【WordPress設定】「Edit Author Slug」で管理者ユーザーの漏洩を防止する。

2020年6月18日

WordPressは特別な知識がなくてもブログを手軽に運用できる素晴らしいパッケージです。
しかし、WordPressにはちょっとした裏技的なアクセス方法があって、それが逆にセキュリティを脅かすことにつながりかねません。
今回のセキュリテイ対策はそんな裏技的なアクセスで不正なアクセスを防ぐためのものです。

WordPressのユーザー番号について

WordPressは複数の投稿者でサイト更新が出来るように複数のユーザーを登録することが出来ます。
投稿者は自分に割り当てられたユーザー名でログインしてサイトに投稿することが出来ます。
サイトの構成を変えるなどサイトを管理することのできる特権を持っているユーザーが管理者ユーザーであり、サイトを作成した際に最初に用意されている特殊なユーザーです。

ユーザーには数字でユーザーID(番号)を持っています。
管理者のユーザーの場合ユーザーIDは「1」になっています。

このため、以下のようにユーザーIDを1に指定したURLにアクセスすると管理者のユーザー名が表示されます。

http:[サイトURL]/?author=1

例えばローカルマシン(URL:192.168.1.201)にインストールされたWordpressの場合で試してみましょう。

まず上述のURLを入力します。

エンターキーを押すとリダイレクトされて以下のURLに飛ばされてサイト表示されます。
この時URLにユーザーIDが「1」のユーザー名(管理者ユーザー)が表示されてしまいます。

これはよくないことですね。
管理者ユーザーは知らない人には知られたくありません。(いや、知っている人でもだめですが)

では、対策を行いましょう。

スポンサードサーチ

プラグイン「Edit Author Slug」でユーザーIDによる管理者ユーザーの漏洩を防ぐ

WordPressはphpという言語でプログラムされていますので早い話プログラムを書き換えればいいのですが、多くの人には敷居が高いです。
ということで、簡単に対策を施すことが可能なプラグインを導入しましょう。

1)プラグイン「Edit Author Slug」をインストールする手順

まず管理画面にログインして画面左のメニューから「プラグイン」→「新規追加」をクリックします。

プラグインを追加する画面が表示されますので、キーワードの右にあるボックスに「Edit Author Slug」と入力して表示された「Edit Author Slug」の「今すぐインストール」をクリックします。

 

インストールが終わったら「有効化」をクリックします。

これで「Edit Author Slug」のインストールは完了です。

 

スポンサードサーチ

Edit Author Slugを設定する

メニューで「ユーザー」→「あなたのプロフィール」クリックします。

下にスクロールすると「Edit Author Slug」の設定セクションがあります。

ここでサイトで表面上表示させたいユーザー名を指定します。

1番上が本来の管理者ユーザーになっています。
2番目がニックネームに指定している名前(公開して大丈夫な名前)になっていますので、こちらを選択して「プロフィールを更新」をクリックします。

これで対応完了です。

確認してみましょう。再度以下のURLにアクセスしてみます。

先程URLに表示されていた管理者ユーザーはニックネームで表示されるようになりました。

 

 



WordPress各種設定

Posted by garnet