こんにちは。ktgです!
WordPressの知識・経験を積むために自作テーマ、自作プライグインの開発を目指して日々学んでいるのですが、ふいに「これ対策しないとまずくね〜…」という事が発覚。即対応に動きました..
authorのパーマリンクからユーザー名が第三者に簡単にバレてしまうのです.. ..
もし対策せずにデフォルトのままですと、ログイン時の管理画面に使うユーザー名が簡単に漏れてしまい、ハッキングされやすい状態となってしまいます。
WordPressのリスクとして真っ先にあげられるセキュリティー問題。
今回は、ログイン画面に使うユーザー名をバレないようにする方法や、
合わせて2段階認証の設定をしましたのでその方法をご紹介します!
Contents
ログインユーザー名がバレバレ…?
まず、WordPressのログイン画面をご覧下さい。
この画面でユーザー名とパスワードを入力してログインします。
この2つが一致しない限り、ログインできないので、そうそう簡単にハッキングされないだろうと思われがちですが、、
ログインユーザー名は、デフォルトのままだと簡単に知られてしまうのです。
このサイトの記事が大変参考になりました!
ご紹介したサイトにもあるように、
自分のサイトURL の後ろに「/?author=1」を入力すると、
パーマリンクの末尾に「ユーザー名」が記載されてしまうのです。
通常のサイトURL
「/?author=1」を加えた時の表示
モザイクで隠している部分が「ユーザー名」となり、
このように簡単に第三者がわかってしまう状態なのです。
ユーザー名とニックネームの変更方法
このままではセキュリティーリスクがあるということがお分り頂けたでしょうか。
そこで、やったこととしては、
1.プラグインのAdmin renamer extendedをインストール
2.設定からユーザー名を変更
3.ニックネームとブログ上の表示名を変更
ということをしておきました。
Admin renamer extendedのインストール
プラグインの新規追加 → Admin renamer extended を検索してインストールします。
※このプラグインは後から消しても問題ないようですので、僕は削除しました。
干渉や負荷が気になる方は使い終わったら消していいと思います。
すると、プラグインの項目下にAdmin renamer extendedが現れます。
変更するユーザー名をいれて、updateを押します。
成功すると、ユーザー名が切り替わります。
これでインストールとユーザー名の変更は完了です。
ニックネームとブログ上の表示名を変更する
次はニックネームとブログ上の表示名を変えていきます。
テーマにもよりますが、ブログ上の表示名は作者、記事の執筆者に該当することが多いので、自然な名前でかつユーザー名とは違う名前に変更しておきましょう。
以上が、ユーザー名の変更方法です
※ここから突っ込んで、PHPファイルにコードを追加してユーザー名を知らせない方法もありますが、割愛します。
詳しくは冒頭でご紹介したサイトが詳しいので、そちらをご参照下さい。
二段階認証も設定しておく
さて、これでセキュリティーのリスクは減りましたが、まだ完璧ではありません。
しらみつぶしの総当たり攻撃でパスワードが突破されてしまう危険性は残ります。
そこで、僕は二段階認証も設定しておく事をオススメします!
miniOrangeを導入
僕は一度facebookで乗っ取り被害にあってから、Googleの二段階認証システム(Google Authenticator)を余すところなく活用しています..
自分の使っているサービスが乗っ取られる恐ろしさは身に沁みていますので、あまり設定していないという方は、身近なSNSだけでも設定しておく事をオススメします。
さて、話を戻しまして、WordPressでも2段階認証したいという場合、プラグインを活用することになります。
Google Authenticator で検索するといくつかそれらしきものが出てくるのですが、
今回はアップデートが頻繁に行われていて、利用実績も多い「miniOrange」をご紹介します。
こちらの記事がとても参考になりました ↓
miniOrangeの設定方法
設定の流れですが、
1.プラグインのインストール
2.メールアドレスとパスワードの登録
3.アプリのインストール
4.設定する
という事を行います。
1.プラグインのインストール
プラグインの検索画面で「Google Authenticator」と入れると以下の画面が出ます。
更新頻度が高く、利用実績もあったので採用しました。
2.メールアドレスとパスワードの登録
設定の下にプラグインの項目があるのでクリックします。
Account Setupを押します。以下の登録画面が出てきます。
ここでEmailとパスワードを入力します。
パスワードはこちらのサイトが手早く作れます。
登録が終わると以下の画面に移るので、「Setup Two-Factor」をクリックします。
3.アプリのインストール
アプリのインストール画面が出てくるので、iosかandroidのスマホで、
miniOrangeのアプリをインストールします。
開くと、以下の画面が表示されるので、下にある「ADD ACCOUNT」をクリックします。
画面が切り替わりQRコードリーダーが出てきますので、WordPressに表示されているQRコードを読ませます。
完了すると、設定した「メールアドレス」と「数字」が表示されます。
これでminiOrangeのアプリ設定は完了です。
Google Authenticatorでのやり方
Google Authenticatorで統一したいという方は、こちらから設定します。
ここでConfigureを押します。
以下の画面に移りますので、
使いたいスマホOSのラジオボタンを選びます。
その後、右側にQRコードが表示されるようになります。
表示されたQRコードをGoogle Authenticatorから読み込んで登録させます。
あとは、Step-3のCodeに正しく数字を入力すると完了です。
こちらがセットされた状態です。
予備のスマホにも登録したい場合
僕はスマホ1台でしか使えないと、いざという時嫌だな… と考えてしまう人なので、
予備のスマホにも同じアプリを入れて読ませるようにしています。
サービスによっては、一度読み込ませてしまうとQRコードが消えてしまうこともありますので、QRコードをスクリーンショットで残しておく方法をオススメします。
これなら予備機にも同じ内容のQRコードを読み込ませることが可能です。
セキュリティー対策は万全に
以上、ログインユーザーを隠す方法と二段階認証でハッキングを防ぐ設定のご紹介でした。
WordPressは世界のWebサイトで一番高い利用率(2017年12月で29.2%)を誇っています。
逆にそれだけシェアされているという事は、セキュリティーの穴を狙われやすいのです。
大事なサイトをハッキングされないよう、常に最新版のアップデートや乗っ取りなどに注意して管理していきましょう!