WorrdPressブログのユーザー名とセキュリティ対策

2019年4月13日セキュリティ

WordPressブログの名前について

ワードプレス・ログイン画面

WordPressに使う名前は全部で3種類あります。

ユーザー名

ニックネーム(必須)

ブログ上の表示名

ユーザー名は、ログインに使う名前。一度設定すると変更が出来ません。事前に決めておきましょう。

※管理者権限のユーザーを追加して、投稿記事の権限を委譲した上で以前のユーザー名を削除する、という方法があるにはあります。

ニックネームとブログ上の表示名は変更が可能です。WordPressのデフォルト設定でユーザー名だけしか入力しない設定では、ニックネームはユーザー名、ブログ上の表示名と同一の名前に自動設定されます。

ユーザー名=ニックネーム=ブログ上の表示名、がデフォルトとなっています。

ワードプレス・ユーザープロフィール

最近のレンタルサーバーでは、WordPress簡単インストールの機能が付いているので、レンタルサーバーの管理画面内からユーザー名を最初に入力する場合も増えてます。

パスワードも簡単インストール機能付きのレンタルサーバーでは、自動発行されます。

個人でWordPressブログを新設する場合、wp-confing/phpファイルを編集して、ftpでサーバーにアップロード、ユーザー名の初期設定はadminになっていたのは遠い昔の話になりました。
レンタルサーバーのサービスが向上した恩恵ですね。WordPressブログ開設までの作業は格段に簡単になりました。

これで晴れてWordPressブログが新設され、気になるテーマ(外観)を決めて記事を書けばOK?

セキュリティの観点から、僕はWordPress新規インストール後に最初にすることは、セキュリティ・プラグインWordfenceのインストールです。テーマやカテゴリー等の設定や記事を書くのはそれからでも遅くありません。

WordPressのユーザー名は外部に漏れている!?

初期設定のまま、ユーザー名=ニックネーム=ブログ上の表示名で良いのでしょうか?

ユーザー名はログインに使用する名前です。部外者に知られない事に越したことはありません。

ユーザー名とパスワードの2つがセットで、乗算的に第3者には難解なものになります。その片方=ユーザー名をわざわざ第3者に公開して、ログインのヒントを教える必要性はありません。

WordPress投稿者名

ブログ上の表示名は、記事を表示したときの投稿者名。画像の赤丸のように、ほとんどのテーマでデフォルトで表示されます。

ブログ上の表示名=ユーザー名のままでは、ログインユーザー名が外部に簡単に知られている事になります。

第3者にユーザー名が知られたからといって、ユーザー名だけで不正アクセスされる訳ではないのですが、知らせないに越したことはありません。
セキュリティ対策が甘いと、上級者ハッカーだとログイン画面を経由しないで、1度に数百個のパスワードをぶち込む事もできてしまうのです。こうなると突破されてしまうのは時間の問題・・・。

Step1

ニックネームをユーザー名とは違う名前に変えておきましょう。そして、ブログ上の表示名を書き換えた名前に選択。

これで記事に表示される名前はログインに使う名前と変わりました。これで安心できるかな。いや、まだまだ必要なやるべき事があるんです。

Step2

記事投稿者名をクリックしてみると、下の画像のページが表示されます。

投稿者記事一覧ページ

その投稿者が書いた記事が一覧になっています。企業やグループ運営のブログで複数の投稿者がいる場合に、この仕組みや機能は有効ですね。しかし個人運営のブログでは特に必要性はありません。WordPressの仕様で、このような仕組みと機能が備わっています。

それはともかく、ブラウザに表示されているWEBアドレス赤線のところを見てください。

僕のサイトは既に対策済みなので/author/bistaraiとなっているのですが(ユーザー名は異なる名前を使っています)、Step1でブログ上の表示名を変えただけでは、このURLにログインユーザー名が表示されてしまうのです。

WEBサイトのアドレス/?author=1

でもログインユーザー名を第3者が調べる事が出来ます。複数で運営しているWordPressサイトでは、数字を2.3.4.・・・としていくと、全ての投稿者を調べる事が出来てしまいます。(何も対策をしていなければ)

ユーザー名をしらべようとしている。

注意事項!このブログで/?author=1から数字を変えて試さないでください。特定のauthor=数字、のところでIPアドレスごとアクセスブロックする設定になっています。

Step3

Edit Author Slugプラグインで、URLに表示されてしまうユーザー名、WEBサイトのアドレス/?author=1で表示されてしまうユーザー名を変更する事が出来ます。

Step4

Wordfenceセキュリティ・プラグインでは”WEBサイトのアドレス/?author=1”のみならず、REST APIやambed APIでユーザー名を調べられてしまう事を防ぎます。
/xmlrpc.phpや/xmlrpc.php?rsd=、/wp-json/wp/v2/users/等のリクエストをブロックし、ユーザー名が第3者に漏洩してしまうことを防ぎます。
URLは書きませんが今年に入ってからambed APIの機能を悪用して、ユーザー名を盗もうとする不正アクセスが増えています。

xmlrpcアクセス制限は他のセキュリティ・プラグインにも備わっていたり、レンタルサーバー側でアクセス制限をしている場合もありますが、フルスペックと言えるのは僕の知る限りWordfenceだけです。

間違ったユーザー名とパスワードのログインを特定の回数でアクセスブロックする設定を追加すれば、ユーザー名を使った不正アクセスに対しては、かなりのセキュリティ強度になります。

WordPressブログのセキュリティ対策に、完全や万全はありません。出来る限りの対策を施しておきたいものですね。

WordPressのセキュリティ対策(初心者向け)

ワードプレスブログのセキュリティ対策10の間違い|Wordfence Blog

翻訳してでも是非お読みください。

ログインURL変更はあいまいさによるセキュリティであり、誤った安心感につながります。

WordPressのログインURLは、ほとんどの攻撃者が簡単に検出してバイパスすることができます。

広告