セキュリティ設定その②:アカウント保護(プラグイン使用)

常時SSL化は無事に完了したでしょうか?
未だやってない?…なら、下記を参考に今すぐ常時SSL化を行って下さい。あとからでは非常に手間が掛かるので。

サイトの常時SSL化が完了したあなたへ。ようやくサイトを作れる!…と思ったかもしれませんが、ちょっと待って下さい。もう1つやることがあるのです。やることとは、「管理者IDを非表示にする」こと。

一見面倒そうに思うかもしれませんが、作業自体は5分もあれば完了します。
一連の手順をお伝えするので、確実に対処して下さい。

ちなみに、手順を具体的に示すということは私のアカウントを晒すことにもつながります。それは出来ません。とは言え、モザイクだらけのスクリーンショットを並べられても具体的なイメージは湧かないでしょう。

そこで、このコンテンツではダミーアカウントを作って一連の手順を紹介していきます。

STEP1:現状確認

まず初めに、ダミーアカウントを作成します。IDは、「taro-yamada」としました※

 ※【注記】ダミーなので分かり易いIDにしましたが、第三者に類推されやすいID/PWの設定はリスクが高いので厳に慎むべきです。あなたが「ヤマダさん」あるいは「タロウさん」という名前なら、当然このようなIDは使うべきではありません。

それでは、デフォルトの状態を見ていきましょう。サイトを表示して、投稿を確認します(まっさらの状態なら、「Hello World!」というテストページが表示される)。今回は「taro-yamada」アカウントでテスト投稿を作成・公開してみました。

よく見て下さい…投稿のタイトル横にログインIDが表示されています。そして、ログインIDをクリックするとプロフィールと投稿記事の一覧が表示されます。ここでURLを見てみましょう。

ここにも、バッチリログインIDが明記されているのが分かります。このままだと2つの問題を抱えた状態にあるので、早急な改善が必要です。各々の問題点について解説しておきます。

問題点1:セキュリティの問題

WordPress管理画面には、IDとパスワードを入力してログインします。しかし、今の状態ではIDが丸見えになっているので、パスワードさえ分かればログイン可能な状態です。

更に危険なのが、WordPressサイトを自分で運営している人のアカウントはほぼ、「管理者権限」だということ。管理者権限を持つアカウントは、データの改ざんや削除も自由自在です。このままにしておいて良いはずがありません。

「パスワードがそんな簡単に分かるのか?」と思うかもしれません。しかし、その道に詳しい人の手に掛かれば、結構簡単に特定されてしまうのです。パスワードの強さ/弱さを解説した面白い記事があります。是非これを一読して頂きたい。

問題点2:ユーザビリティの問題

そもそも、author(筆者)情報を明示する理由は、サイトの閲覧者に対して誰が作ったコンテンツなのかを知らせるためです。

セキュリティの話からちょっと脱線しますが、長期的に成長を続けるビジネスを手に入れたければ、最初に考慮すべきは「信頼」です。誰が作ったコンテンツなのかを明示すれば、閲覧者に安心感を与えることが出来ます。

そして、複数名のauthorが投稿している場合にはちょっとしたメリットを与えることも出来ます。閲覧者は自分が見たいauthorの作ったコンテンツだけを選び・見ることが出来るからです。

これらの理由から、表示すべきauthor情報とはIDではないことがお分かり頂けたと思います。表示すべきは、氏名や事業者名です。適切なauthor情報を明示することは、閲覧者が快適にサイト内を回遊する上で重要なポイントになるのです。

STEP2:WordPressプロフィールの変更

それでは早速対策を開始しましょう。

まずはサイト上に表示される「taro-yamada」というIDを「山田太郎」という氏名に変更します。手順は以下の通りです。

プロフィール変更手順

①WordPress管理画面の「ユーザー」をクリック→「ユーザー一覧」をクリック
②プロフィールを変更したいユーザーをクリック
③プロフィール編集画面に移動するので、「ニックネーム」を「山田太郎」に修正
④「ブログ上の表示名」プルダウンをクリックして「山田太郎」を選択
⑤画面最下部の「プロフィールを更新」ボタンをクリック

