Edit Author Slugで WordPressの不正ログイン・不正アクセスを回避
2017/03/12
Edit Author Slugを入れて不正ログインを回避
Edit Author Slugとは?
Edit Author Slugは、ユーザ名(ログインID)と Authorとして表示される表示を違うものに変更するためのプラグインです。
Edit Author Slugを使わないと何が問題なのか?
WordPressのセキュリティに関して、下記のような記事を書きました。
「WordPressのユーザ名を後から変更する方法。adminの使用は危険。」
上記の記事を書いたときには気づいていませんでしたが、その後しばらくして、Googleでこのブログがどのようにインデックスされているかを調べているときに血の気が引く思いがしました。
理由は、このブログの IDが含まれるページがインデックスされていたからです。
http://blog.s-giken.net/author/********
※「********」の部分にユーザ IDが入ります。
WordPressには、投稿者毎に投稿したページをアーカイブしたページを作る機能があり、そのページの URLに使われる文字列にユーザ IDが使われるのです。
つまりは、ユーザIDを adminから変更し、「ニックネーム(必須)」を変更して投稿記事に表示されないようにしても、投稿者アーカイブのページにはしっかり IDが表示されているのです!
知らなかったっ!!
Edit Author Slugを使って投稿者アーカイブの URLを変更する
「知らなかった」ではすまされる話ではなく、Googleにインデックスされている以上、なんとしてもすぐに対応をする必要が出てきます。
そのため早速対策をする方法を探したところ、下記のサイトを見つけました。
http://shirose.jp/2013/06/change-author-slug/
http://dogmap.jp/2013/06/18/fight-against-brute-force-attack-2/
そして、すぐさま「Edit Author Slug」をインストールすることにしました。
Edit Author Slugのインストール方法
WordPressのプラグインのインストールの解説は「WordPressプラグインの3つのインストール方法解説」に記事を書いていますので参考にしてください。
Edit Author Slugのユーザ情報の設定方法
設定はユーザのプロフィールから変更します。
「ユーザ」-「ユーザ一覧」で変更するユーザを選択し、プロフィールの編集画面を表示させます。
その編集画面の一番下に「Edit Author Slug」の項目が追加されているはずです。
ここで、「Author Slug」を決定します。(ここで選択された文字列が、そのまま表示の URLになります。)
私の場合は、「ニックネーム(必須)」を日本語で付けているため、2つ目の項目が「%e3%82%a8%e3%82%b9%e6%8a%80%e7%a0%94」となっています。
このままでもよければこれでもいいのでしょうが、分かりやすく 3つ目の項目「Custom」に「blog-s-giken-net」を入れて「プロフィールを更新」をクリックして保存します。
(「ニックネーム(必須)」をアルファベットで付けている方は、2つ目の項目にアルファベットが表示されますので、2項目目でも問題ないでしょう。)
設定はこれだけです。
これで、著作者アーカイブの URLが変更されます。
http://blog.s-giken.net/author/blog-s-giken-net
また、ユーザが複数登録されている場合は、その全てのユーザで同様の設定をしてくださいね。
全てのユーザの対応を行わないとセキュリティホールを塞いだことになりませんので。
Edit Author Slugの設定方法
上記では、ユーザ毎の「Author Slug」を変更しましたが、「Edit Author Slug」自体の設定は、「設定」-「Edit Author Slug」から移動する画面で設定を行います。
ですが、特に変更する必要はありません。
URLをもっと自由に変えたい場合は、「Author Base」の「author」を違うものにするのもいいでしょう。
さらなるセキュリティ強化について
WordPressのセキュリティに関しては、「WordPressのユーザ名を後から変更する方法。adminの使用は危険。」「WordPressのログイン画面 URLを変更する 管理画面に Basic認証を設定する」などの記事を書いていましたが、今回、著作者アーカイブというページがあることが分かりましたので、さらにセキュリティを強化するために「WordPressの不正ログインを Force email loginで回避」という記事を書きましたので、そちらも併せてご覧ください。
GoogleAdwords
GoogleAdwords
この記事が参考になったと思いましたらソーシャルメディアで共有していただけると嬉しいです!
関連記事
-
-
WP jQuery LightBoxでWordPressの画像を簡単に見やすくする方法解説
画像のリンクに対して LightBox効果を簡単に追加するプラグイン。インストールして数項目にチェックを入れるだけで設定完了。属性を追加することで機能も追加できる。
-
-
WordPress・Contact Form7、MW WP Form共通 細かなデザイン調整方法
お問い合わせフォームプラグインの Contact Form7、MW WP Formにおけるラジオボタン、チェックボックスなどの見た目を調整する小技を紹介。
-
-
WordPressのカスタムフィールド、カスタム投稿、カスタムタクソノミーとは?
WordPressのカスタムフィールド、カスタム投稿、カスタムタクソノミーの基本的な内容を解説。お薦めのプラグインと編集方法も解説しサンプルソースなども紹介。
-
-
技術ブログの悲劇。複数ブログをWordPressに引越して分かったこと
ブログによってユーザ層が違う。ユーザ層が違えば検索エンジンやブラウザ等が違うため、まずアクセス解析をやってみることが大事。一つの分析方法を紹介。
-
-
PoeditでWordPressの日本語対応方法。英語プラグインの日本語翻訳ファイル作成
プラグインの日本語化の手順のまとめ。.pot、.po、.moファイルの解説や便利ツールの Poeditの紹介を行いつつ、手順、ファイル設置場所、注意ポイントなども紹介。
-
-
Advanced Custom Fields(ACF)のアドオン・繰り返しフィールドの使い方解説
Advanced Custom Fieldsのアドオン・繰り返しフィールドについて解説。繰り返しフィールドは投稿者が入力フィールドを追加しながら情報を入力できるフィールドを提供。
-
-
テキストエディタ秀丸で正規表現による置換の方法の解説
秀丸で正規表現による置換を行うポイントを紹介。置換をしながら特定のキーワードは置換せずに置換結果に残す方法を実例を上げながら解説しています。
-
-
WordPressにプラグインを使わず OGP(Open Graph Protocol)の設定方法解説
WordPressに OGP(Open Graph Protocol)をプラグインを使わずに設定する方法の解説。
-
-
Custom Post Type UIでカスタム投稿を設定・バージョン1.4対応解説
カスタム投稿をプラグインCustom Post Type UIを使って設定する方法を解説。バージョンアップにより設定する項目も増え、より柔軟な設定ができます。
-
-
WordPressの記事編集で文字が自動変換される要注意な文字列
記事を編集する際、入力した文字とは違う表示のされ方をする文字、アポストロフィ、ダブルクォート、円マーク、三点リーダ(…)など、その解説と対応方法です。