naenote.netへようこそ

ガジェット大好きコンサルの運営する
レビューブログです

レビュー記事一覧

【導入必須】誰にでも丸見えなWordPressログインIDを秘匿するプラグイン「Edit Author Slug」

あなたのWordPressログインIDは基本、全世界にバレてます。

実験してみましょう。以下やってみてください。

ログインIDをバラす手順

  1. あなたのブログのトップページを開く
  2. URLの最後に「/?author=1」と入れてEnter
  3. 遷移先のURLの末尾を見る

 

ログインIDがモロバレのURL

↑こんな感じで、URLの末尾にログインIDが出ていると思います。

別にログインもなにもしていないのに、ログインIDがURLに出てしまうんです。

複数人で共同運営の場合、1を別の数字に変えると、他の人のログインIDも出てきます。

 

実はこれ、よく知られたWordPressの仕様です。全世界のハッカーももちろん把握済。

つまりあなたのログインIDは、全世界のハッカーがすぐに知れる状態にあります

ログインページのURLなんてすぐバレるので、ようは当てずっぽうでもパスワードを当てられたら管理画面に入られ、乗っ取られてしまいます。

セキュリティ的に非常にまずい状態です。

 

そこで本記事では、ログインIDを秘匿してセキュリティを高めるWordPressプラグイン「Edit Author Slugを紹介します。

これ、全WordPressブロガーが導入すべきです。

ここまでで意味がわかった方は、これから先は読まなくていいので、一刻も早く「Edit Author Slug」を入れに管理画面へ行ってください。

参考 Edit Author Slug | WordPress.org

全世界のハッカーに狙われている証拠

「PVが少ない私の弱小ブログなんてわざわざ狙わないでしょ?」

と思ったあなた。甘いです。

セキュリティアタックはBot化されている

昨今のセキュリティアタックは基本、すべてBotで自動化されています。

そしてBotは24時間営業。ネットの世界をすみずみまで嗅ぎまわり、攻撃対象を見つけては、全自動でセキュリティアタックをかけるのです。

WordPressは狙われやすい

くわえて、世界の7割のWebサイトはWordPressで作られていると言われています。

つまり攻撃する側からすると、WordPressに特化したBotを作るほうが効率が良いんです。

そのためWordPress製のサイトは特に狙われやすいと思うほうが自然です。

実録、当ブログへのセキュリティアタックの痕跡

 

naenote.netへのセキュリティアタックの足跡

こちら当ブログの404エラーログに記録されていた、セキュリティアタックの痕跡です。

「/etc/passwd」など、重要なファイルへのアクセスを試みていることから、「ディレクトリトラバーサル」という攻撃手法と思われます。

かつ、アクセス時間はすべて同じ。短い時間で複数回の攻撃を同時多発的に行ってきたことから、明らかにBotのしわざです。

 

このように、ネットのかたすみに漂う当ブログでさえ、Botによるセキュリティアタックを受けています。

あなたのブログも狙われていると思うほうが自然です。

WordPressのログインIDを隠すべき理由

セキュリティアタックの種類は多岐にわたります。もっとも有名かつ有効なのが「ブルートフォースアタック」です。

ブルートフォースアタックとは、ログインページに対してログインIDとパスワードの組み合わせを当てずっぽうで入力して、まぐれのログイン成功を狙うというもの。ログインページは基本、この攻撃にさらされていると思ってください。

そしてブルートフォースアタックの成功率は、ログインIDがバレているだけで約3000億倍高くなります。(ログインIDが英語8文字の場合、27^8で試算)

もしあなたが仮に「忘れないように」といって、パスワードを短い英単語にしているなら、今すぐにでもログインページが破られておかしくありません。ログインIDがバレているということは、それほどセキュリティリスクを高めるんです。

これが、「ログインIDを隠すべき」「そのためのプラグインは導入必須」と言い切る理由です。

Edit Author Slugの使い方

なので「Edit Author Slug」で、URLで見えてしまうログインIDを隠しましょう。

Edit Author Slugの使い方
  • Step1
    プラグインを入れる

    Edit Author Slugの検索画面

    「プラグイン>新規追加」で、「Edit Author Slug」を検索・インストール・有効化します。

  • Step2
    プロフィールからSlugを変更

    「ユーザー>あなたのプロフィール」の下の方に「Edit Author Slug」セクションが出てくるので、「カスタム設定」を選択&好きな文字列を入れて「プロフィールを更新」します。

  • Step3
    URLを確認

    ログインIDがモロバレのURL

    ブログトップのURLに「/?author=1」を足してEnterしたとき、先ほど設定した文字列がURLに出てくることを確認します。

これで少なくとも、「?author=1」でログインIDがバレることはなくなりました。

まとめ:ブログの防御力もケアしよう

ブログ運営というとPVやシェア数、収益などの「攻撃力」に目がいきがち。

しかし「防御力」=セキュリティのケアがおそろかになっている人、かなり多いと思います。

WordPressブログは管理画面が命。乗っ取られたらすべて終わりです。

管理画面を守るため、ログインIDがバレない対策をしておくことを強くおすすめします。

以上、「WordPressログインIDを秘匿するプラグインEdit Author Slugの紹介」でした。

コメント

コメント以外のご意見・ご要望、管理人へのご連絡などは、お問い合わせからどうぞ

スポンサーリンク