手順①、②はクリックだけなので問題なく進めるはず。手順③のプロフィール編集画面を見てみましょう。

プロフィール編集画面を確認する

下図のように、ニックネーム、ブログ上の表示名ともにIDが表示されています。投稿画面にIDが表示されてしまう原因はこれです。

原因が分かったところでさっそく修正していきましょう。

ニックネーム、ブログ上の表示名を変更する

ニックネームとブログ上の表示名を変更し、最後に画面最下部の「プロフィールを更新」ボタンをクリックすればプロフィールの変更は完了です。

 【注記】「名」と「姓」の入力は任意となっている。入れなくても特に問題は無い。

これでauthor情報をIDから氏名に変更出来ました。
ただ、これでOKか?というと答えはNOです。その理由は、下図を見て貰えば分かります。

確かに表示名は「山田太郎」になっています。しかし、URLを見ると未だにログインIDが表示されたままです。分かる人が見れば、IDが丸分かり状態な訳です。

このままではマズいので、手っ取り早く応急処置をしておきましょう。
応急処置とは、「Edit Author Slug」プラグインの導入です。

STEP3:「Edit Author Slug」プラグインの導入

Edit Author Slugは、IDを任意の文字列に変更してくれるプラグインです。

本来、IDを非表示にするには「functions.php」や「author.php」などのWordPress構成ファイルを編集する必要があります。しかし、これらのファイル編集は初心者にはハードルが高い。よって、プラグインを使った簡単かつ確実な対処をお勧めします。手順は以下の通りです。

作業手順

①プラグインのインストール→有効化
②Edit Author Slug 設定で、authorベースを変更(注:必須ではない)
③「プロフィールを編集」画面に移動し、投稿者スラッグを変更

①プラグインのインストール→有効化

Edit Author Slugは、WordPress管理画面からインストール出来ます。
プラグインをインストールし、有効化しましょう。

 ※プラグインのインストール方法が分からない場合は、以下コンテンツを参照して欲しい。

②authorベースを変更

Edit Author Slugを有効化したら、管理画面の設定をクリックした後、Edit Author Slugをクリック。
すると、以下のような設定画面に移動します。

画面一番上にある「投稿者ベース」という欄に任意の文字列を入力すると、「author」という文字列が自分の入力した文字列に置換されます。投稿者ベースの変更は必須ではないので、気になる場合は変えれば良いし、気にならなければそのままでも構いません。

なお、他の項目はそのままで問題ありません。
投稿者ベースや他の項目を変更した場合は、設定画面下の「変更を保存」ボタンをクリックして設定変更を完了させましょう。

③投稿者スラッグを変更

では、肝心要のID非表示を行っていきます。

プロフィールの編集画面に移動し、画面の最下部までスクロールしていきましょう。すると、下図のように「Edit Author Slug」という項目が追加されているはずです。

ここで、投稿者スラッグをID以外のものに変更します。今回は、ランダムな英数字を選択してみました。

変更が終わったら、「変更を保存」ボタンをクリック。IDが非表示になっているか確認してみましょう。

STEP4:サイトを確認する

では、サイトを再度確認してみましょう。

これでIDを隠すことが出来ました。作業はこれで完了です。

最後に

言うまでもないことですが、ID/パスワードともに類推されやすい文字列は避けましょう。桁数は多く、半角英文字だけではなく数字や記号も組み合わせること。最低限これだけはやっておきましょう。

このコンテンツでお伝えした内容は、セキュリティ対策の「基本の基」です。本来なら、2段階認証や一定回数パスワードの入力に失敗するとログイン不可になるなど、さらに強固なセキュリティ対策が望ましいです。

他のセキュリティ対策に関しても、実践・検証した内容については今後もアップしていく予定なので、参考にして頂ければ幸いです。

追伸:

テストも終わったので、ダミーアカウントを削除しました。
削除後にログイン画面にIDを入力すると、下図のようなエラーメッセージが表示されました。

これで一安心。何らかの事情でアカウントを削除する場合には、ログイン画面で削除したアカウントのIDを入力し、上の図と同じエラーメッセージが出ることを確認すると良いでしょう。

 

 

この記事が気に入ったら
フォローしよう

最新情報をお届けします

Twitterでフォローしよう