あなたのワードプレスのログインIDバレてますよ?
ちゃんと対策できていますか?
実はワードプレスのセキュリティは、非常に脆弱です。
えっ?
パスワードあるし大丈夫でしょ?
IDも公開してないよ?
それがダメなのよ…
ワードプレスのログインに必要なのは…
- ログイン用URL
- ログインID
- IDに紐づくパスワード
以上の3つからなっています。ログイン用URLの変更は解説している記事がありますので、そちらを参照してください。
今回はEdit Author SlugというプラグインでログインIDのセキュリティを強化し、運用面での安全を一段上げようという記事になります。
また、そもそもログイン画面の切り替えを先にしたい、と言う方は下記の記事をどうぞ。
速攻でログインURLをお好みの文字列に変更できます。
合わせて読みたい
WordPressのログイン画面を超簡単に変更するプラグイン!
WordPressのドメインを充て直して 操作できない404症状を治す記事
WPへのWEB移管 大文字入りURLを正常化と個別リダイレクトするプラグイン
WordPressのログインIDは見える
まず、ワードプレスのログインIDは、対策をしていないと、誰でもみることができます。
誰でも。
繰り返します、誰でも確認できます。
これ、意外と知らない人が多いわ
ワードプレスのIDを誰でも閲覧することが可能という事は、セキュリティは1/3破られているも同じですよね。
だってこの3つしかないのですから。
- ログイン用URL
- ログインID
- IDに紐づくパスワード
えっと…
もしかしてワードプレスって…
そう、とても破りやすいと言われているよ。
ログインIDは調べたいサイトのURLに特定の文字列を打ち込むことによって、簡単に割り出すことができます。
文字列的には、このサイトの一番最初の管理者は誰?
と聞いているのですが、つまりそれはワードプレスであなたが使っているIDなのです。
ちなみに、その特定の文字列を打ち込んだ結果がこれです。
author/hogehogeの部分が、このワードプレスのログインID。
master
ちょ、ちょっと!?
ID見せちゃってるじゃん!?
あ、大丈夫。
これは偽装済み
この偽装のやり方を教える為の記事だからね
要するに、IDを表示させる命令文が存在するけど、その命令文の結果を偽装するのが今回の目的となります。
Edit Author Slug の使い方
まず、ワードプレス左側のメニューから、プラグイン、そしてその中にある新規追加を選びましょう。
こちらの新規追加でも構いません。同じです。
右側の検索窓に【Edit Author Slug】と打ち込みましょう。
非常に怪しげですがコイツが今回の主役です。
私のページは既に使っているので、有効と書いてあります。
インストールして【有効化】を押しましょう。
するとこの様に、設定の中に【Edit Author Slug】が追加されています。
押してみよう、ポチっとな。
しかし、これはプラグイン自体の設定で実は意味の無い画面に飛びます。
いじる必要はありません。
えっ
とりあえずの紹介だよ
一応設定するところはあるけど触る意味は無いよ
次が本命
ユーザーからあなたのプロフィールに飛びましょう。
このページが出たら、どんどコドン何処下にスクロールしていって下さい。
すると、下記の様な項目が出る筈です。
ここの、投稿者スラッグという項目の4番目。
カスタム設定にチェックを入れて、文字列を指定します。
文字列は何でもいいです。マスターIDっぽい物なら。
ここに打ち込んだIDが、擬装用のIDとなるわけです。
最後に、最下層の【プロフィールを更新】を押します。
今度は、ユーザーページに行ってみましょう。
このページ、投稿者のIDとニックネームが設定でき、この様になっています。
通常のユーザー確認ですとこの画面の情報で終わりですが、【Edit Author slug】を有効化している時は下記の様な表示が出ます。
これは先ほど4番目のチェックボックスに入れた文字列ですよね。
これで、変更が確認できたというわけです。
以上がauthorの表示を偽装する手順だよ
以前紹介したログインURL変更の手順と合わせてやると、セキュリティをバチクソ強化できるから、是非やってみてね
ブログは乗っ取り被害が出たら死活問題になります。
是非こういった簡単に導入できて有効性の高い対策を、取り入れていって下さいね。
最後に、もう一回紹介。
合わせて読みたい WordPressのログイン画面を超簡単に変更するプラグイン!
人気記事 ブロガー向けジャンル別用語一覧 意味を簡単に解説します
コメント