Edit Author Slugで WordPressの不正ログイン・不正アクセスを回避

2014/01/24 2017/03/12

Edit Author Slugを入れて不正ログインを回避

Edit Author Slugとは？

　
Edit Author Slugは、ユーザ名（ログインID）と Authorとして表示される表示を違うものに変更するためのプラグインです。
　
　

Edit Author Slugを使わないと何が問題なのか？

　
WordPressのセキュリティに関して、下記のような記事を書きました。
　
「WordPressのユーザ名を後から変更する方法。adminの使用は危険。」
　
上記の記事を書いたときには気づいていませんでしたが、その後しばらくして、Googleでこのブログがどのようにインデックスされているかを調べているときに血の気が引く思いがしました。
　
理由は、このブログの IDが含まれるページがインデックスされていたからです。
　　http://blog.s-giken.net/author/********
　　　※「********」の部分にユーザ IDが入ります。
　
WordPressには、投稿者毎に投稿したページをアーカイブしたページを作る機能があり、そのページの URLに使われる文字列にユーザ IDが使われるのです。
　
つまりは、ユーザIDを adminから変更し、「ニックネーム（必須）」を変更して投稿記事に表示されないようにしても、投稿者アーカイブのページにはしっかり IDが表示されているのです！
　
　知らなかったっ！！
　
　

Edit Author Slugを使って投稿者アーカイブの URLを変更する

　
「知らなかった」ではすまされる話ではなく、Googleにインデックスされている以上、なんとしてもすぐに対応をする必要が出てきます。
そのため早速対策をする方法を探したところ、下記のサイトを見つけました。
　
　http://shirose.jp/2013/06/change-author-slug/
　http://dogmap.jp/2013/06/18/fight-against-brute-force-attack-2/
　
そして、すぐさま「Edit Author Slug」をインストールすることにしました。
　
　

一歩先にいくWordPressのカスタマイズがわかる本

Edit Author Slugのインストール方法

　
WordPressのプラグインのインストールの解説は「WordPressプラグインの3つのインストール方法解説」に記事を書いていますので参考にしてください。
　
　

Edit Author Slugのユーザ情報の設定方法

　
設定はユーザのプロフィールから変更します。
「ユーザ」－「ユーザ一覧」で変更するユーザを選択し、プロフィールの編集画面を表示させます。
その編集画面の一番下に「Edit Author Slug」の項目が追加されているはずです。
　

　
ここで、「Author Slug」を決定します。（ここで選択された文字列が、そのまま表示の URLになります。）
　
私の場合は、「ニックネーム（必須）」を日本語で付けているため、2つ目の項目が「%e3%82%a8%e3%82%b9%e6%8a%80%e7%a0%94」となっています。
このままでもよければこれでもいいのでしょうが、分かりやすく 3つ目の項目「Custom」に「blog-s-giken-net」を入れて「プロフィールを更新」をクリックして保存します。
（「ニックネーム（必須）」をアルファベットで付けている方は、2つ目の項目にアルファベットが表示されますので、2項目目でも問題ないでしょう。）
　
設定はこれだけです。
これで、著作者アーカイブの URLが変更されます。
　http://blog.s-giken.net/author/blog-s-giken-net
　
　
また、ユーザが複数登録されている場合は、その全てのユーザで同様の設定をしてくださいね。
全てのユーザの対応を行わないとセキュリティホールを塞いだことになりませんので。
　
　

Edit Author Slugの設定方法

　
上記では、ユーザ毎の「Author Slug」を変更しましたが、「Edit Author Slug」自体の設定は、「設定」－「Edit Author Slug」から移動する画面で設定を行います。
　

　
ですが、特に変更する必要はありません。
　
URLをもっと自由に変えたい場合は、「Author Base」の「author」を違うものにするのもいいでしょう。
　
　

さらなるセキュリティ強化について

　
WordPressのセキュリティに関しては、「WordPressのユーザ名を後から変更する方法。adminの使用は危険。」「WordPressのログイン画面 URLを変更する　管理画面に Basic認証を設定する」などの記事を書いていましたが、今回、著作者アーカイブというページがあることが分かりましたので、さらにセキュリティを強化するために「WordPressの不正ログインを Force email loginで回避」という記事を書きましたので、そちらも併せてご覧ください。

- WordPress

最後までお読みいただきましてありがとうございます。
この記事が参考になったと思いましたらソーシャルメディアで共有していただけると嬉しいです！

Message コメントをキャンセル

※入力いただいたコメントは管理者の承認後に掲載されます。

: Search RegexでWordPress投稿の文字列を検索・置換する使い方解説

WordPressの投稿テキストを検索、置換するプラグイン Search Regexの使い方の詳細解説です。

: WordPressのコメントスパム対策 3つのプラグイン

対策なしではコメントスパムがやってきます。その対策方針としてプラグインを提示しながら解説します。いずれかの対策は必須です。

: カスタムフィールドの検索処理をget_posts()関数のmeta_queryで作成しそれを解説

カスタムフィールドを条件検索・抽出する機能開発の解説。サンプルソースをコピペすればOK。詳細解説もあるのでカスタマイズもできる！

: Theme My Loginでメール認証、管理者承認付の会員管理・基本編

会員管理をするプラグインTheme My Loginの解説。メール認証、管理者認証、reCAPTCHAによるいたずら登録を防止し、ログイン攻撃対応のセキュリティも備わっている。

: カスタムタクソノミーのターム一覧をウィジェットにショートコードで編集

カスタムタクソノミーに属するターム（カテゴリ）の一覧を wp_list_categories()関数＋ショートコードでウィジェットに編集するサンプルプログラムです。

: WordPressプラグインの3つのインストール方法解説

プラグインのインストール方法の特徴とおススメの方法を理由を含めて解説していきます。

: WordPressで特定のURL、ページ、ファイル単位でBasic認証を設定する方法

WordPressはURLはmod_rewriteにより疑似的に作られていますが、特定のページ、特定のURL、ファイル単位でBasic認証を設定する方法を解説します。ツールも紹介。

: WordPressに Favicon（ファビコン）を設定する（プラグイン必要なし）

WordPressに Favicon（ファビコン）をプラグインなしで設定する方法をサンプルソース付きで説明します。

: Advanced Custom Fieldsのカスタムフィールドの登録上限が max_input_varsに影響する問題の対処方法

Advanced custom Fieldsには登録できるフィールド数に上限があります。php.iniのmax_input_varsによる制限ですが、フィールドグループを分割することで解決できます。