どうも、スマコマのコマ太郎です。
今日は WordPress のセキュリティを向上させる手段としてログイン ユーザー名を隠す方法をご紹介しようと思います。
なお、このページで紹介するプラグインは、ぼくは必須プラグインの1つと考えています。その理由は後述します。
さて、どのようなサービスにログインするにも、通常ユーザー名とパスワードの組み合わせが必要で、WordPress において同じです。
パスワードだけしっかり守れば良いと考えている人も多いのですが、実際はユーザー名との組み合わせのため両方をしっかり秘匿することが大切です。
ただ残念なことに大手のサービスにはメールアドレスをユーザー名(ログインID)にしていることも多く、セキュリティの甘いサービスからその情報が漏れ、別のサービスで利用されてしまうということが日常茶飯事になっていますね。
少し話がそれてしまいましたが、ログインにはユーザー名とパスワードの組み合わせが必要であり、その両方を守ることが重要であることが分かったかと思います。
もくじ
WordPress のユーザー名を隠す理由
WordPress のユーザー名は、記事を投稿したユーザーとして表示されてしまいます。テーマによってユーザー名を表示しないものもありますが、実際には見ることができるのです。
WordPressサイトのURLに、「/?author=1」をつけてアクセスすると、最初に作られたユーザーのページにリダイレクトされ、ユーザー名を見ることができます。そして最初に作ったユーザーは通常Admin権限を持っているので、一番狙われるのです。
つまり WordPress をそのまま使っているとユーザー名はバレてしまうので、セキュリティ破りの常套手段であるブルートフォースアタック(力づくの総当たり)を使ってログインしようとする悪い人たちがいます。
ブルートフォースアタックされている
![ブルートフォースアタックされている](https://smakoma.com/wp-content/uploads/2019/02/brute-force-attack-800x307.gif)
↑↑ これは悪い人たちがログインを試みた形跡です。
WordPress は世界で最も利用されている CMS なので、狙われるのは仕方がないことです。ですから自衛手段を講じておく必要があるわけです。
Edit Author Slug を使ってユーザー名を隠す
Edit Author Slug をインストールする
WordPress のログイン ユーザー名を隠すには、「Edit Author Slug」プラグインを利用すると簡単にできます。
Edit Author Slug
![Edit Author Slug](https://smakoma.com/wp-content/uploads/2019/02/edit-author-slug.gif)
まずは「Edit Author Slug」をインストールしてください。(プラグインのインストール方法はこちら)
Edit Author Slug の設定
Edit Author Slug の設定
![Edit Author Slug の設定](https://smakoma.com/wp-content/uploads/2019/02/edit-author-slug2-800x693.gif)
WordPress管理画面の [設定]-[Edit Author Slug] にて初期設定を行うことができますが、デフォルトのままで大丈夫です。
変更すべきは、各ユーザーのブログ上に表示される表示名です。
では、[ユーザー]-[ユーザー一覧] をクリックし、変更するユーザーの編集画面に移動してください。
Edit Author Slug ニックネーム設定
![Edit Author Slug ニックネーム設定](https://smakoma.com/wp-content/uploads/2019/02/author-alug-800x339.gif)
まず、ニックネームを変更します。変更するとブログ上の表示名のリストに変更したニックネームが表示されるので、それを選択し一度保存します。
Edit Author Slug スラッグ設定
![Edit Author Slug スラッグ設定](https://smakoma.com/wp-content/uploads/2019/02/author-slug2.gif)
さらにページをスクロールして、投稿者スラッグを先ほど変更したニックネームを選択します。(ニックネームが表示されない場合、一度保存してください)
変更したら、再度保存します。
これでブログ上に表示される表示名は、先ほど変更したニックネームが表示されるようになります。
実際にログインするには、以前のユーザー名を使います。
悪い人たちは偽装したニックネームを使ってログインを試みようとして来ますが、そのユーザー名は存在しないのでログインできないというわけです。