スキルアップ

ログインユーザー名バレてない?WordPressのセキュリティ対策

WordPressの設定で、セキュリティ的にやっておいた方がいいことがいくつかあります。 以前のブログでセキュリティ対策として実行したことをまとめておきます。

セキュリティの面で設定しておいた方が良いこと

WordPressの最初の設定を行う上で、なんとなくやった方がいい気がすると思ったことがいくつかありました。そして、どうやらその感覚は正解のようです。 調べてみたところによると、どうやらセキュリティ的に問題があるようです。

メタ情報を非表示にしよう

まずは、なんとなくやっといた方がいいかな?と思ってやったことがひとつ。 テーマを設定してブログをチェックしていた時に気になったのが、サイドカラムに表示されていた「メタ情報」。

WordPressのセキュリティ対策-コンテンツを新規ユーザーのものにする-
前のブログで最初に表示されていた「メタ情報」

サイト管理とかいろいろ載ってますが……これいる?と思ったので消しました。 管理画面のウィジェットから「使用停止中のウィジェットに」ドラッグするだけで簡単に非表示にすることができます。

メタ情報って必要なの?

その後、メタ情報って何よ?と検索してみました。 要はブログから簡単に管理画面にログインできて便利だよ!っていう、サイト運営者にしか必要ないものだそうです。消して正解。

セキュリティ面で悪影響も……

そして、いろいろ調べるうちに、メタ情報の表示はセキュリティの面でもあまりよくないことがわかりました。なぜかというと、ログインURLがバレてしまうわけなので、そこから管理画面にアクセスされてしまっては大変だからです。

ブログはわたしひとりで運営するので、管理画面にログインするのもわたしだけ。 ユーザー名やメールアドレス、パスワードがわからないから大丈夫とはいえ、知られない方がいいことに変わりはありません。

ログインユーザー名がバレるとまずい!?

WordPressはプロフィール設定でニックネームをつけることができます。ニックネームをつけることで、ブログ上ではニックネームが表示されることとになります。

そして、ユーザー名はログインの際に使用するのでバレないほうがいいんです。 ……そんなこと、わたしは初めて知りました。

そして、愕然としました。 ブログに表示される名前は、いま設定しているログインユーザー名がいい! どうしてもそうしたい!

そこで、どうにかログインユーザー名を変更してみることにしました。 大まかなやり方は下記の通りです。

  1. 新規ユーザーの追加
  2. ログアウトして新規ユーザーでログイン
  3. 既存ユーザーを削除

1.新規ユーザーの追加

まず、新規ユーザー(これから使用するユーザー)を作成します。

WordPressのセキュリティ対策-新規ユーザー作成-

今現在ログインしているユーザーと同じメールアドレスは登録できません。 そして、権限グループを管理者にするのを忘れないでください。

2.ログアウトして新規ユーザーでログイン

新しいユーザーを追加できたら、ログインして新しく設定したログインユーザー名とパスワードでログインします。

3.既存ユーザーを削除

そして、既存ユーザーを削除します。ユーザー一覧で名前にカーソルを合わせて「削除」をクリック。
ここで重要なことがひとつ。 すでに投稿している記事がある場合は、作成者が既存ユーザーになっています。

WordPressのセキュリティ対策-投稿記事が既存ユーザー名-

このまま既存ユーザーを削除すると記事が消えてしまうので、「すべてのコンテンツを以下のユーザーのものにする」で新規ユーザーを選択してください。

WordPressのセキュリティ対策-コンテンツを新規ユーザーのものにする-

こうしておくと、投稿記事の作成者が変わるので記事が消えることはありません。

これで、ブログ上でログインユーザー名と異なるニックネームを表示できるようになりました。

ログインユーザ名の表示を防ぐ

さて、実はもう一か所ログインユーザー名が表示される部分があるのです。 それが投稿者の記事一覧ページ、投稿者アーカイブのURLです。

WordPressのセキュリティ対策-ログインIDが表示される-

アドレスバーに 「サイトURL/?author=1」と入力すると、ユーザー名が表示された画像のURLにリダイレクトされます。

プラグイン「Edit Author Slug」を使おう

このブログではわたししか記事を書かないので、「この記事は〇〇が書きました」といった情報は表示させていません。

ですが、投稿者アーカイブを見る方法はいくらでもあるのでセキュリティ対策しておきます。

これには「Edit Author Slug」というプラグインを使います。 新規追加して有効化すると、プロフィール設定画面に「Edit Author Slug」の項目が追加されます。そこで、投稿者スラッグを設定することができます。

WordPressのセキュリティ対策-投稿者スラッグを変更する-

前のブログでは、ログインIDともニックネームともかぶらないスラッグを設定していましたが、このブログではニックネームである「crina」をスラッグにしています。

WordPressのセキュリティ対策-投稿者スラッグを変更-

このURLから、ログインIDにつながることはありません。セキュリティレベルがアップしました!

ログインURLを変更したい

WordPressのログインURLはとても簡単です。ちょっと検索すればすぐに出てきます。

サイトURL/wp-login.php」という、自分のサイトURLに”wp-login.php”をくっつけただけのわかりやすいURLです。

簡単にわかるということは、自分以外の第三者にもすぐわかってしまうということですよね。 せっかくなので、これも対策しておきましょう。

プラグイン「SiteGuard WP Plugin」を使おう

SiteGuard WP Plugin」というプラグインでログインURLを変更することができるので使ってみることにしました。 新規追加して有効化すると、すぐにログインURLが変更になります。

WordPressのセキュリティ対策-ログインURL変更-

初期値では「login_<5桁の乱数>」で設定されますが、任意の文字列に変更可能です。変更後はログイン画面のブックマークをお忘れなく。
ログイン画面のURLは登録しているメールアドレスも届くので、ブックマークを忘れた場合はそちらを参照してください。

WordPressのセキュリティについて考える

今までWordPressを使ったことはありましたが、けっこうセキュリティ意識が甘かったなぁと思い知りました。

WordPressのログインURLがわからなくなっても、検索すればすぐにわかります。
そして、ログインに必要なユーザー名とパスワード。 ログインユーザー名が第三者にもすぐわかる状態だと、パスワードが漏れたら自分のブログに誰でも容易にログインできてしまうってことですよね。改めて考えると怖いです。

今回、ログインするために必要なログインURLとログインユーザー名に対してきちんと対策できたので、なんだかとても安心です。 セキュリティ対策は重要ですよね。何もないとは思いますが、何かあってからでは遅いんです。

WordPressのセキュリティ対策まとめ
  • メタ情報を非表示にする
  • ログインユーザー名がわからないようにする
  • ログインユーザー名を非表示にする
  • ログインURLを変更する