WordPressを使うことでホームページやブログの更新が簡単に行うことができるようになり、使っているユーザーはとても多いと思います。
世界で公開されているホームページの1/4はWordPressで作られていると言われているほどです。

ですが普及しているということは必ずしもメリットばかりではありません。
そう、普及しているサービスにはハッカー（攻撃者）がいるからです。

今回はWordPressにログインする際に使うユーザー名を漏洩させない方法をご紹介。

ユーザー名は簡単に知ることができる

試しにご指示で使っているWordPressのサイトに以下のURLでアクセスしてみて下さい。

【http(s)://(WordPressのURL)/?author=1】

上記のURLでアクセスすると

【http(s)://(WordPressのURL)/author/login_id/】

のURLにリダイレクトされると思います。
これでログインID（ユーザー名）が漏洩されちゃうのです。

あとはこのログインIDを使ってパスワードを試されたら終了です。。
WordPress、セキュリティ甘いよ！！

 

functions.phpに以下のコードを貼ることで対策可能

//ログインID流出防止
function authorArchiveRedirect() {
	if ((isset($_GET['author']) && $_GET['author']) || preg_match('#/author/.+#', $_SERVER['REQUEST_URI'])) {
		header('Location: /404/');
		exit;
	}
}
add_filter('author_rewrite_rules', '__return_empty_array');
add_action('init', 'authorArchiveRedirect');

このコードをfunctions.phpに追加することでユーザー名が流出することは防げます。

 

まとめ

今度時間を作ってWordPressをインストールするときにやるべきセキュリティ対策の記事書こうと思います。

セキュリティ対策は知っているのと知らないのでは全然違うとおもうので。。