こんにちは! ジロウです。
今回はWordPressでブログを運営する場合のセキュリティー面についてお話しして行きます。僕もこれを知った時にはハッとさせられたので、皆さんも以下、参考にしてみて下さい。
運営しているWordPressのユーザー名を特定した第三者(主に海外)が、不正ログインを試みた形跡があることが通知メールから判明することがあります。
「All In One WP Security & Firewall」のようなプラグインを導入している方なら経験があるかも知れませんね。
このユーザー名とはご存知のとおり、WordPressの管理画面(ダッシュボード)にログインする際に、パスワードと共に入力するものです。
つまり、何らかの方法でユーザー名を突き止めた第三者が、パスワードを特定するツールなんかを使ってアタックを仕掛けて来ているわけです。
では、どうしてユーザー名がバレてしまうのか・・・?
ここには、WordPress特有の落とし穴があったのでした。
WordPressのユーザー名が簡単に特定される原因
説明の前に、まずは、ブラウザのURL欄に下記のように入力して[Enter]キーを叩いてみて頂きたいのです。
https://ご自分のブログのドメイン名/?author=ID
例えば「example.com」というドメインだったら、
https://example.com/?author=1
のようになります。
すると、運営中のブログの「投稿者のアーカイブページ」が表示されると思います。
そこで、ブラウザのURL欄を今一度見て下さい。下記のようにURLの末尾に表示されるのは、投稿者名(ニックネーム)ではなく、ご自分のユーザー名ではないですか?
この方法で簡単にあなたのユーザー名が特定されてしまう可能性があります。あとはパスワードを解明すれば不正にログインできる状況になります。
強固なパスワードを設定していればほぼ大丈夫だとは思いますが、それでも何かちょっと嫌ぁ~な感じがしませんか?
また、ブログ上の「ニックネーム」にユーザー名と同一の名前を付けて運営している場合、やはり第三者にユーザー名が特定されやすい状況になります。
こんな状況になる原因は、サーバーにWordPressをインストールする時に設定する「WordPressID」が、そのままユーザー名としても割り当てられることにあるようです。
これを、僕みたいに特に深い考えもないまま、全く同じ名前をニックネームにも付けているケース、あるいは、「WordPressID」がデフォルトでニックネームにも反映される場合があり、そのままブログを運営をしているケースもあるみたいです。
WordPressの管理画面(ダッシュボード)から、[ユーザー]⇒[あなたのプロフィール]と進んで、上図のようにユーザー名とニックネームが同一だとしたら危険です。
WordPressユーザー名の秘匿性を保つために
それでは、上記のような状況に陥らない方法、あるいは既に陥っている現状を改善する方法についてお伝えして参ります。
先述のとおり、強固なパスワードを設定していればそこまで心配はないと思いますが、やはり「念のため」ということもありますので、気になる方は参考にして下さい。
新たにWordPressでブログを開設する場合
これから新たにブログを開設する場合には、サーバーにWordPressをインストールする際に、最初からユーザー名とニックネームの使い分けを念頭に置いて「WordPressID」を決めましょう。
つまり、ブログ上で名乗りたいニックネームは、「WordPressID」には使わないようにする、ということです。
「wpXクラウド」のWordPressインストール画面
これでニックネームからユーザー名を特定されることは無くなります。
続いて、「Edit Author Slug」というプラグインを利用して、「投稿者のアーカイブページ」のURLからユーザー名が特定されることを防ぐためのカムフラージュをします。
WordPressに「Edit Author Slug」をインストール&有効化して、[ユーザー]⇒[あなたのプロフィール]と進み、下へスクロールします。
「Edit Author Slug」という項目が追加され、「投稿者スラッグ」で任意のカムフラージュ名を設定することができるようになっています。
「カスタム設定」のラジオボタンをクリックし、右側の枠内に任意の名前を入力します。小文字の英数字と「-(ハイフン)」が使えます。
入力したら、画面左下の[プロフィールを更新]をクリックして設定完了です。
これで「https://example.com/?author=1」で「投稿者のアーカイブページ」にアクセスしても、URLの末尾には設定したカムフラージュ用の名前が表示されるようになるはずです。
