エス技研

WordPress、CakePHP、PHP、baserCMSなどの Web系システムを中心に情報を提供します!


Edit Author Slugで WordPressの不正ログイン・不正アクセスを回避

      2017/03/12

Edit Author Slugを入れて不正ログインを回避

 

Edit Author Slugとは?

 
Edit Author Slugは、ユーザ名(ログインID)と Authorとして表示される表示を違うものに変更するためのプラグインです。
 
 

Edit Author Slugを使わないと何が問題なのか?

 
WordPressのセキュリティに関して、下記のような記事を書きました。
 
WordPressのユーザ名を後から変更する方法。adminの使用は危険。
 
上記の記事を書いたときには気づいていませんでしたが、その後しばらくして、Googleでこのブログがどのようにインデックスされているかを調べているときに血の気が引く思いがしました。
 
理由は、このブログの IDが含まれるページがインデックスされていたからです。
  http://blog.s-giken.net/author/********
   ※「********」の部分にユーザ IDが入ります。
 
WordPressには、投稿者毎に投稿したページをアーカイブしたページを作る機能があり、そのページの URLに使われる文字列にユーザ IDが使われるのです。
 
つまりは、ユーザIDを adminから変更し、「ニックネーム(必須)」を変更して投稿記事に表示されないようにしても、投稿者アーカイブのページにはしっかり IDが表示されているのです!
 
 知らなかったっ!!
 
 

Edit Author Slugを使って投稿者アーカイブの URLを変更する

 
「知らなかった」ではすまされる話ではなく、Googleにインデックスされている以上、なんとしてもすぐに対応をする必要が出てきます。
そのため早速対策をする方法を探したところ、下記のサイトを見つけました。
 
 http://shirose.jp/2013/06/change-author-slug/
 http://dogmap.jp/2013/06/18/fight-against-brute-force-attack-2/
 
そして、すぐさま「Edit Author Slug」をインストールすることにしました。
 
 


 

Edit Author Slugのインストール方法

 
WordPressのプラグインのインストールの解説は「WordPressプラグインの3つのインストール方法解説」に記事を書いていますので参考にしてください。
 
 

Edit Author Slugのユーザ情報の設定方法

 
設定はユーザのプロフィールから変更します。
「ユーザ」-「ユーザ一覧」で変更するユーザを選択し、プロフィールの編集画面を表示させます。
その編集画面の一番下に「Edit Author Slug」の項目が追加されているはずです。
 
20140124_wp_1
 
ここで、「Author Slug」を決定します。(ここで選択された文字列が、そのまま表示の URLになります。)
 
私の場合は、「ニックネーム(必須)」を日本語で付けているため、2つ目の項目が「%e3%82%a8%e3%82%b9%e6%8a%80%e7%a0%94」となっています。
このままでもよければこれでもいいのでしょうが、分かりやすく 3つ目の項目「Custom」に「blog-s-giken-net」を入れて「プロフィールを更新」をクリックして保存します。
(「ニックネーム(必須)」をアルファベットで付けている方は、2つ目の項目にアルファベットが表示されますので、2項目目でも問題ないでしょう。)
 
設定はこれだけです。
これで、著作者アーカイブの URLが変更されます。
 http://blog.s-giken.net/author/blog-s-giken-net
 
 
また、ユーザが複数登録されている場合は、その全てのユーザで同様の設定をしてくださいね。
全てのユーザの対応を行わないとセキュリティホールを塞いだことになりませんので。
 
 

Edit Author Slugの設定方法

 
上記では、ユーザ毎の「Author Slug」を変更しましたが、「Edit Author Slug」自体の設定は、「設定」-「Edit Author Slug」から移動する画面で設定を行います。
 
20140124_wp_2
 
ですが、特に変更する必要はありません。
 
URLをもっと自由に変えたい場合は、「Author Base」の「author」を違うものにするのもいいでしょう。
 
 

さらなるセキュリティ強化について

 
WordPressのセキュリティに関しては、「WordPressのユーザ名を後から変更する方法。adminの使用は危険。」「WordPressのログイン画面 URLを変更する 管理画面に Basic認証を設定する」などの記事を書いていましたが、今回、著作者アーカイブというページがあることが分かりましたので、さらにセキュリティを強化するために「WordPressの不正ログインを Force email loginで回避」という記事を書きましたので、そちらも併せてご覧ください。

 - WordPress

GoogleAdwords

GoogleAdwords

最後までお読みいただきましてありがとうございます。
この記事が参考になったと思いましたらソーシャルメディアで共有していただけると嬉しいです!

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

下記の空欄を埋めてください。 * Time limit is exhausted. Please reload CAPTCHA.

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

※入力いただいたコメントは管理者の承認後に掲載されます。

  関連記事

Advanced Custom Fieldsのカスタムフィールドの登録上限が max_input_varsに影響する問題の対処方法

Advanced custom Fieldsには登録できるフィールド数に上限があります。php.iniのmax_input_varsによる制限ですが、フィールドグループを分割することで解決できます。

技術ブログの悲劇。複数ブログをWordPressに引越して分かったこと

ブログによってユーザ層が違う。ユーザ層が違えば検索エンジンやブラウザ等が違うため、まずアクセス解析をやってみることが大事。一つの分析方法を紹介。

Custom Post Type UIでカスタムタクソノミーを設定・バージョン1.4対応解説

カスタムタクソノミーをプラグインCustom Post Type UIを使って設定する方法の解説。バージョンアップにより設定する項目も増え続け、より柔軟な設定が可能に。

WordPressの投稿プレビューのURLを変更する方法

プレビューを表示する際のURLを変更する方法の解説。「サイトアドレス (URL)」に基づいて編集されるURLを任意のURLに変更する場合の方法とその解説を行います。

WordPressで特定のURL、ページ、ファイル単位でBasic認証を設定する方法

WordPressはURLはmod_rewriteにより疑似的に作られていますが、特定のページ、特定のURL、ファイル単位でBasic認証を設定する方法を解説します。ツールも紹介。

BackWPupでバックアップ・機能の基本設定 Settings

BackWPupその5。バックアップ設定のベースになるBackWPup自体の設定解説です。

WordPress 任意のファイルを読み込むショートコードの処理

投稿ページにショートコードを利用して任意のファイルを読み込む処理の解説です。

ロリポップでWordPress+Basic認証で不具合発生!回避方法解説

ロリポップサーバでWordPressを使いBasic認証を設定する際には注意しないとWordPressが動かなくなる場合も!その回避方法を解説します。

実測比較・レンタルサーバスピード選手権!WordPressが速いのは?

WordPressが一番速く動くレンタルサーバはどれだ!実際にこのエス技研ブログをコピーして8つのサーバを比較。結果はヘテムル、X10、さくらプレミアムが同レベルで優秀。

ショートコード+ウィジェットでサイドバーに人気記事を表示させる方法

WordPressのサイドナビゲーションに人気記事を編集する方法です。プラグインを使わずウィジェットにショートコードで任意のPostIDを指定することで編集する方法です。