WordPressのユーザー名の漏えいを防ぐ方法

シェアしていただけるとうれしいです


WordPressの管理画面にログインするには「ユーザー名」「パスワード」を入力しなければならないのですが、実は「ユーザー名」が簡単にばれてしまうことはよく知られています。

投稿ページの下の方に、ユーザー名がリンクとして記載されています。

WordPressはユーザー登録した複数人のユーザーによって記事を投稿できるようになっていますが、投稿者のユーザー名のリンクをクリックすると、その投稿者の記事一覧のページが表示されます。

そもそもこのページ、自分ひとりしか投稿しないのであれば必要ないですよね。

それに気持ち悪いのが、URLに投稿者のユーザー名が含まれていること。

http://(ブログのドメイン)/author/(ユーザー名)/

といったURLになっています。

ログインするときのパスワードを類推できないような複雑なものにしていれば、仮にユーザー名が漏れたとしても、第三者に管理ページを乗っ取られる可能性は低いと言えます。

しかし、ログインするために必要な情報のうちのひとつであるログインユーザー名がばれてしまう、というのも気持ちの悪い話です。

ログインユーザー名が分からないようにする

WordPressには、実はログインユーザー名をだまくらかす、つまり、わからなくする方法が用意されているようです。

user_nicenameを設定する

WordPressのユーザーは、MySQLデータベースの「wp_users」というテーブルで管理されています。このテーブルに「user_nicename」というカラム(フィールド)があります。

この「user_nicename」ですが、デフォルトではログインユーザー名が設定されるようです。このフィールドの値を書き換えることによって、ページに表示される投稿者のリンク先URLをログインユーザー名から別のものに変えることが可能です。

このSQLをphpMyAdminで実行します。

phpMyAdminについてはこちらの記事を参照してください。

phpMyAdminを使ってWordPressのデータベースを操作する方法
WordPressをSQLで操作する WordPressの記事はデータベースの中に保存されています。データベースの中のデータを操作する

投稿者の表示を別のものに変える

私が使っている「Simplicity」というテーマは、投稿者の表示とリンク先をTwitterにしてしまうことが可能です。

「外観>カスタマイズ>レイアウト(投稿・固定ページ)」で、「投稿者情報をTwitter IDに」にチェックを入れます。
投稿者情報をTwitter IDに

このように、投稿者の表示とリンクがTwitterになります。

投稿者のリンク先をTwitterにする

そもそもauthorにアクセスできないようにする。

少し脱線して、投稿者のユーザー名の漏えいとはあまり関係がないのですが、「author」以下にアクセスがあったら「404 Not Found」を返却するという荒技も可能です。

アクセスして欲しくないページを404 Not Foundにする[WordPress]
アクセスしてほしくないページにアクセスされたら404 Not Foundを返却する WordPressの場合、「/author/」以下のデ

Simple Author Boxの投稿者のリンクを消す

私の場合、「Simple Author Box」というプラグインを使ってプロフィールを表示していますが、名前のところが投稿者ページへのリンクになっています。

「author」以下にアクセスできなくしたことで「404 Not Found」が頻繁してしまい、そのうちGoogle様に叱られそうです。

「Simple Author Box」のソースを編集して、リンクを消します。

wp-content/plugins/simple-author-box/core/sabox_author_box.php
の60行目を編集します。

60行目をコメントアウトして、61行目に貼り付け、アンカータグ(aタグ)を出力しているところを消しています。
これで投稿者名がリンクでなくなります。

Simple Author Box

パスワードの管理をしっかりと

ユーザー名が漏えいしたからといって、直ちに不正アクセスされるということではありませんが、ログインに必要な情報を少しでも外部に漏らさないという意味では、少しでも効果はあると思います。

何れにしても、パスワードの設定がキモです。複雑で類推できないものにしたほうがいいのは当然のことです。

こちらのプラグインが今のところ不正アクセスに対しては最強です。

WordPressのセキュリティを守るプラグインSiteGuard WP Plugin
インターネット上にあるものは、日々、攻撃の脅威にさらされています。ブログも例外ではありません。 特に、WordPressを使っているサイ
いわゆる「画像直リンク」、画像の複製は固くお断りいたします。
スポンサーリンク

シェアしていただけるとうれしいです

フォローよろしくお願いします

関連記事