単に言うと
ユーザー名などの必要情報を渡すことで、ログインページを経由しなくてもWordPress内部にアクセスできる仕組みのことです。


XMLRPCを使うことでWordPressログインページを経由する必要がないため、
XMLRPCに対してはログインページのURLを変更してもまったく効果がない
ということです。

XMLRPCを無効にすることは可能ですが、WordPressプラグインがXMLRPCを使用している可能性もあるため、むやみに無効にすることは避けたほうがよいと思います。



WordPressログインページURLが漏れた理由

ログインページURLを変更してもXMLRPCに対しては効果がないと分かったところで、次は
どうやって私のWordPressログインユーザー名が分かったのか
を調べてみました。

WordPressには
投稿者アーカイブ
という機能があります。

投稿者アーカイブとは、
投稿者(=WordPressユーザー)ごとの投稿記事一覧を見る機能
のことです。

投稿者アーカイブには
http://ドメイン/?author=○
でアクセスすることができます。
(○には数字の1、2、3…が入ります。)

試しにあなたのWordPressで
http://あなたのドメイン/?author=1
へアクセスしてみてください。
(うまくいかない場合は「/?author=2」などに変更)

そうすると

  • URLが勝手に
    http://ドメイン/author/WordPressユーザー名
    に変わる。

  • 下図のようにWordPressユーザー名が表示されたページが表示される。
    Edit Author Slug

のどちらかになると思います。

上記のどちらにしてもWordPressユーザー名はバレバレですね(汗)




原因が分かったところでさっそく対策をしなければなりませんが、前述のとおりXMLRPCはプラグインに影響する可能性があるため無効にはしないほうが良いです。

よってWordPressユーザー名がバレないような対策をとることになるのですが、これには
Edit Author Slug
というWordPressプラグインをインストールするのが最も簡単で確実な方法です。



『Edit Author Slug』のインストール

まず初めにEdit Author Slugをインストールします。


WordPress管理メニューを開き「プラグイン」メニューを選択します。
Edit Author Slug


下図のプラグイン[新規追加]ボタンをクリックします。
Edit Author Slug


「Edit Author Slug」で検索し、[今すぐインストール]します。
Edit Author Slug


インストールが完了したら[有効化]してください
Edit Author Slug


以上でインストールは完了です。

続いてEdit Author Slugを設定しましょう。



『Edit Author Slug』の設定

インストールが完了したら、WordPress管理画面右上の
[プロフィールを編集]
をクリックします。
Edit Author Slug


プロフィール編集画面の一番下にEdit Author Slugの設定が追加されています。

[Custom]
を選択して、ダミーのユーザー名をひとつ決めて入力し、[プロフィールを更新]してください。
Edit Author Slug


これで今後
http://ドメイン/?author=○
にアクセスされても、表示されるユーザー名はここで入力したダミーのユーザー名に置き換わるようになり、外部からは本当のWordPressユーザー名を見ることができなくなります。






Edit Author Slug以外のWordPressプラグインの紹介はこちら。
> ブログコンテンツ一覧

メールマガジンもやってます。よろしければ登録ください。
> 登録はこちら

このページの先頭へ