既にWordPressでブログを運営中の場合
既にユーザー名がバレバレの状態でブログを運営している場合、しっかりしたパスワードで保護しているのであれば今からでも「Edit Author Slug」プラグインでカムフラージュしましょう。
もし、「それだけでは不安だ」という場合には、ユーザー名を変更する方法もあります。
つまり、ユーザー名を変更した上で「Edit Author Slug」プラグインでカムフラージュするという流れです。
ユーザー名を変更するには、「Admin renamer extended」というプラグインを使う方法と、WordPressの機能を利用する方法の2つがあります。順に説明してみましょう。
「Admin renamer extended」でユーザー名を変更する方法
でも、一度変更したユーザー名は、プラグインを停止&削除しても元に戻ってしまうことはありません。
インストール&有効化すると、WordPressダッシュボード左サイドメニューの[プラグイン]の下に[Admin renamer extended]が追加されるので、これをクリックします。
入力枠の中に新しいユーザー名を入力し、[Update]をクリックします。
下図のように表示された後にログイン画面に遷移するので、新しいユーザー名とこれまでのパスワードで再ログインします。
ログインできれば完了です。[ユーザー]⇒[あなたのプロフィール]と進んで、ユーザー名が変更されていることを確認してみて下さい。
OKであれば、用済みの「Admin renamer extended」は停止&削除しても大丈夫です。
後は先述のように、「Edit Author Slug」プラグインで新しいユーザー名をカムフラージュしましょう。
WordPressの機能を利用してユーザー名を変更する方法
「Admin renamer extended」が使えなくなった、あるいは、何らかの理由でプラグインは使いたくない、という場合には、WordPressの機能(設定)を利用してユーザー名を変更することもできます。
万が一、投稿記事が消失したとしても自己責任であることをご承知置き下さい。
新しいユーザー名に変更すると、現在設定しているメールアドレスは使えないので、引き続き同じメールアドレスを使いたい場合は、最初に現在のメールアドレスを変更しておきます。
そして新しいユーザー名を設定する際に、これまでのメールアドレスをあらためて登録するわけです。
[ユーザー]⇒[あなたのプロフィール]と進み、「連絡先情報」のメールアドレスを変更しましょう。
変更したら[プロフィールを更新]をクリックすると、このメールアドレスに確認メールが届きます。そこに記載されたリンクをクリックして承認すれば有効化されます。
続いて、[ユーザー]⇒[新規追加]と進みます。
下図のように入力して行きましょう。
「権限グループ」は、必ず「管理者」を選択することをお忘れなく!
また、「パスワード」は、以前のものでも良いし、この機会にもっと強固なものに変更しても良いでしょう。
設定したら[新規ユーザーを追加]をクリックします。
すると、「ユーザー一覧」画面に遷移して、管理者名義の2つのユーザーが表示されます。
画面右上の「こんにちは、○○さん」にカーソルを当て、[ログアウト]をクリックして一旦ログアウトします。
新しいメールアドレスに送られるメールに「パスワードを設定するには以下のアドレスへ移動してください。」と書かれたリンクがあるので、これをクリックします。
追加した新しいユーザー名とパスワードでログインし、[ユーザー]⇒[ユーザー一覧]と進みましょう。
以前の古い方のユーザー名にカーソルを当てると表示される[削除]をクリックします。
下記のように「ユーザーの削除」という表示になるので、
「すべてのコンテンツを以下のユーザーのものにする」
のラジオボタンを選択して[削除を実行]をクリックします。
実行したら、[ユーザー]⇒[あなたのプロフィール]と進んで、ユーザー名が変更されていることを確認してみて下さい。
後は、その画面上で「連絡先情報」の「メールアドレス(必須)」欄に、元のメールアドレスを入力して[プロフィールを更新]をクリックし、送られてくる確認メールに書かれたURLをクリックして承認すれば完了です。
お疲れ様でした。
それにしても・・・WordPressの専門家ではないけれど、どうしてこんな大事なセキュリティー設定を今まで知らなかったのか、我ながら残念であります。
今後は併せてバックアップもマメに取るようにしなければ!
コメントを残す