WordPressユーザー名の漏洩を防ぐ!プラグインを使用しない方法

セキュリティ ホームページ作成

WordPressのログイン履歴はデフォルトでは閲覧できませんが、セキュリティ対策プラグイン「All In One WP Security」等を使用していると、確認することができます。

「失敗したログインの記録」を確認すると、「実際に使用しているユーザー名」でログイン試行される場合があることに気付きます。

WordPressログインには「ユーザー名」「パスワード」の2つを入力してログインします。その一方である「ユーザー名」がどこかで漏洩して、第三者に不正ログインされそうになっているのです。

なぜ、ユーザー名が特定されてしまうのか?

実は、WordPressの仕様として、ユーザー名を特定する方法が存在するのです。

今回は「WordPressユーザー名を特定する方法」の解説と、その回避策をプラグインを使用しない方法でご紹介します。

スポンサーリンク

WordPressユーザー名を簡単に特定する方法

ブラウザのURL欄に、以下のように入力します。

https://自分のドメイン/?author=1

後半の「author=1」は、「ユーザーID=1」という意味です。ユーザーを作り直したことがある人は「2」や「3」にしてください。

すると「投稿者のアーカイブページ」が表示されます。
その状態で、ブラウザのURL欄を見てください。
URL末尾に「自分のユーザー名」が表示されているはずです。

アドレスバー表示

これは、WordPressの仕様です。標準の動作です。
この方法を利用して、悪意ある第三者でもWordPressログインに必要な「ユーザー名」を特定できるのです。

パスワードを複雑な物にしていれば、実際に不正ログインされることは少ないでしょう。
セキュリティ対策プラグインでログイン試行回数を制限していれば、余程のことがない限り大丈夫です。

けれど……ログインに必要な2つの情報のうちの1つが見えてしまっている状態は、好ましいものではありません。
不安材料は少しでも減らしておきたいですよね。

ユーザー名の特定を防ぐためにできること

上記機能から逃れるためのプラグインも存在しますが、なるべくWordPressのプラグインは増やしたくないところ。
プラグインを使用せずに、ユーザー名の漏洩を防ぐ方法をご紹介します。

ニックネームを変更する

まず、表立って公開しているユーザー名を変更します。

WordPressのテーマによっては、投稿記事にユーザー名が載っています。
ログインに使用する「ユーザー名」を表示しないように、以下の個所を変更します。

WordPress管理画面「ユーザー -> プロフィール」

【ニックネーム】 ユーザー名と異なる名前を入力する。
【ブログ上の表示名】 ニックネームを選択する。

画面下の「プロフィールを更新」クリック

ユーザー画面
ユーザー画面

これで、表立って見えるユーザー名は変更できました。

ユーザー名表示

WordPressユーザー名に記号を入れる

続いて「?author=1」で表示されてしまうURL上のユーザー名を対策します。

ユーザー名で使用できる半角記号のうち、以下の記号をユーザー名に使用します。

「 (スペース)」
「.(ピリオド)」
「@(アットマーク)」

すると、URL上に表示されるユーザー名の上記記号の個所が、「-(ハイフン)」「_(アンダーバー)」に置換されます。

具体例で示すと、以下のようになります。

【ユーザー名】 test user-.@a
【URL上の表示】 test-user-_-a

アドレスバー表示

これで、完全一致のユーザー名がURLから漏洩することを防ぐことができます。

新しいユーザーを作成し、既存ユーザーを削除する

ユーザー名に記号を入れれば良いことが分かりましたが、既存のユーザーはユーザー名を変更することができません。

ユーザー画面

そのため、既存ユーザーのユーザー名を変更するには、新しいユーザーを作成して、既存ユーザーを削除する必要があります。
具体的には以下のステップを踏む必要があります。

  1. 既存ユーザーのメールアドレスを変更する。
  2. 元々利用しているメールアドレスで、記号を交えたユーザー名で新規ユーザーを作成する。
  3. 既存ユーザーを削除する。

重複したメールアドレスの登録ができないので、少し手間がかかりますが、上記ステップでユーザーを差し替えることができます。

絶対に使用してはいけないユーザー名「admin」

ユーザー名に特定の記号を含めれば、完全一致の漏洩が防げることが分かりました。
けれど、既に作成したユーザーを差し替える手順を手間だと感じる人もいますよね。

手間だと感じても、絶対に、変更した方が良いユーザー名が存在します。

ユーザー名「admin」です。

これは、WordPressを手動でインストールする際に、デフォルトで作成される管理者ユーザーの名称です。
実際、私が管理しているサイトでも「admin」でのログイン試行が多いです。

ユーザーログイン履歴

もし「admin」ユーザーを使用している方、使用していないけれど「admin」ユーザーが残っている方は、ユーザー名の変更または削除を絶対にしてください!

まとめ:WordPressの「ユーザー名」「パスワード」は慎重に設定しよう

WordPressを使用している方は、PHPなどのプログラムが動かせるサーバーを使用しています。
悪意あるコードをサーバーに仕込まれると、自分が加害者になってしまいます。

被害事例
  • 自分のサイトがフィッシングサイトへリダイレクトで飛ばされる。
  • 迷惑メールの送信元にされる。
  • ウイルスを仕込まれ、サイト閲覧者に悪意あるファイルがダウンロードされる。

また、バックアップがない場合、サイトの復旧は困難を極めます。
私は実際にWordPress乗っ取り被害に合われた方の復旧作業をしたことがあります。コマンドを使用してサーバーの操作をして……と、復旧にはとても手間がかかり、「知識がない方だと絶対に復旧できないな」と実感しました。

WordPressは有名なだけに、乗っ取り被害も多いです。
「ユーザー名」「パスワード」は慎重に設定しましょう。

タイトルとURLをコピーしました