WPのユーザー名をadminから変えるだけではセキュリティ的にあまり意味なし

  • このエントリーをはてなブックマークに追加

WordPressでブルートフォースアタック(Brute Force Attack)等による不正ログイン/乗っ取りを防ぐために、ユーザー名をデフォルトのadminから別のものにしている人は多いと思う。

私もその一人ではあるのだが、実は、ユーザー名を変えて”admin”というユーザーを削除するだけでは、セキュリティ的にはあまり意味がないことに気づいてしまった。

実は、WordPressを入れているサイトに

/?author=1

をつけてアクセスすると、なんとユーザー名がURLに表示されてしまうのだ。
一番目のユーザーを削除している場合でも最後の数字を2や3にすれば同じこと。

このままではせっかくユーザー名を変えた意味がないので解決策を探してみると、
「Edit Author Slug」というプラグインがある事が判明。

このプラグインをインストールし、
[ユーザー] > [あなたのプロフィール] で “ニックネーム”、”ブログ上の表示名”、”Author Slug”の3つをユーザー名とは別のものに設定すればOK。

中途半端なセキュリティ対策はホント意味がないね。


前後の記事

サブコンテンツ