著者ページの対策は決して忘れないで!【WordPressセキュリティ対策】
Author:
費用:0円 時間:30分
WordPressのセキュリティ対策にかかわる記事です!
WordPressに著者ページがあるのはご存知でしょうか?
sponsored link
著者ページとは
著者ページとは、個別記事ページなどに作者名が記載されている場合にそこをクリックすると飛ぶことができる、特定の著者=ユーザーの記事一覧が表示されているページです。
ちょっと技術的なことを言うと、テーマのauthor.phpに規定されているページのことです。
サイトの運営を一人で行っている場合はほぼ不要なこの機能ですが、テーマとしては作成されている場合も多いので、無視もできません。
また、この著者ページとはWordpressを運営するにあたり、大いなるセキュリティの穴となることがあるのです。
それは著者ページのURLです。
著者ページのURLの危険性
例として、最初に強制的に作成される管理者ユーザー(ユーザーID=1,ユーザー名=admin)を例に見てみましょう。
まず、ユーザー名=adminの場合は以下のようなURLとなります。
http://サイトのURL/author/admin
ユーザー名は管理画面のログインに必要となる重要なデータです。
ユーザー名さえわかってしまえば、あとはパスワードだけなので、パスワードの可能性が高いものを入力しまくれば、いつか突破されちゃう!というわけです・・・。
危険ですね。
これはニックネームを設定していても変わりません。
ニックネームを設定していると、投稿ページをはじめとしたフロントページではユーザー名は表示されないので安心なのですが、著者ページのURLに限っては、ニックネームで上書きされることはなくユーザー名のままなのです。
では、投稿ページやフロントページに著者ページへのリンクを載せない!と考える人もいらっしゃるでしょう。
しかし、著者ページがある以上、ユーザー名はばれてしまうのです。
それがWordpressに存在しているリダイレクト機能。
http://サイトのURL/?author=1 と入力して移動してみます。すると、URLは http://サイトのURL/author/admin にリダイレクトされているのです。
末尾の?author=1とは、ユーザーID=1の著者ページに移動せよということで、リダイレクトされたURLにはユーザー名が記載されているので、結局のところユーザーIDだけでユーザー名がばれてしまうのです((+_+))
※ちなみにID=1はWordpressを運用するうえで一番最初に作成されるユーザーであり、管理者なのは自明です。
これでは意味がない・・・
ということで、対策を取りましょう。
セキュリティ対策の方法
考えられるのは目的別に2パターン。
著者ページを完全に利用しない場合
サイトの運営を一人で行う場合などは著者ページ自体が不要の方も多いかと思います。
そんな場合は著者ページへのアクセスにすべてリダイレクト・404エラーを加えるのがよいでしょう。
プラグインを使う方法がおすすめですね。
以前紹介したLogin rebuilderで著者ページへのアクセスを404にするとおkです。
著者ページを利用する場合
筆者ページを利用する場合は、ユーザーIDが表示されているURLの表示を変えるべきです。
それについては、Edit Author Slugというプラグインがあります。それを使うのがいいでしょう。
著者ページのセキュリティ対策ははじめにやっておくと楽なので、ぜひとも最初にやってみてください(*^▽^*)