WordPressはオンライン上のログインページにログインすることにより、どのような環境でもウェブブラウザさえあれば、サイトの作成や編集、記事の投稿等が行えるという大変便利なシステムです。
世界中で人気で、ユーザー数は相当数だと言われています。
その反面、ブルートフォースアタック(総当り攻撃)等による不正ログインの標的ともされやすいので、サイト運営者は、このことを認識した上で適切に対策を講じなければなりません。
そこで、今回はデフォルト状態では、誰からでも丸見えになってしまっているユーザー名を任意の文字列にかえてわからなくするためのWordPressプラグイン『Edit Author Slug』のインストール方法と使い方について動画を用いて丁寧に解説していきたいと思います。
忙しい方は、動画下の倍速視聴方法をご覧ください。
YouTube動画を倍速再生する方法【動画解説】
YouTube動画を倍速再生する方法【画像解説】
冒頭で出てきたブルートフォースアタックというのは、
辞書ツール等を利用して、想定されうる様々な文字列を
色々なパターンで順次ログインを試みて、
不正ログインを行おうとすることです。
そして、WordPressにログインする際には、
ユーザーIDとパスワードを両方入力して行います。
ということは、パスワードを簡単には当てられないような
複雑なものにするのはもちろんのこと、ユーザーIDも
当然簡単に見抜かれてしまっては困るわけです。
もし、ユーザーIDもだけでも判明していれば、
攻撃者は、あとはパスワードだけを当てればよいことになるため、
総当りであてはめていくパターン数が大幅にヘリ、
それだけ、不正ログインへのハードルを下げてしまう事となります。
そして、実はWordPressのユーザーIDというのは、
他人から丸見えの状態となっているのです。
試しにあなたのWordPressブログで、下記のように
ブラウザのアドレスバーに打ち込んでページを表示させてみてください。
(『◯◯◯.com』というのは、あなたのWordPressブログのアドレス)
『http://◯◯◯.com/?author=1』
すると、当該ユーザーの投稿一覧ページに転送され、URLが
『http://◯◯◯.com/author/ユーザー名』
となっていて、ユーザー名が丸見えになってしまっていることがわかるはずです。
もし、エラーになってしまった場合は、『?author=1』のところを
『?author=2』、『?author=3』・・・とかえて試してみてください。
このように、デフォルトの状態では、ユーザーIDが
簡単に他人から分かる状態になってしまっているのです。
今回ご紹介している『Edit Author Slug』を利用すれば、
ここに表示されているユーザー名の部分(スラッグ)を
任意の文字列に変更することが出来、セキュリティの向上に役立ちます。
動画内では、このプラグインの使い方について
詳細かつ丁寧に解説していますので、ぜひご覧になってくださいね。
なお、不正ログイン対策としては、下記のプラグインを導入して
ログイン試行回数に制限をかけるのも大変有効な手段となります。
Limit Login Attemptsのインストール方法と使い方【動画解説】
また、下記のプラグインを利用すれば、
不正ログインが試みられた際にも試みたIDやパスワードが
わかるため、不正ログイン対策をする上で参考になります。
動画でなく、文字と画像での解説をご覧になりたい方は下記の記事をご覧ください。
All in One SEO Packのインストール方法と使い方【画像解説】
