ワードプレスのデフォルトの仕様のままだと、ユーザーIDが外にバレバレだってご存じでしたか?
恐らく私はこの対策を怠ったせいで、ブログ公開後1週間でウクライナから不正アクセスがあり、一時ブログに入れなくなってしました。
ブログ復旧にほんと時間を取られたので、こんな悲劇はなくしたい。
今回はセキュリティ対策として、ユーザー名を変更と、投稿者アーカイブページのスラッグを変更する方法をお伝えします。
手塩にかけているブログの身をきちんと守ってあげましょう!
投稿者アーカイブベージでユーザーIDがダダ漏れしていた
ある日、登録したてのブログで自分以外のアクセスはもちろん皆無の頃の話。
Googleアナリティクスを見ていたら、作った覚えのないユーザーIDが含まれたパーマリンクを発見。

/author/ユーザーID/
不思議に思い、URLを入れてページを確認してみると投稿者アーカイブページが表示されました。
セキュリティ対策前の投稿者アーカイブページ

Googleアナリティクスにあった/author/ユーザーID/を加えてページを開くと、このように投稿者アーカイブページが表示されました。
調べてみると、投稿者アーカイブページは、投稿者が過去に書いた記事を表示するページで、ワードプレスではデフォルトで生成される仕様になっているそうです。
この投稿者アーカイブページのURLには、投稿者のログインユーザ名が表示される仕様になっているので、ユーザー名が駄々もれになっていました。
そんなことも知らなかったの?という声が聞こえてきそうですが、何となくで始めた初のブログだったので恥ずかしながら、つゆ知らず。。。
/?author=1で投稿者アーカイブ誰でも閲覧できる
投稿者アーカイブは、誰でも閲覧できちゃいます。
ウェブサイトのURLの後ろに「/?author=1」というコマンドを入れると、投稿者アーカイブページがダイレクトに表示される仕様になっています。
コマンドを入れることで、誰でも表示閲覧可能です。
投稿者アーカイブページは、テーマがCocoonの場合は、URLに「/?author=1」を加えなくても、プロフィールウィジェットの名前リンクをクリックすると、このアーカイブページが表示されます。
わざわざ「/?author=1」コマンドいれて、投稿者アーカイブページでユーザーIDを調べる人がいると思うと、ちょっと怖いですよね。
不正アクセスからサイトを守るには、セキュリティ対策しかありません。
ユーザーネームを変更して、「/?author=1」でユーザーアーカイブが表示されないようにスラッグを変更しよう
不正アクセスからブログを守るためのセキュリティ対策として、ユーザーネームを変更し、「/?author=1」で投稿者アーカイブが表示されないようにスラッグを変更しましょう。
行うことはたった2つです。
- 無料プラグイン「Username Changer」でユーザーネームを変更
- 無料プラグイン「Edit Author Slug」でスラッグを変更
デフォルトの機能だと「ユーザーID=ユーザーネーム」で、ユーザーネームは変えられません。
無料のプラグインを使うことで、ユーザーネームが変更できるので、セキュリティ対策として、まずはユーザーネームを変更しましょう。
次に、投稿者アーカイブページのスラッグにユーザー名が入らないように変更を加えて、「/?author=1」をいれた場合はベージが見つからない設定にしましょう。
STEP1:「Username Changer」を使ってユーザー名を変更
- 無料プラグイン「Username Changer」でユーザーネームを変更
- 無料プラグイン「Edit Author Slug」でスラッグを変更
デフォルトのワードプレスの機能ではユーザー名は変更できませんが、無料プラグイン「Username Changer」を使ってユーザー名が簡単に変更できます。

Username Changerの設定方法

ユーザー>あなたのプロフィール>
デフォルトの状態だと、「ユーザー名は変更できません」となっています。

Username Changerをインストールして有効化したあとに、ユーザー>あなたのプロフィール>で、ページを見ると、ユーザー名が変更可能になっています。
好きなユーザー名を入れて、「Change Username」を押せばユーザー名の変更完了です。
STEP2:「Edit Author Slug」を使ってスラッグを変更
- 無料プラグイン「Username Changer」でユーザーネームを変更
- 無料プラグイン「Edit Author Slug」でスラッグを変更
ユーザー名だけ変えるだけでなく、この投稿者アーカイブへの対策が大事です。
「Edit Author Slug」という無料のプラグインを使えば、アーカイブページの投稿者スラッグを変更することが出来ます。

Edit Author Slugの設定方法

設定>Edit Author Slugの設定>
①にアーカイブページに表示させたい好きなワードを入れて、②変更を保存を押せば、変更完了です。
今回は、userarchiveと入れてみました。
まとめ

更新してプロフィールの名前クリックし、投稿者アーカイブページを見てみると、ユーザー名ユーザーIDから変更され、スラッグも指定したワード「userachive」に変更されています。
これで、一安心です。
公開からたった一週間で不正アクセスでサーバーとめられた私が言うのもおこがましいですが、
皆さんも、ワードプレスを始めたら、まずはセキュリティ対策でユーザー名を変更し、ついでにアーカイブページのスラッグを変更しておきましょう。