WordPressをインストールし、初期設定のまま利用してしまうと、ユーザー名は必ず公開してしまうことになります。
WordPressにおけるユーザー名はログイン時に必要となる情報で、不正アクセス者からすると、WordPressのログインページが共通していることから、ログインページ、また、ユーザー名の2つの情報の取得工程を省き、パスワードだけを取得することでログインすることが可能になります。
例えば、
- http://〇〇〇.com/?author=▲
赤線には運用するドメイン、また、青線には数値[1.2.3.4.5….]を順番に入力してみてください。
すると、いずれかの数値では、以下のようにユーザー名が表示されます。
また、REST APIを利用することでもユーザ名は見ることができます。
例えば、
- https://〇〇〇.com/wp-json/wp/v2/users
このように入力すると、ユーザー名だけでなく、ユーザー情報として出力されます。
REST APIを無効にするという方法があるものの、REST APIは多方面のプラグインで利用されているため、プラグインをインストールして利用する上では好ましくはありません。(ただし、REST APIへの攻撃を考慮するならばREST APIは無効化すべきであると考えます。)
プラグイン「Edit Author Slug」を利用すると、REST APIを無効化せずにユーザー名を隠すことができるため、非常に便利です。しかし、全てのユーザー情報を隠すことはできません。このパターンにおけるユーザー情報を隠す方法として、REST APIの無効化は有効的な手段です。
WordPressの初期状態のままの運用ではユーザー名の漏洩のリスクが高まり、かなり危険なので、ユーザー名だけでも変更することを推奨しています。
また、WordPressの管理画面「ユーザー」の「プロフィール」から、ブログ上で表示されるユーザー名をニックネームに変更する方法があるものの、それでも不十分です。あるコマンドをURLに入力するだけで、簡単にユーザー名は取得することができます。
詳しくは以下で解説しています。
今回、紹介するのは、ユーザー名を任意のユーザー名へと変更することが可能なプラグイン「Edit Author Slug」について。インストールし、有効化、そして、単純な設定だけでユーザー名を変更することができます。
インストール方法、設定方法、各項目の意味について詳しく解説していきます。
Edit Author Slugのインストール
Edit Author Slugのインストール手順は以下の通りです。
- 左メニュー「プラグイン」から「新規追加」を選択
- 検索ボックスに「Edit Author Slug」を入力
- 項目「今すぐインストール」をクリック
- 項目「有効化」をクリック
すると、左メニューの「ユーザー」の「プロフィール」に、
- 投稿者スラッグ編集
という項目が追加されます。
この項目でEdit Author Slugの各設定を行います。
まずは、Edit Author Slugのインストール手順を順に解説していきます。
左メニュー「プラグイン」から「新規追加」を選択
左メニュー「プラグイン」から「新規追加」を選択します。
検索ボックスに「Edit Author Slug」を入力
検索ボックスに「Edit Author Slug」を入力し、検索します。
項目「今すぐインストール」をクリック
項目「今すぐインストール」をクリックします。
項目「有効化」をクリック
項目「有効化」をクリックします。
Edit Author Slugの設定|スラッグ名の変更
Edit Author Slugの設定(ユーザー名の変更)は、左メニューの「ユーザー」の「プロフィール」に、
- 投稿者スラッグ編集
という項目が追加されるので、その項目で設定します。
Edit Author Slugの設定項目はシンプルで使いやすい表記となっています。
Edit Author Slugの設定手順について解説していきます。
投稿者スラッグ「カスタム設定」
投稿者スラッグは、ログイン時に必要となるユーザー名とは別のものにします。
可能であれば、ユーザー名を推測させないようなスラッグ名にしましょう。
既存のスラッグとは別に、
- カスタム設定
を利用すると任意のスラッグ名に変更することができます。
画像の情報で、URLからユーザー名を検索してみると、
このように変更されます。
また、REST APIからの取得でもユーザー名は「スラッグ名」へと置き換えられます。
カスタム設定のスラッグ名が割り当てられてユーザー名を隠すことができました。
Edit Author Slugの設定|その他
Edit Author Slugの一般設定は、左メニューの「設定」に、
- 投稿者スラッグ編集
という項目が追加されるので、その項目で設定します。
Edit Author Slugの一般設定項目は左メニューの設定欄にある「投稿者スラッグ編集」によって行うことができます。
Edit Author Slugの一般設定(その他)について解説していきます。
投稿者ベース
投稿者ベースのスラッグを変更します。
- https://〇〇〇.com/author/▲▲▲
この赤線のベースを書き換えます。
役割を元にしたAuthor Base
役割を元にしたAuthor Baseを有効にすると、権限スループスラッグの設定が有効になります。
個人でWordPressを運用されている方にとっては不要な設定です。
WordPressを複数で運用されている方にとっては便利な機能です。
権限スループスラッグ
管理者・編集者・投稿者・寄稿者・購読者の権限毎にスラッグを変更することができます。
自動更新
自動更新を有効にすると、管理者がプロフィールを変更した際に、スラッグ名が更新されます。
自動で更新されるため、管理者が手動で編集を行ったスラッグを上書きしてしまいます。
スラッグの編集はSEOに影響を及ぼすため、プロフィールを頻繁に変更する方は、変更する度にスラッグが置き換わることからお勧めしません。
基本的には、チェックを外しておくことを推奨します。
一括更新
一括更新を有効化して「変更を保存」をクリックすることで、これらの全ての設定でスラッグ名を変更することができます。
Edit Author Slugでユーザー名の漏洩を防ぐ
Edit Author Slugは、ユーザー名を隠す上では便利なプラグインです。
ユーザー名を隠すことができれば、ログイン時の情報の1つを隠すことができるため、セキュリティの強化としては有効的な手段です。
WordPressの初期状態ではユーザー名はバレバレなので、ユーザー情報の漏洩とまでは行かなくても、ユーザー名の漏洩だけは「Edit Author Slug」で防ぐことができます。
便利なプラグインですので、是非、利用を検討してみてはいかがでしょうか。
コメント