Stinger8でWordPressのIDをわかりにくくする方法
この記事を読むのに必要な時間は約 11 分です。
(専門用語などにはポップアップする説明をつけているので時間が長く表示されることがあります。
ツールチップの機能については、こちら)
テーマの設定をするときに最初にやっておきたい投稿者名の削除
これは、WordPressのIDが丸わかりになってしまい総当り攻撃される危険すらあります。
また、オーナーのアーカイブページにアクセスさせないという方法もしっかり対策しておきたいところです。
これは、早期に対応しておくというのが好ましいですね。
なぜ、投稿者名を削除しなければいけないのか?
WordPressのIDがわかってしまう投稿者名の表示というのは、確実に非表示にしないとIDがわかるイコール総当り攻撃を受ける危険性があるのです。なので、まずIDをわかりにくくするための対策が必要となります。
ユーザー名 admin パスワード 123456 のようなものを採用している場合、攻撃が成功しやすいです。
手短に言うと、ウェブサイトのセキュリティで一番脆い場所、つまり、あなた、を狙っているのです。
攻撃の性質上、サーバーのメモリ上限に達してパフォーマンス低下を引き起こすかもしれません。http リクエストの数 (あなたのサイトを訪問する回数) が非常に多いため、サーバーがメモリ不足になるからです。
この攻撃は、WordPress 特有のものではありません。
出典:WordPress Codex 日本語版
WordPress Codex 日本語版 の記載しているhttp リクエストの数には、上限を設定する方法もあります。
それがLimit Login Attempts というプラグインを使うとある程度は、防ぐことが可能です。
なぜ、ある程度かと言うとまぐれ当たりがあるからなのです。かなり確率低いですが・・・
と言うことは、IDが分からない場合は攻撃しづらくなるということなのです。
WordPressのIDについて
まず上記に表示されているニックネーム=IDになっている方は、すぐにあなたのプロフィールから変更した方がいいでしょう。WordPressのIDを晒さないためには必要なことです。また、IDにadmin などを使ってはいけません。
その他でWordPressのIDが表示される場所は、Stinger8 の場合は、投稿ページと固体ページになります。
投稿ページと固体ページの執筆者名を削除
執筆者として投稿者名が表示されていますので投稿では、single.phpを編集します。また、固定ページではpage.phpを編集します。
single.phpでは、110行目の画像選択部分を削除します。
固定ページは、page.phpの76行目の画像選択部分を削除します。
ここまででかなりIDの表示がされにくくなりました。
他にFancier Author Box by ThematoSoup などを使っている場合もIDが晒される場合があります。Fancier Author Box by ThematoSoup は、アップデートされるたびにプラグイン編集していますが・・・
Edit Author Slugについて
Edit Author Slug を推奨される方も多いのですが、リンクの1部にIDが表示されると言う問題が解消されるわけでもなく階層が増えるだけみたいなので使わなくていい方法を考えることにしました。
オーナーページにアクセスさせない
複数の投稿者で運営しているサイトであれば、投稿者アーカイブのURLは有用な場合もあるかと思うのですが、個人ブログやホームページ運用など、管理者がひとりであれば、他のアーカイブページと内容が重複することとなります。 こういった場合はそもそも投稿者アーカイブのURLそのものが不要でしょう。 下記をfunctions.phpに下記を追記することで404を返します。
1 2 3 4 5 6 7 8 |
add_filter( 'author_rewrite_rules', '__return_empty_array' ); function disable_author_archive() { if( $_GET['author'] || preg_match('#/author/.+#', $_SERVER['REQUEST_URI']) ){ wp_redirect( home_url( '/404.php' ) ); exit; } } add_action('init', 'disable_author_archive'); |
404を返すとは、そのページはありません。見つかりませんということになります。可能であれば、404ページもオリジナルにカスタマイズしておくといいかもしれません。
ユーザー名漏洩に備える
WordPressでのユーザー名の漏洩についての対策を書きましたが、日々のチェックと不測の事態に備えバックアップ は必須です。 そして、Web上でのホームページ運営のセキュリティ対策として最も効果が高いのは管理画面へのIP制限です。 ホワイトリスト方式であれば、指定環境以外からはダッシュボードにアクセスすることすらできないのです。 もちろん、FTP にも対策を行います。 これはWordPress以外の静的HTMLのホームページにおいても有効です。
管理画面をIPアドレスで表示を規制する方法は、.htaccessに下記のコードを追記します。
1 2 3 4 5 |
<Files "wp-login.php"> order deny,allow deny from all allow from ***.***.***.*** # 自身が接続するIPアドレス </Files> |
自宅のIPアドレスやモバイルルーター・スマートフォンのIPアドレスを調べて 3種類ほど記載しておく方がいいと思いますが、動的でその都度変更する必要があったりすることを知っておいてください。
また、WordPressインストール時に標準でインストールされているLimit Login Attempts での設定なども有効な方法です。
![]() |
くまはちLABのご利用ありがとうございます! |