【導入必須】誰にでも丸見えなWordPressログインIDを秘匿するプラグイン「Edit Author Slug」

あなたのWordPressログインIDは基本、全世界にバレてます。

実験してみましょう。以下やってみてください。

 

↑こんな感じで、URLの末尾にログインIDが出ていると思います。

別にログインもなにもしていないのに、ログインIDがURLに出てしまうんです。

複数人で共同運営の場合、1を別の数字に変えると、他の人のログインIDも出てきます。

 

実はこれ、よく知られたWordPressの仕様です。全世界のハッカーももちろん把握済。

つまりあなたのログインIDは、全世界のハッカーがすぐに知れる状態にあります。

ログインページのURLなんてすぐバレるので、ようは当てずっぽうでもパスワードを当てられたら管理画面に入られ、乗っ取られてしまいます。

セキュリティ的に非常にまずい状態です。

 

そこで本記事では、ログインIDを秘匿してセキュリティを高めるWordPressプラグイン「Edit Author Slug」を紹介します。

これ、全WordPressブロガーが導入すべきです。

ここまでで意味がわかった方は、これから先は読まなくていいので、一刻も早く「Edit Author Slug」を入れに管理画面へ行ってください。

参考 Edit Author Slug | WordPress.org

全世界のハッカーに狙われている証拠

「PVが少ない私の弱小ブログなんてわざわざ狙わないでしょ？」

と思ったあなた。甘いです。

セキュリティアタックはBot化されている

昨今のセキュリティアタックは基本、すべてBotで自動化されています。

そしてBotは24時間営業。ネットの世界をすみずみまで嗅ぎまわり、攻撃対象を見つけては、全自動でセキュリティアタックをかけるのです。

WordPressは狙われやすい

くわえて、世界の7割のWebサイトはWordPressで作られていると言われています。

つまり攻撃する側からすると、WordPressに特化したBotを作るほうが効率が良いんです。

そのためWordPress製のサイトは特に狙われやすいと思うほうが自然です。

実録、当ブログへのセキュリティアタックの痕跡

 

こちら当ブログの404エラーログに記録されていた、セキュリティアタックの痕跡です。

「/etc/passwd」など、重要なファイルへのアクセスを試みていることから、「ディレクトリトラバーサル」という攻撃手法と思われます。

かつ、アクセス時間はすべて同じ。短い時間で複数回の攻撃を同時多発的に行ってきたことから、明らかにBotのしわざです。

 

このように、ネットのかたすみに漂う当ブログでさえ、Botによるセキュリティアタックを受けています。

あなたのブログも狙われていると思うほうが自然です。

WordPressのログインIDを隠すべき理由

セキュリティアタックの種類は多岐にわたります。もっとも有名かつ有効なのが「ブルートフォースアタック」です。

ブルートフォースアタックとは、ログインページに対してログインIDとパスワードの組み合わせを当てずっぽうで入力して、まぐれのログイン成功を狙うというもの。ログインページは基本、この攻撃にさらされていると思ってください。

そしてブルートフォースアタックの成功率は、ログインIDがバレているだけで約3000億倍高くなります。（ログインIDが英語8文字の場合、27^8で試算）

もしあなたが仮に「忘れないように」といって、パスワードを短い英単語にしているなら、今すぐにでもログインページが破られておかしくありません。ログインIDがバレているということは、それほどセキュリティリスクを高めるんです。

これが、「ログインIDを隠すべき」「そのためのプラグインは導入必須」と言い切る理由です。

Edit Author Slugの使い方

なので「Edit Author Slug」で、URLで見えてしまうログインIDを隠しましょう。

これで少なくとも、「?author=1」でログインIDがバレることはなくなりました。

まとめ：ブログの防御力もケアしよう

ブログ運営というとPVやシェア数、収益などの「攻撃力」に目がいきがち。

しかし「防御力」＝セキュリティのケアがおそろかになっている人、かなり多いと思います。

WordPressブログは管理画面が命。乗っ取られたらすべて終わりです。

管理画面を守るため、ログインIDがバレない対策をしておくことを強くおすすめします。

以上、「WordPressログインIDを秘匿するプラグインEdit Author Slugの紹介」でした。