WordPressのログインユーザー名を隠す為のセキュリティー対策方法

こんにちは。ktgです!

WordPressの知識・経験を積むために自作テーマ、自作プライグインの開発を目指して日々学んでいるのですが、ふいに「これ対策しないとまずくね〜…」という事が発覚。即対応に動きました..

authorのパーマリンクからユーザー名が第三者に簡単にバレてしまうのです.. ..

もし対策せずにデフォルトのままですと、ログイン時の管理画面に使うユーザー名が簡単に漏れてしまい、ハッキングされやすい状態となってしまいます。

WordPressのリスクとして真っ先にあげられるセキュリティー問題。

今回は、ログイン画面に使うユーザー名をバレないようにする方法や、

合わせて2段階認証の設定をしましたのでその方法をご紹介します!

ログインユーザー名がバレバレ…?

まず、WordPressのログイン画面をご覧下さい。

WordPressの管理画面

この画面でユーザー名とパスワードを入力してログインします。

この2つが一致しない限り、ログインできないので、そうそう簡単にハッキングされないだろうと思われがちですが、、

ログインユーザー名は、デフォルトのままだと簡単に知られてしまうのです。

このサイトの記事が大変参考になりました!

ご紹介したサイトにもあるように、

自分のサイトURL  の後ろに/?author=1」を入力すると、

パーマリンクの末尾に「ユーザー名」が記載されてしまうのです。

通常のサイトURL

wordpressの通常時サイトURL

「/?author=1」を加えた時の表示

ログインユーザー名が見えた状態

モザイクで隠している部分が「ユーザー名」となり、

このように簡単に第三者がわかってしまう状態なのです。

ユーザー名とニックネームの変更方法

このままではセキュリティーリスクがあるということがお分り頂けたでしょうか。

そこで、やったこととしては、

1.プラグインのAdmin renamer extendedをインストール

2.設定からユーザー名を変更

3.ニックネームとブログ上の表示名を変更

ということをしておきました。

Admin renamer extendedのインストール

プラグインの新規追加 → Admin renamer extended を検索してインストールします。

※このプラグインは後から消しても問題ないようですので、僕は削除しました。

干渉や負荷が気になる方は使い終わったら消していいと思います。

すると、プラグインの項目下にAdmin renamer extendedが現れます。

Admin renamer extendedの設定

変更するユーザー名をいれて、updateを押します。

ユーザー名の変更

成功すると、ユーザー名が切り替わります。

ユーザー名の切り替えに成功

これでインストールとユーザー名の変更は完了です。

ニックネームとブログ上の表示名を変更する

次はニックネームとブログ上の表示名を変えていきます。

ニックネームとブログ上の表示名を変更

テーマにもよりますが、ブログ上の表示名は作者、記事の執筆者に該当することが多いので、自然な名前でかつユーザー名とは違う名前に変更しておきましょう。

以上が、ユーザー名の変更方法です

※ここから突っ込んで、PHPファイルにコードを追加してユーザー名を知らせない方法もありますが、割愛します。

詳しくは冒頭でご紹介したサイトが詳しいので、そちらをご参照下さい。

二段階認証も設定しておく

さて、これでセキュリティーのリスクは減りましたが、まだ完璧ではありません。

しらみつぶしの総当たり攻撃でパスワードが突破されてしまう危険性は残ります。

そこで、僕は二段階認証も設定しておく事をオススメします!

miniOrangeを導入

僕は一度facebookで乗っ取り被害にあってから、Googleの二段階認証システム(Google Authenticator)を余すところなく活用しています..

自分の使っているサービスが乗っ取られる恐ろしさは身に沁みていますので、あまり設定していないという方は、身近なSNSだけでも設定しておく事をオススメします。

さて、話を戻しまして、WordPressでも2段階認証したいという場合、プラグインを活用することになります。

Google Authenticator で検索するといくつかそれらしきものが出てくるのですが、

今回はアップデートが頻繁に行われていて、利用実績も多い「miniOrange」をご紹介します。

こちらの記事がとても参考になりました ↓

miniOrangeの設定方法

設定の流れですが、

1.プラグインのインストール

2.メールアドレスとパスワードの登録

3.アプリのインストール

4.設定する

という事を行います。

1.プラグインのインストール

プラグインの検索画面で「Google Authenticator」と入れると以下の画面が出ます。

プラグインの検索画面

更新頻度が高く、利用実績もあったので採用しました。

2.メールアドレスとパスワードの登録

設定の下にプラグインの項目があるのでクリックします。

miniorangeの選択画面

Account Setupを押します。以下の登録画面が出てきます。

miniorangeの登録画面

ここでEmailとパスワードを入力します。

パスワードはこちらのサイトが手早く作れます。

登録が終わると以下の画面に移るので、「Setup Two-Factor」をクリックします。

miniorangeで二段階認証設定

3.アプリのインストール

アプリのインストール画面が出てくるので、iosかandroidのスマホで、

miniOrangeのアプリをインストールします。

miniOrangeのアプリをインストール

開くと、以下の画面が表示されるので、下にある「ADD ACCOUNT」をクリックします。

ADD ACCOUNTをクリック

画面が切り替わりQRコードリーダーが出てきますので、WordPressに表示されているQRコードを読ませます。

完了すると、設定した「メールアドレス」と「数字」が表示されます。

miniOrangeのコード表示画面

これでminiOrangeのアプリ設定は完了です。

miniOrengeの設定完了

Google Authenticatorでのやり方

Google Authenticatorで統一したいという方は、こちらから設定します。

ここでConfigureを押します。

以下の画面に移りますので、

Google Authenticatorのスマホ選択

使いたいスマホOSのラジオボタンを選びます。

その後、右側にQRコードが表示されるようになります。

Google AuthenticatorのQRコード

表示されたQRコードをGoogle Authenticatorから読み込んで登録させます。

あとは、Step-3のCodeに正しく数字を入力すると完了です。

こちらがセットされた状態です。

miniOrengeの設定完了

予備のスマホにも登録したい場合

僕はスマホ1台でしか使えないと、いざという時嫌だな… と考えてしまう人なので、

予備のスマホにも同じアプリを入れて読ませるようにしています。

サービスによっては、一度読み込ませてしまうとQRコードが消えてしまうこともありますので、QRコードをスクリーンショットで残しておく方法をオススメします。

これなら予備機にも同じ内容のQRコードを読み込ませることが可能です。

セキュリティー対策は万全に

以上、ログインユーザーを隠す方法二段階認証でハッキングを防ぐ設定のご紹介でした。

WordPressは世界のWebサイトで一番高い利用率(2017年12月で29.2%)を誇っています。

逆にそれだけシェアされているという事は、セキュリティーの穴を狙われやすいのです。

大事なサイトをハッキングされないよう、常に最新版のアップデートや乗っ取りなどに注意して管理していきましょう!