WordPressのusername(アカウントID)とauthorが同じになっていませんか?

Ads

悪意に満ちた世知辛い世の中いかがお過ごしでしょうか? あなたの運営しているWordPressのサイトまさかusername(アカウントID)とauthorが同じになっていませんよね?

username(アカウントID)がばれると?

username(アカウントID)がわかれば、後はパスワードがわかればいいので、総当り攻撃の対象ですね!

すぐにバレてしまうusername(アカウントID)

仮に、username(アカウントID)がhogehogeで運用しているサイトがhttp://◯◯◯.com だとすると

ニックネームを設定していない!

ニックネームを設定していない場合はもう丸裸ですね。投稿者の情報としてusername(アカウントID)提供している状態ですね。

アーカイブページから

http://◯◯◯.com?author=1 などとしてアクセスすると http://◯◯◯.com/author/hogehoge にリダイレクトされるのでさくっとバレてしましまいますね。

対策

Edit Author Slugプラグインをインストールしましょう!管理画面プラグイン→新規追加→Edit Author Slugで検索してインストール可能です。

プラグインを有効化後にユーザの編集画面にはいると、Edit Author Slugの項目が追加されています。

カスタム設定を選んで独自の名前をつけておけばOKですね。hogehogeというのが前提でしたのでカスタム設定でfugafugaにしておけば hogehogeが隠されるので総当り攻撃の対策の一歩になります。

次回は「SiteGuard WP Plugin」を紹介予定です。

それではよいWordPressライフを!

Ads
Ads