悪意に満ちた世知辛い世の中いかがお過ごしでしょうか? あなたの運営しているWordPressのサイトまさかusername(アカウントID)とauthorが同じになっていませんよね?
username(アカウントID)がばれると?
username(アカウントID)がわかれば、後はパスワードがわかればいいので、総当り攻撃の対象ですね!
すぐにバレてしまうusername(アカウントID)
仮に、username(アカウントID)がhogehogeで運用しているサイトがhttp://◯◯◯.com だとすると
ニックネームを設定していない!
ニックネームを設定していない場合はもう丸裸ですね。投稿者の情報としてusername(アカウントID)提供している状態ですね。
アーカイブページから
http://◯◯◯.com?author=1 などとしてアクセスすると http://◯◯◯.com/author/hogehoge にリダイレクトされるのでさくっとバレてしましまいますね。
対策
Edit Author Slugプラグインをインストールしましょう!管理画面プラグイン→新規追加→Edit Author Slugで検索してインストール可能です。
プラグインを有効化後にユーザの編集画面にはいると、Edit Author Slugの項目が追加されています。
カスタム設定を選んで独自の名前をつけておけばOKですね。hogehogeというのが前提でしたのでカスタム設定でfugafugaにしておけば hogehogeが隠されるので総当り攻撃の対策の一歩になります。
次回は「SiteGuard WP Plugin」を紹介予定です。
それではよいWordPressライフを!
