WordPressのユーザー名はadminから変更してもバレバレ。即対応しよう！

WebサイトのシステムにWordpressを入れている方は多いと思います。私も新規でサイトを作成する際はWordpressを利用することがほとんどですし、クライアントから要望を受けることも多くなりました。Wordpressは有名だからこそ、管理画面に無理やりログインしようとするブルートフォースアタック（総当たり攻撃）の標的にされることも多いので、必ず対処する必要があります。

対処法としてよく言われているのがユーザー名（ID）を「admin」以外に設定することです。Wordpressを設置すると多くの場合、ユーザー名の初期は「admin」となっており、これではハッキングする側はパスワードを当てるだけでログインすることが可能だからです。

「admin」以外に設定することはとても有効的に思えますが、実は別のユーザー名に変更しても簡単にユーザー名を知ることが出来てしまうのです…。

ユーザー名がバレバレに！

WordPressを設置しているURLの後に「/?author=1」と入力してアクセスしてみてください。

するとそのユーザーのユーザー名がURL内に表示されてしまいます。もし「/?author=1」を入力してエラーが表示されても数値を「2」「3」としていけば表示されてしまいます。

「admin」以外に設定しても意味ないじゃん・・・。
一手間かけさせるので全く意味がないとは言えませんが、簡単にバレてしまうのですぐに対策をする必要があるでしょう！

スラッグを変更する

この状態を対処する方法は簡単で『Edit Author Slug』というプラグインを利用します。プラグインの新規追加から『Edit Author Slug』で検索してインストールしてください。

このプラグインを利用することによって、「/?author=*」でアクセスした時に表示されるスラッグ（URL部分）を任意の文字列に変更することが可能です。

インストール・有効化できたらユーザー一覧を開きましょう。

設定はユーザーごとに行います。「編集」をクリックして編集画面を開いてください。「Edit Author Slug」という設定項目欄が表示されていると思いますので、「Custom」にして任意のスラッグを入力します。（この部分が「/?author=*」でアクセスした時に表示されます。）

更新ができたらURLに「/?author=*」を付けてユーザー名が表示されないかを確認してみましょう。複数のユーザーが居る場合はそれぞれ変更をしてください。自分のサイトが乗っ取られないようにすぐに対処しましょう！

（関連記事）WordPressで2段階認証を導入して乗っ取りから守ろう！