この記事を読むのに必要な時間は約 11 分です。
(専門用語などにはポップアップする説明をつけているので時間が長く表示されることがあります。
ツールチップの機能については、こちら)

テーマの設定をするときに最初にやっておきたい投稿者名の削除
これは、[simple_tooltip content='WordPressは、オープンソースのブログソフトウェアである。PHPで開発されており、データベース管理システムとしてMySQLを利用している。単なるブログではなくコンテンツ管理システム としてもしばしば利用されている。']WordPress[/simple_tooltip]のIDが丸わかりになってしまい[simple_tooltip content='ブルートフォースアタック（総当たり攻撃）とは、「ブルートフォース（brute force）」という言葉の意味（「強引な」とか「力ずく」）を表すような攻撃手法のことで、ユーザのアカウント・パスワードを解読するため、考えられる全てのパターンを試す方法の事を言います。 力ずくの攻撃なので、なかなか防ぐのが難しいと不安に思うかとも多いかと思いますが、しっかりと対策方法があります。']総当り攻撃[/simple_tooltip]される危険すらあります。
また、オーナーのアーカイブページにアクセスさせないという方法もしっかり対策しておきたいところです。 これは、早期に対応しておくというのが好ましいですね。

 

なぜ、投稿者名を削除しなければいけないのか？

[simple_tooltip content='WordPressは、オープンソースのブログソフトウェアである。PHPで開発されており、データベース管理システムとしてMySQLを利用している。単なるブログではなくコンテンツ管理システム としてもしばしば利用されている。']WordPress[/simple_tooltip]のIDがわかってしまう投稿者名の表示というのは、確実に非表示にしないとIDがわかるイコール[simple_tooltip content='ブルートフォースアタック（総当たり攻撃）とは、「ブルートフォース（brute force）」という言葉の意味（「強引な」とか「力ずく」）を表すような攻撃手法のことで、ユーザのアカウント・パスワードを解読するため、考えられる全てのパターンを試す方法の事を言います。 力ずくの攻撃なので、なかなか防ぐのが難しいと不安に思うかとも多いかと思いますが、しっかりと対策方法があります。']総当り攻撃[/simple_tooltip]を受ける危険性があるのです。なので、まずIDをわかりにくくするための対策が必要となります。

ユーザー名 admin パスワード 123456 のようなものを採用している場合、攻撃が成功しやすいです。 手短に言うと、ウェブサイトのセキュリティで一番脆い場所、つまり、あなた、を狙っているのです。 攻撃の性質上、サーバーのメモリ上限に達してパフォーマンス低下を引き起こすかもしれません。http リクエストの数 (あなたのサイトを訪問する回数) が非常に多いため、サーバーがメモリ不足になるからです。 この攻撃は、WordPress 特有のものではありません。
出典：WordPress Codex 日本語版 

WordPress Codex 日本語版  の記載しているhttp リクエストの数には、上限を設定する方法もあります。
それがLimit Login Attempts  という[simple_tooltip content='WordPressの機能を拡張してくれるプログラムのこと']プラグイン[/simple_tooltip]を使うとある程度は、防ぐことが可能です。
なぜ、ある程度かと言うとまぐれ当たりがあるからなのです。かなり確率低いですが・・・

と言うことは、IDが分からない場合は攻撃しづらくなるということなのです。

WordPressのIDについて

まず上記に表示されているニックネーム＝ＩＤになっている方は、すぐにあなたのプロフィールから変更した方がいいでしょう。[simple_tooltip content='WordPressは、オープンソースのブログソフトウェアである。PHPで開発されており、データベース管理システムとしてMySQLを利用している。単なるブログではなくコンテンツ管理システム としてもしばしば利用されている。']WordPress[/simple_tooltip]のＩＤを晒さないためには必要なことです。また、ＩＤにadmin  などを使ってはいけません。
その他で[simple_tooltip content='WordPressは、オープンソースのブログソフトウェアである。PHPで開発されており、データベース管理システムとしてMySQLを利用している。単なるブログではなくコンテンツ管理システム としてもしばしば利用されている。']WordPress[/simple_tooltip]のＩＤが表示される場所は、Stinger8  の場合は、投稿ページと固体ページになります。

投稿ページと固体ページの執筆者名を削除

執筆者として投稿者名が表示されていますので投稿では、single.phpを編集します。また、固定ページではpage.phpを編集します。

single.phpでは、110行目の画像選択部分を削除します。

固定ページは、page.phpの76行目の画像選択部分を削除します。
ここまででかなりＩＤの表示がされにくくなりました。

他にFancier Author Box by ThematoSoup  などを使っている場合もＩＤが晒される場合があります。Fancier Author Box by ThematoSoup  は、アップデートされるたびにプラグイン編集していますが・・・

Edit Author Slugについて

Edit Author Slug  を推奨される方も多いのですが、リンクの1部にＩＤが表示されると言う問題が解消されるわけでもなく階層が増えるだけみたいなので使わなくていい方法を考えることにしました。

 

オーナーページにアクセスさせない

複数の投稿者で運営しているサイトであれば、[simple_tooltip content='WordPress で自動生成される投稿者ごとの投稿をまとめたページです。']投稿者アーカイブのURL[/simple_tooltip]は有用な場合もあるかと思うのですが、個人ブログやホームページ運用など、管理者がひとりであれば、他のアーカイブページと内容が重複することとなります。 こういった場合はそもそも[simple_tooltip content='WordPress で自動生成される投稿者ごとの投稿をまとめたページです。']投稿者アーカイブのURL[/simple_tooltip]そのものが不要でしょう。 下記をfunctions.phpに下記を追記することで404を返します。

４０４を返すとは、そのページはありません。見つかりませんということになります。可能であれば、４０４ページもオリジナルにカスタマイズしておくといいかもしれません。

ユーザー名漏洩に備える

WordPressでのユーザー名の漏洩についての対策を書きましたが、日々のチェックと不測の事態に備えバックアップ  は必須です。 そして、Web上でのホームページ運営のセキュリティ対策として最も効果が高いのは管理画面へのIP制限です。 ホワイトリスト方式であれば、指定環境以外からはダッシュボードにアクセスすることすらできないのです。 もちろん、FTP  にも対策を行います。 これは[simple_tooltip content='WordPressは、オープンソースのブログソフトウェアである。PHPで開発されており、データベース管理システムとしてMySQLを利用している。単なるブログではなくコンテンツ管理システム としてもしばしば利用されている。']WordPress[/simple_tooltip]以外の静的HTMLのホームページにおいても有効です。

管理画面をIPアドレスで表示を規制する方法は、.htaccessに下記のコードを追記します。

自宅のIPアドレスやモバイルルーター・スマートフォンのIPアドレスを調べて  3種類ほど記載しておく方がいいと思いますが、動的でその都度変更する必要があったりすることを知っておいてください。

また、[simple_tooltip content='WordPressは、オープンソースのブログソフトウェアである。PHPで開発されており、データベース管理システムとしてMySQLを利用している。単なるブログではなくコンテンツ管理システム としてもしばしば利用されている。']WordPress[/simple_tooltip]インストール時に標準でインストールされているLimit Login Attempts  での設定なども有効な方法です。

]]>

くまはちLABのご利用ありがとうございます！ くまはちLABの最新情報をフォローしてゲットしてください！   @eddie24751102