のんびりGoogle Analyticsのリアルタイムレポートを覗いていたら…。
「author-ユーザー名」と書かれたURLを発見。
こんなURLあったっけ…?と試しにGoogle先生に聞いてみると、どうやらこのページがあると自分のユーザー名が流出し、Wordpressがハッキングされる危険があるらしい…。
いやそんな話聞いてないんだけど。最初に言ってよ。
何とか解決させたので、自分用の備忘録がてらまとめておきます。
ユーザー名が流出する!?Wordpressに隠された恐るべき機能とは?
そもそもユーザー名が流出するとどうなるのか?という問題。
どうやらユーザー名が流出してしまうと、あとは適当なパスワードを入れるだけで簡単にWordpressの管理者以外でもログインできてしまうのだとか。
予測しやすいパスワードなら尚更のこと。
そうなってしまうと、ハッキングも簡単にされてしまうのだとかΣ(゚Д゚)
いや聞いてないって。
更に恐ろしいことに、Wordpressの最初のデフォルト設定では、ブログの記事自体にもユーザー名は記載されており…。
また「/?author=1」とサイトのURLの最後に入れると、記事の投稿者のアーカイブが表示され、URLの語尾が「/author/ ユーザー名」へと変更されてユーザー名がばれてしまうのだとか…。
いやだから聞いてないって!!!
WordPressさんさ、すごく便利なツールだけどその辺ちょっと不親切だよね。うん。
初心者で何にも知らない人間からしたら分からないって。。。
せめて最初にやるべきリストみたいな、説明書的なの付けといてくれないと…(文句)。
というか、私がWordpressでブログを書き始めてもうすぐ2年。今までずっとハッキングの危険にさらされていたってことですか…。マジで?
ハッキングされなかったのは運が良かっただけ…?えっ…。
今からでもまだ間にあう…はず!
早速その対策をしていきます。
「author」を入力されてもユーザー名がバレないようにするには?
今回私が行った対策は2つ。
1つ目は「記事のラストに記載される、投稿者の名前をニックネームへと変更」。
2つ目は「/?author=1をURLの語尾に入力されても、ユーザー名が表示されないように対策」。
1つ目から順番にご紹介していきます。
こちらはどうやら常識らしい(いや知らないって…書いといてよ…)ので、ご存知の方は飛ばしてください。
ユーザー名をニックネームに変更!
こちらはとっても簡単にできます。
まずはWordpressの管理画面にログイン。「ユーザー」から「あなたのプロフィール」という所をクリックします。
すると中間あたりに「名前」という項目が。
そちらのニックネームに、ブログ内で表示したい名前を入力します。
その下の「ブログ上の表示名」というところから先程入力したニックネームを選択し、画面一番下の「プロフィールを更新」をクリックして完了です。
これで書いた記事の一番下などに表示される名前が、ユーザー名ではなくなりました。
しかしこれだけでは「/?author=1」と誰かが検索した場合、ユーザー名が表示されてしまいます。
今度は、そちらの方の対策を行っていきましょう。
「/?author=1」を入力されてもユーザー名を特定されない方法とは?
こちらはテーマのCSSをいじる、ちょっと難易度の高い方法です。
といっても、私は詳しい方のサイトを見て、コピペして真似をしただけなのですが(笑)
私が参考にさせていただいたのは、こちらの記事↓
最初にやるべきWordPressのセキュリティ対策。ログインユーザー名がバレるのを防ぐ
色々検索してみたのですが、どれも難しく分かりにくくて…。この方の記事が一番簡潔に分かりやすくまとめられていたので、参考にさせていただきました。
こういうWordpressの裏側?のようなことには無知なブロガーなので、こういう記事はほんとにありがたいです…。
まずは先程と同じくWordpressの管理画面にログインし、「外観」から「テーマエディター」をクリック。
「functions.php」の一番下に、先程のブログにある「URLに「/?author=1」が入力されても、functionsの設定でユーザー名を特定させない方法」の欄に書かれているコードを記載し、「ファイルを更新」を押すだけ。
これだけで投稿者の名前をクリックしても、ブログのトップページに自動的に移動されるようになります。
また「/?author=1」を検索しても、404のページが表示されるようになりました!
もちろん、URLの方にもユーザー名は表示されていません!やったー!!
簡単に解決してくれてよかった♪
とっても簡単にコピペとワンクリックで行えるのですが、ブログの根本であるCSSをいじることになるので、一応リスクを伴います。
私も一度、Wordpressの高速化のためのコードをコピペして「functions.php」に記載してみた所、ブログが真っ白になり、管理画面にすらログインできなくなったことがあります。
その時はエックスサーバーの方から元に戻せたのですが…。
私はこちらのコードを記載しても異常は起きませんでしたが、もし私のブログを見て試した方に問題が起きても責任はとれませんので悪しからず、です。
とにかく何の問題も起こらず、無事セキュリティ対策ができてよかったよかった♪
これで私のWordpressブログが、ユーザー名が流出しハッキングされる危険はなくなった…はず。
これ以外にもWordpressがハッキングされる可能性のある問題はあるのかな…?どうなんだろう?
また何かWordpressの問題等を見つけたら、備忘録がてら記事にしていきます。
それではまた♪
