2013-09-08

[WordPress] WordPressのセキュリティ対策追加(Edit Author Slug)

WordPress
先日、WordPressのログイン画面のURL変更のプラグインを入れたりして、
セキュリティに関する情報を集めていたところ、気になる記事を発見しました。

Simple Living
admin から変更しても WordPress のユーザー名は丸見え!投稿者アーカイブの URL を守る方

URLの後ろに「/?author=1」と入れると、
WordPressは投稿者の記事一覧を表示する仕組みになっていて、
なんとそのURLにユーザーIDが含まれてしまうのです。
(パーマリンク設定などでも違うかもしれません)
ユーザー名にadminを使用しないようにしていても、このURLをたたけば即バレです。


というわけで、上記のサイトを参考にして、
このURLを違うものに変更できるプラグイン「Edit Author Slug」を入れました。

このプラグインを有効化した後に、ユーザーのプロフィールページにいき、
まずニックネームがユーザーIDとは別にしてあるかを確認、
その上で、Edit Author Slugのカスタムで別の名前を設定します。
ニックネームを選択してもいいのですが、なんとなく別のものにしました。

ちなみにニックネームを別にしておかないと、投稿者の記事一覧を表示させたときに
このプラグインを入れていても「wp_title」を使っていればタイトルのところに
ユーザーIDが表示されてしまいますので、必ず別で設定しましょう。

セキュリティ関連だけでも最初に設定するプラグインが増えてきました。
次回バージョンアップ時には、ある程度このあたりのセキュリティを考慮したものを
出してもらえるとうれしいなあ、と思います。

Comment:

Trackback URL: