ハッカーにだだ漏れ！WordPressのログインユーザー名を隠蔽する方法

WordPressのログインユーザー名はサイト上から簡単に調べられる

WordPressのログインユーザー名は、第三者に知られないようにしなければなりません。

ログインユーザー名が第三者の手に渡ってしまうと、ログイン画面から総当たり攻撃といわれるブルートフォースアタックを受ける可能性があるからです。

ブルートフォースアタックとは、あらゆるパターンのパスワードを順番に試す攻撃方法。

ログインユーザー名がハッカーの手に渡ってしまうと、ブルートフォースアタックを行われ、Wordpressの管理画面に不正にアクセスされてしまう可能性が高まります。

ユーザー名は第三者に分からないようにしておかなければなりません。

ところが！

このログインユーザー名は、サイト上から誰でも簡単に取得できてしまうのです。

特別な知識もツールも必要ありません。
簡単な操作で誰でもログインユーザー名を取得できてしまいます。

今回は、ログインユーザー名をサイト上から隠蔽する方法を詳しく解説してみます。

サイト上からログインユーザー名を調べる方法

サイト上からログインユーザー名を分からなくするための方法を解説する前に、どの様にしたらサイト上からログインユーザー名を調べることができるのか知っておきましょう。

サイト上からログインユーザー名を調べる方法は簡単で、2通りの方法があります。

記事の下部などに表示されている投稿者情報からユーザー名を調べる

記事の下部などに投稿者情報を表示しているサイトをよくみかけるかと思います。
このサイトでも以下のように投稿者情報を表示しています。

この投稿者名がそのままユーザー名である可能性があります。

このサイトでは投稿者名の部分をニックネームに変えていますが、例えば【admin】【master】など半角英数字が表示されている場合、それがログインユーザー名である可能性が高いです。

あなたのサイトはどうですか？
投稿者情報を掲載していてログインユーザー名をそのまま表示していませんか？

投稿者アーカイブページからユーザー名を調べる

もっとも確実にログインユーザー名を調べる方法があります。
投稿者アーカイブページから調べる方法です。

何も対策をしていないサイトの場合、投稿者アーカイブページからユーザー名を取得することができます。

• 投稿者アーカイブページのURL
• 投稿者アーカイブページのタイトル

投稿者アーカイブページのURL

投稿者アーカイブページのURLにユーザー名が含まれています。
TOPページのURLに【?author=1】を足してアクセスしてみてください。

すると、投稿者アーカイブにリダイレクトされます。
URLを確認してみましょう。

上記の様なURLになっているかと思います。
この【○○○○】の部分が、ログインユーザー名です。

【?author=1】を【?author=2】【?author=3】と末尾の数字を増やしてみてください。
複数のユーザーがいる場合、全てのログインユーザー名を取得することができます。

いかがですか？
第三者にダダ漏れですね！

ログインユーザー名がダダ漏れなのが分かったかとご理解いただけたかと思います。

投稿者アーカイブページのタイトル

投稿者アーカイブページのタイトルに、ログインユーザー名が含まれている場合があります。

先ほどアクセスした投稿者アーカイブページのタイトルを確認してください。

タイトルが表示されている場合、そこにユーザー名が表示されていませんか？
表示されているのであれば、ここからもユーザー名がばれてしまいます。

ログインユーザー名をサイト上から隠蔽する方法

ユーザー名を第三者に知られないようにするためには、2つの対策をしなければなりません。

• ニックネームとブログ上の表示名を設定（変更）する。
• 投稿者アーカイブページのURLからログインユーザー名を隠蔽する。

個別に解説していきましょう。

ニックネームとブログ上の表示名を設定（変更）する

投稿者情報をサイト上に掲載している場合、その部分にログインユーザー名が表示されないよう、ニックネームとブログ上の表示名を設定（変更）します。

投稿者情報に必ずログインユーザー名が表示されるわけではありません。
この設定が不要な場合もありますが、設定しておけばテーマを変えた時でも安心です。

ニックネームとブログの表示名を設定（変更）する場合、以下のページから行います。
管理画面の【ユーザー】⇒【ユーザー一覧】⇒【各ユーザーの編集】にアクセスしてください。

まず、上記画像にある【ニックネーム】に好きな文字列を設定します。
上記では【管理人】としていますが、文字列は何でも構いません。

設定できたら、設定を保存してください。

保存後、【ブログ上の表示名】を確認してください。
先ほど設定した文字列が選択できるようになっています。

先ほど設定した文字列を選択して、設定を保存してください。

これで、サイト上には設定した【ニックネーム】が表示されるようになりました。
ほとんどのテーマで、ユーザー名に変わってニックネームが表示されるようになります。

投稿者アーカイブページのURLからログインユーザー名を隠蔽する

投稿者アーカイブページのURLからユーザー名を隠蔽していきましょう。
この隠蔽には、プラグイン「Edit Author Slug」を使用します。

「Edit Author Slug」は、投稿者アーカイブページのURLに含まれるユーザー名を隠蔽してくれるプラグインです。

以下の手順で、導入することができます。

手順１：「Edit Author Slug」のインストール＋有効化する

「Edit Author Slug」のインストールと有効化は以下のコンテンツを参照してください。

⇒ WordPressにプラグインをインストール＋有効化する方法

手順２：ユーザー毎に任意の文字列を設定する

各ユーザーの編集ページから以下の作業を行います。
管理画面の【ユーザー】⇒【ユーザー一覧】⇒【各ユーザーの編集】と遷移してください。

ユーザー編集ページの最下部に、上記画像にあるエリアが追加されています。
赤枠部分をご覧ください。

【カスタム設定】にチェックを入れ、お好きな文字列を半角英数字で入力してください。
この文字列が、URLに含まれているユーザー名と差し替わります。

↓

これで、投稿者アーカイブページのURLからユーザー名を隠蔽することができました。
全てのユーザーで上記の作業を行ってください。

まとめ

WordPressのログインユーザー名を隠蔽する方法をまとめました。

サイト上からログインユーザー名が取得できることは、以外と知らない方が多いようです。
セキュリティ面から見ても、サイト上からユーザー名が取得できるのは好ましくありません。

この機会に、サイト上からユーザー名を隠蔽してください。