iscle [イズクル] - あなたの生活に役立つネタを!

WordPressのユーザー名はadminから変更してもバレバレ。即対応しよう!

竹中文人
執筆者:
[最終更新日]2014/05/16
[カテゴリ]Web・IT, Wordpress

admin以外に変更してもバレバレです!WebサイトのシステムにWordpressを入れている方は多いと思います。私も新規でサイトを作成する際はWordpressを利用することがほとんどですし、クライアントから要望を受けることも多くなりました。Wordpressは有名だからこそ、管理画面に無理やりログインしようとするブルートフォースアタック(総当たり攻撃)の標的にされることも多いので、必ず対処する必要があります。

対処法としてよく言われているのがユーザー名(ID)を「admin」以外に設定することです。Wordpressを設置すると多くの場合、ユーザー名の初期は「admin」となっており、これではハッキングする側はパスワードを当てるだけでログインすることが可能だからです。

「admin」以外に設定することはとても有効的に思えますが、実は別のユーザー名に変更しても簡単にユーザー名を知ることが出来てしまうのです…。

ユーザー名がバレバレに!

WordPressを設置しているURLの後に「/?author=1」と入力してアクセスしてみてください。
auther01

するとそのユーザーのユーザー名がURL内に表示されてしまいます。もし「/?author=1」を入力してエラーが表示されても数値を「2」「3」としていけば表示されてしまいます。
auther02

「admin」以外に設定しても意味ないじゃん・・・。
一手間かけさせるので全く意味がないとは言えませんが、簡単にバレてしまうのですぐに対策をする必要があるでしょう!

スラッグを変更する

この状態を対処する方法は簡単で『Edit Author Slug』というプラグインを利用します。プラグインの新規追加から『Edit Author Slug』で検索してインストールしてください。

このプラグインを利用することによって、「/?author=*」でアクセスした時に表示されるスラッグ(URL部分)を任意の文字列に変更することが可能です。

インストール・有効化できたらユーザー一覧を開きましょう。
ユーザー一覧

設定はユーザーごとに行います。「編集」をクリックして編集画面を開いてください。「Edit Author Slug」という設定項目欄が表示されていると思いますので、「Custom」にして任意のスラッグを入力します。(この部分が「/?author=*」でアクセスした時に表示されます。)
スラッグの変更

更新ができたらURLに「/?author=*」を付けてユーザー名が表示されないかを確認してみましょう。複数のユーザーが居る場合はそれぞれ変更をしてください。自分のサイトが乗っ取られないようにすぐに対処しましょう!

(関連記事)WordPressで2段階認証を導入して乗っ取りから守ろう!