WordPress のダッシュボードへログインするために必要なユーザーID とパスワード。
どちらも大切な情報ですが、このユーザーID、実はサイト上で 丸見えになっているかもしれない と考えたことはありますか?
簡単に確かめられるので、今回は弊社が運営する通販サイト(※現在は閉店)で実際に確認してみます。
ユーザーID がサイト上で第三者に丸見えになっていないか確認する方法
一旦ユーザーID を確認しておきます。
ログインページの赤枠に入力するものがユーザーID です。
※メールアドレスとは異なります。
続いて、投稿記事ページへ移動します。
記事を書いた人の名前が表示されています。
※お使いのテーマや設定により表示されていないこともあります。その場合の確認方法は後述します。
この名前にカーソルを合わせてみます。
URL が確認できました。
この時 author/ 以降に先ほど確認したユーザーID が表示されている場合はマズイです!
記事中に「記事を書いた人」の名前がない場合の確認方法
使っているテーマや、テーマの設定によっては記事内に投稿者名が表示されていないこともあります。
そんな時は、ウェブサイトの URL(トップページ)の後に?author=1
と入力してみて下さい。
弊社の場合、
https://office817.com/?author=1
こんな具合ですね。
そのままページを開いてみると…
ウェブサイトのURL/author/*****/(投稿者アーカイブページ)へリダイレクトされました。
あとは先ほどと同じ様に author/ 以降の文字列を確認して下さい。
Edit Author Slug は、ユーザーID はそのままに、author/ 以降の文字列を変更することができるプラグイン。
もし上記の方法で URL の中にユーザーID が表示されてしまっていたなら Edit Author Slug の出番です。
ハッキング被害などにあう前にインストールしちゃいましょう!
インストール方法
WordPress のダッシュボードにて、「プラグイン」>「新規追加」、検索窓に「Edit Author Slug」と入力して「今すぐインストール」をクリック・有効化します。
設定方法
WordPress のダッシュボード内、「ユーザー」>「プロフィール」を表示します。
Edit Author Slug
ページの最下部に「投稿者スラッグ」という項目が追加されています。
表示された候補の中から選択するか、「カスタム設定」で任意の文字列を設定することもできます。
決定したら「プロフィールを更新」をクリックします。
もう一度投稿者アーカイブページの URL を確認します。
ウェブサイトのURL/?author=1
author/ 以降が変更されていたら設定は完了です。
ユーザーID は推測されにくいものに!
ユーザーID は後で変更することができません。
簡単に推測されてしまう様なものをユーザーID に設定するのは絶対に辞めましょう!
推測されやすいとされる文字列の一例
- admin ※特に危険!
- Administrator
- root
- 会社の電話番号
- 1111 や 12345 といった分かりやすい数字