【セキュリティ対策】ハッキングされないために管理者IDを隠すべき理由:Edit Author Slug プラグイン
- WordPressサイトがのっとられた話を聞くので、セキュリティが心配
- IDやパスワードについて、どのようなことに注意しなければならないのか分からない
- うちに限ってハッキングの対象になるわけないから大丈夫!・・・だよね?
こんにちは!裕希ヒロです。このブログでは、システムエンジニア出身の私がWEBマーケティングを学んで『稼ぐ力』を鍛える過程を発信しています。
今回は WordPress のセキュリティ対策について説明します。
昨今、有名・無名に関係なく、多くのWordPressユーザーがサイトがハッキングにあっています。なぜなら、WordPressは全世界の43%で利用されているため(24年7月現在:参考文献 末尾)、WordPressをあえて狙って攻撃してくるハッカーが多いのは自然なことなのです。
あなたは自信をもって大丈夫だと言えますか?セキュリティ対策として何に注意すべきか説明できますか?
セキュリティ対策は1つではありませんが、WordPress において最悪なのは、管理者(特権ユーザー)のIDで第三者にログインされてしまうことです。なんとしても管理者権限を有するIDだけは死守しなければなりません!さもなくば、確実に、サイトが乗っ取られてしまうでしょう。
この記事を読むと、管理者ログインIDがどのようにバレてしまうかの具体例と、その対策として役立つEdit Author Slugプラグインの使い方をご紹介します。これにより、あなたのWordPressサイトのセキュリティを強化し、不正アクセスのリスクを大幅に減らすことができます。
セキュリティ対策は後回しにしてはいけません。今すぐ行動に移りましょう。
ログインIDがバレる簡単な方法
対策の以前に、その問題点がわかっていないと対策の気分になりませんよね。では早速、あなたのサイトで実際に試してみましょう。
あなたの WordPress サイトURLの末尾に ?author=1
を付与してアクセスしたらどうなりますか?
例えば: https://example.com/?author=1
ブラウザでURLを開きます。
すると…
/author/ここに表示される文字列
という形式に9割以上の場合はなるでしょう。
(注意:ここでの anatano-onamae
はダミーです。)
WordPress で対策をしていない場合は、だいたいこうなります。
さて、あなたにとって心当たりのある文字が表示されていませんか?
?author=1
の部分の数字は、ユーザー作成した順番に払い出されるプライマリIDというものです(データベース用語)。複数のユーザーがいる場合は、この数字を 2, 3, 4… と変更してみてください。
サイトマップからバレるケース
ほかにバレてしまうケースだと、WordPress のサイトマップ生成機能で執筆者(author)を出力対象にしている場合でも分かりやすく表示されてしまいます。あなたの WordPress サイトURL末尾に /wp-sitemap-users-1.xml
を付与してアクセスしてみましょう。
※ご利用のWordPressのバージョンやプラグインの状況により、このURLでは何も表示されない可能性もあります。
バレる以前にデフォルト値を利用してしまっているケース
初期設定のまま「admin」などの一般的なIDを使用している場合、容易に推測されてしまいます。相当に古いWordPressを利用している場合はインストール時の初期設定である「admin」を利用している可能性があります。あるいは、WordPressを構築した担当者が慣習で「admin」を付与してしまっている可能性も捨てきれません。
このような場合は非常に危険です。
IDの漏洩が引き起こす不正アクセスのリスク
管理者ログインIDがバレると、不正アクセスのリスクが劇的に高まってしまいます。
これはもはや WordPress に限った話ではありませんが、定番のパスワード突破の方法としては「パスワード総当たり攻撃(ブルートフォースアタック)」や「他サイトのパスワードの使いまわし」問題があります。
ここでもし、仮にパスワードがバレてしまったとしても、IDが分かっていなければハッカーはログインすることができません。しかし WordPress での対策不足によりIDが露骨に表示されてしまっている場合、
「私のIDはこれです。あとはパスワードだけでログインできますよ!どうぞ攻撃してみてくださいね(^^)」
と言っているようなものなのです。
いかがでしょうか?IDを露骨に晒すことの危険性が理解できたでしょうか。
(1)ブルートフォース攻撃の危険性
ブルートフォース攻撃とは、ハッカーが大量のパスワードを機械的に試してログインを試みる手法です。例えば、あなたの管理者IDが「admin」で、パスワードが「123456」のような簡単なものだとします。この場合、ハッカーは短時間でパスワードを破ってしまう可能性が高いです。
この攻撃に対抗するためには、強力なパスワードを設定し、定期的に変更することが重要です。また、ログイン試行回数を制限するプラグインを導入することで、ブルートフォース攻撃を防ぐことができます。
(2)パスワード使い回しの危険性
異なるサイトで同じパスワードを使い回していると、どこか一つのサイトがハッキングされただけで、他のすべてのサイトも危険にさらされることがあります。例えば、ショッピングサイトで使っていたパスワードが流出し、その同じパスワードを使ってWordPressにログインされてしまうケースです。
これを防ぐためには、各サイトごとに異なる強力なパスワードを使用し、パスワード管理ツールを活用して安全に保管することが大切です。また、二段階認証を導入することで、さらにセキュリティを強化できます。
Edit Author Slugプラグインを活用した対策
ここまでIDがバレる危険性について説明してきました。
では対策は?そう、IDが簡単に見えないようにしてしまえばよいだけなのです。
そこで、IDをバレないようにするための対策として Edit Author Slug プラグインを利用しましょう。
Edit Author Slugとは?
