WordPressで投稿者アーカイブのURLを変更してログイン用ユーザー名の流出を防ぐプラグイン「Edit Author Slug」

WordPressに存在するセキュリティホールとして、「(WordPressで運営しているサイトのURL)/?author=1」と入力してアクセスするだけで管理者ユーザー名を抜き取れてしまうというものがあります。対策としては「投稿者アーカイブのURLを変更する」という方法があり、この時に使うプラグインが「Edit Author Slug」です。

もくじ

  • 「Edit Author Slug」の概要
  • インストール手順
  • 使い方

「Edit Author Slug」の概要

インストール手順


WordPressのダッシュボードからプラグイン追加画面にアクセスし、「Edit Author Slug」で検索しましょう。検索後、「Edit Author Slug」をインストールします。


「有効化」ボタンを押し、プラグインを有効化しましょう。

使い方

投稿者アーカイブは、初期設定では以下のようなURLになります。

Edit Author Slugでは、ユーザー名の部分と「author」の部分を変更することが出来ます。全ユーザーのユーザー名部分の文字列を一定のルールに沿っていっぺんに変更することも出来ます。

ユーザー名部分の変更


まずは投稿者アーカイブのURL変更を行いたいユーザーor管理者権限を持つユーザーでログインし、URL変更対象ユーザーのプロフィール編集画面にアクセスします。


プロフィール編集画面下方にURL編集の項目が追加されています。投稿者アーカイブURLのユーザー名部分は、

  • ユーザーのニックネーム
  • ユーザーID
  • 任意の半角英数(文字列)
から選択(入力)できます。任意の半角英数の場合、デフォルトではユーザー名がそのまま入っているので、これをきちんと書き換えましょう。URLは一度決めたら変更しにくいものなので、くれぐれも慎重に決めてください。「プロフィールを更新」ボタンを押せば、変更が反映されます。

「author」部分の変更

「author」部分については、セキュリティ上の理由で絶対に変えなければならない、というわけではありません。ここは完全に好みの問題になります。


「設定」→「Edit Author Slug」で、「Edit Author Slug」全体の設定画面にアクセスしましょう。「Author Base」にセットされている文字列を書き換えて「変更を保存」ボタンを押せば、投稿者アーカイブURLの「author」部分が指定した文字列に置き換わります。

なお、「Role-Based Author Base」のチェックボックスをオンにすると、ユーザーの権限(役割)ごとに投稿者アーカイブURLの「author」部分を指定することが出来ます。管理者だからと言って安直に「administrator」とか付けたら管理者ユーザーが攻撃の標的になりかねないので、そういうのは止めたほうがいいかもしれません。

全ユーザーのユーザー名部分を一斉変更する


WordPressを用いて複数ユーザーでサイトを運営している場合は、全ユーザーが投稿者アーカイブURLのユーザー名部分を変更するべきです。個別に設定するのが面倒くさい場合は、「Bulk Update」のチェックボックスをオンにし、「Author Slug Structure」で各ユーザーのプロフィールのどこをURLにするかを選択しましょう。全ユーザーがユーザー名と異なるニックネームを設定していれば、「nickname」をセットするのが楽でいいと思います。「変更を保存」ボタンを押せば、変更が適用されます。

このブログを応援する・寄付する

当ブログでは暗号通貨による寄付を募っております。

Bitcoin:

Monacoin:

Litecoin: