ブログ乗っ取り対策!ID漏れを防ぐプラグイン-Edit Author Slug

2019-01-11プラグインセキュリティ

 

WordPressでは、ログインしたユーザーIDがアドレスに使用されてしまうので簡単にユーザー名が他人に見られてしまいます。

 

ニックネームの設定

今回の記事「ID丸見え事件の解決」はプラグインで対応しますが、その前に管理者でなくてもWordPressを使用して記事を書く場合は、まず「ニックネーム」をIDと違うもので登録しておく必要があります。

これをしていないと、これから説明するURLどころか、投稿者情報としてサイト内のあらゆるところにIDが見えてしまいます。

 

設定は「ユーザープロフィール」の編集画面にあります。

ニックネームは必須ですが、初期値ではユーザー名が入っています。

新たにニックネームを設定すると、「ブログ上の表示名」にユーザー名と、ニックネームの選択が可能になりますので、これをニックネームにしておきます。

 これで、以降で説明に出てくる画像の「綾糸」と出ている部分がすべてID表示になる事を防げます。

 

特定投稿者の記事一覧のURL

ニックネームの登録を終えても、まだ油断はできません。

「投稿者〇〇の記事一覧」を見る時、対策をしていないサイトだと実はIDがURLに含まれています。

記事の下に投稿者情報や、ニックネームが出ている場合、それをクリックするとその投稿者の記事一覧が表示されます。

 

 投稿者情報から

 

 ニックネームから

 

どちらからもその投稿者の記事一覧が出ます。

この「記事一覧」のアドレスは以下の通り。

http://XXXXX.com/author/ID/

 

ニックネームをきちんと登録してもここに出てしまいます!

 

更にこのURLは、以下の方法で投稿者全員分、見れてしまいます。

http://(WordPressブログ URL)/?author=(ID)
この時のIDは、1からの連番数字になっていて、
?author=1、?author=2、、、、と入れれば先ほど同様、以下のように出てしまいます。
http://XXXXX.com/author/ID/

 

うちだと https://ayaito.net/?author=1 とブラウザのバーに入れてエンターを押すと

記事一覧が出てアドレスは以下のように変わり表示されます

https://ayaito.net/author/ユーザーID/

 

それを防ぐためにはプラグインが必要ですが、とても簡単です。

 

Edit Author Slug設定

インストール

 プラグイン名は、以下にカーソルを載せ右に出る「Copy」を押すことでコピー出来ます。
Edit Author Slug

プラグインの「新規追加」で検索し、インストールして有効化します。

 

 プロフィール編集

プロフィールの編集画面に「Edit Author Slug」の項目が追加されています。

投稿者スラッグの初期値はユーザーIDになっていますので変更します。

 1つ目のユーザーID以外を選択し、プロフィールを更新ボタンを押します。

 

プラグイン側の設定

プラグインの方では、「author」という文字そのものも変更可能です。

 http://XXXXX.com/author/ID/

 

複数の投稿者で運営している場合は、「自動更新」にチェックを入れ、投稿者スラッグ構造をニックネームにしておくとよいでしょう。

 

これで完了です。

 

結果

うちの場合はニックネーム「綾糸」をクリックしても記事一覧ではないページを設定しているので、(1人で書いているので、投稿者の記事一覧も何もないので・・)

以下のように入れてみると・・・

 https://ayaito.net/?author=1

先ほど設定した「postlist」と出ています。

 https://ayaito.net/author/postlist/