Edit Author Slugは、WordPressの投稿者アーカイブページのURLをカスタマイズできるプラグインです(無償)。これにより、ユーザー名を隠し、ログインIDが簡単にバレるリスクを軽減することができます。
インストールと設定方法(流れ)
- プラグインのインストール:
- WordPressのダッシュボードから「プラグイン」→「新規追加」を選び、「Edit Author Slug」を検索し、インストールします。その後、「有効化」をクリックします。
- 設定のカスタマイズ:
- ダッシュボードの「ユーザー」→「プロフィール」から、各ユーザーのプロフィール設定に移動します。
- 「投稿者スラッグ編集」あるいは「Edit Author Slug」セクションで、「カスタムス設定」にて任意の文字列を設定します。
設定は至ってシンプルです。
これだけで、投稿者アーカイブページのURLが変更され、ユーザー名が直接露出することを防げます。
インストールと設定方法(画像で詳細説明)
作業ステップ
画面右上の「プロフィールを編集」のリンク、あるいは画像のように「ユーザー」リンクから対象ユーザーを選択して「編集」にて画面遷移し
対象者のプロフィール下部にある「投稿者スラッグ」の「カスタム設定」にて、任意の文字列を指定します。この画像の例だと「dummy-onamae」という文字が執筆者として公開されます。
Edit Author Slug の話とは直接的には関係ありませんが、WordPress の標準設定だと著者のニックネームそのものもログインIDになっています。せっかく Edit Author Slug で IDそのものを隠しても、著者名のところからバレては意味がありません。
なので、著者名の表示も変更しておきましょう。ここでは読者に伝えたい名前を記入しておくのがよいでしょう。
Edit Author Slug プラグイン導入後の効果確認
ここまでの設定を無事に終えていれば、もうIDはバレない状態になっているはずです。
最初に実施したように、?author=1
を付与したURLでアクセスしてみましょう。例えば https://example.com/?author=1
でしたね。どうなりましたか?
プラグイン導入前の本当のIDではなく、プラグインにより設定した任意のID(公開用のダミーID)に変わっているはずです。
また、WordPress管理画面へのログイン影響はどうなるでしょうか?
このように、「カスタム設定」で表示しているIDではログインはできず、これまで通りのID(本当のID)でのみログインができます。
つまり「一般の読者に対してはWordPressログインに関係のないIDを示しつつ、自分だけが知るIDで安全にWordPressを管理できる状態」が作れたことを意味します!
一般論としてパスワード管理・セキュリティ対策の意識
もはや WordPress の話ではありませんが、インターネットのあらゆるサイトでIDやパスワードを作らなければならない時代だからこその基本動作についても言及しておきます。
パスワードは定期的に変更することが基本ではあるものの、現実問題としてパスワードを定期的に変更するのは極めて困難ですよね。そして、定期的な変更を強要する結果として発生してしまうのは「ユーザーにとって変更が面倒すぎて、逆に覚えやすい簡単なパスワードを設定してしまう問題」です。これでは本末転倒です。
定期的な変更はしないにしても、せめて、英大文字・英小文字・数字・記号を組み合わせた12文字以上の協力なパスワードが推奨されます。特に、同じパスワードを複数のサイトで使い回すことは絶対に避けるべきです。これにより、一つのサイトがハッキングされた場合に他のアカウントも危険にさらされるリスクを防げます。
一見難しいことですが、「自身の特定の固定の文字列+サイトごとに末尾を少し変更するルール」を設定するだけでもだいぶやりやすくなります。また、パスワード管理ツールを使用することで多数の強力なパスワードを一元管理できます。
これらの対策を実践し、個人情報やアカウントを守りましょう。
まとめ:管理者ログインIDを守るための Edit Author Slug プラグイン
この記事では、WordPressの管理者ログインIDがバレるリスクとその対策について詳しく説明しました。IDがバレると、不正アクセスのリスクが劇的に高まるため、ログインIDを非公開にすることは非常に重要です。そのために、Edit Author Slugプラグインを活用して、投稿者アーカイブページのURLをカスタマイズする方法を紹介しました。これにより、ユーザー名を隠してログインIDが簡単にバレるリスクを軽減することができます。
せっかく積上げてきた WordPress のコンテンツが、一度のハッキングにより管理不可能になったら悲しいのは当然ながら、ビジネスにも多大な影響を及ぼしてしまいます。万が一が起きる前に、今すぐ対策を実施しましょう。
参考文献
Usage Statistics and Market Share of Content Management Systems, July 2024
以上、裕希ヒロがお送りしました。