WordPressのログインIDがバレるのをEdit Author Slugで防ぐ

ヤバイよヤバイよ、何て仕様なんだあ。何がヤバイかと言うと、ログインIDがダダ漏れだったんですよｗ

ログインIDは、パスワードと違って、入力画面上で隠されていなかったり、ニックネームに設定してネット上に公開されていたりします。なぜかは分かりませんが・・・。

WordPressもログインIDのセキュリティは甘いようで、何とある方法で部外者にIDが筒抜けになるのですよ（汗）

ログインIDがバレる理由

 ある方法とは、「http://サイト名/?author=1」をアドレスバーに入れて検索すると、「http://サイト名/author/ログインID」と表示してしまうのです。

?author=1の数字の部分は管理画面に設定されたユーザー番号で、2以降を入力するといずれ正解して、IDが分かってしまいます。あとは、パスワードに対してブルートフォースアタック（総当り攻撃）を仕掛けるだけとなります。

ブルートフォースアタックとは、プログラムを使って総当りでパスワードなどを入力し、暗号を解析するクラッキング行為です。IDが分かっているとパスワードのみの攻撃に絞れるので狙われやすくて危険です。

それじゃあIDを隠そうか。と言うのが「Edit Author Slug」というプラグインです。

幸いにもまだ誰も来てない様なので、さっさと対策しましょう。

Edit Author Slugを導入する

 プラグインのインストール手順

1. 管理画面のプラグインから新規追加をクリックします。
2. 検索窓にプラグイン名「Edit Author Slug」を入力してEnterキーを押す。
3. いますぐインストールをクリック。
4. プラグインを有効化をクリック。

Edit Author Slugを設定する

1. ユーザーにカーソルを合わせてユーザー一覧をクリック。
2. ユーザー名にカーソルを合わせると表示される編集をクリック。
3. プロフィール画面のニックネームに適当な名前を入力。
4. ブログ上の表示名をニックネームに合わせる。
5. Customにチェックを入れる。空欄のままだとページが存在しない（404）となるので適当な文字を入力。リンク切れはSEO的にも×なので。

Customに入力した文字が、「http://サイト名/author/xxxxx」のxxxxx部分に表示されます。

ログインIDを変更する方法

一度ログインID（ユーザー名）を登録すると、通常は変更できません。

しかし、WordPressは、ユーザーを変更する事で、IDを変えられます。詳しくは、変更不可能なWordPressのログインIDを変えてセキュリティアップする方法の記事を参考にしてください。

まとめ

これでログインIDが簡単にバレる事はなくなりました。

やっぱりIDとパスワードのダブルでログイン制限できた方が安心ですよね。