【注記】:2022/1/25に内容の再確認と加筆修正を行いました。「Edit Author Slug」プラグインが最新のWordPress(ver5.8)と互換性があること。下記手順で設定出来ることの2点を確認済みです。
常時SSL化は無事に完了したでしょうか?
未だやってない?…なら、下記を参考に今すぐ常時SSL化を行って下さい。あとからでは非常に手間が掛かるので。
常時SSL化 概要と設定手順(エックスサーバー環境・2021年版):DIY WordPress Site
サイトの常時SSL化が完了したあなたへ。
ようやくサイトを作れる!…と思ったかもしれませんが、ちょっと待って下さい。もう1つやることがあるのです。それは、「管理者IDを非表示にする」こと。
面倒そうに思うかもしれませんが、作業自体は5分もあれば完了します。このコンテンツで管理者IDを非表示にすべき理由と一連の手順を解説するので、確実に対処して下さい。
ちなみに、手順を具体的に示すということは私のアカウントを晒すことにもつながります。それは出来ませんが、モザイクだらけのスクリーンショットを並べられても具体的なイメージは湧かないでしょう。
そこで、このコンテンツではダミーアカウントを作って一連の手順を紹介していきます。
STEP1:現状確認
まず初めに、ダミーアカウントを作成します。IDは、「taro-yamada」としました※
※【注記】ダミーなので分かり易いIDにしましたが、第三者に類推されやすいID/PWの設定は厳に慎むべきです。あなたが「ヤマダさん」あるいは「タロウさん」という名前なら、当然このようなIDは使うべきではありません。
それでは、デフォルトの状態を見ていきましょう。「taro-yamada」アカウントでテスト投稿を作成・公開してみました。
よく見て下さい…投稿の右上に投稿者名が表示されていますが、これはログインIDですよね。そして、投稿者名(ログインID)をクリックするとプロフィールと投稿記事の一覧が表示されます。このURLをよく見てみましょう。
ここにも、バッチリログインIDが明記されているのが分かります。しかも、「author(筆者)」という但し書きまでついて。
現状は大きな問題を2つ抱えている状態なので、早急な改善が必要です。その問題について、解説しておきます。
問題点1:セキュリティの問題
WordPress管理画面にはIDとパスワードを入力してログインしますが、今はIDが丸見え(丸分かり)状態。つまり、パスワードさえ特定出来ればログイン出来る危険な状態です。
更に危険なのが、WordPressサイトを自分で運営している人のアカウントはほぼ、「管理者権限」だということ。管理者権限を持つアカウントは、データの改ざんや削除も自由自在です。このままにしておいて良いはずがありません。
「パスワードがそんな簡単に分かるのか?」と思うかもしれません。しかし、詳しい人の手に掛かれば、結構簡単に特定されてしまうのです。パスワードの強さ/弱さを解説した面白い記事がありますので、是非一読してみて下さい。
ブルートフォースアタックとは?実験から分かる危険性と有効な4つの対策:Norton
問題点2:ユーザビリティの問題
そもそもauthor(筆者)情報を明示する理由は、「誰が作ったコンテンツなのかを閲覧者に知らせるため」。
長期的に成長を続けるビジネスを手に入れたければ、最初に考慮すべきは「信頼」です。誰が作ったコンテンツなのかを明示すれば、閲覧者に安心感を与えることが出来ます。
「信頼」という観点で考えると、「author情報=ログインID」というのは不適切です。私たち事業者(経営者)の場合は、「author情報=名前(氏名又は事業者名)」が適切と言えます。
※【注記】従業員には「顔出し・名前出し」は強制しないようにしましょう。念のため。
これらの理由から、表示すべきauthor情報とはログインIDではないことがお分かり頂けたと思います。それでは早速対策を開始しましょう。
STEP2:WordPressプロフィールの変更
まずはサイト上に表示される「taro-yamada」というIDを「山田太郎」という氏名に変更します。手順は以下の通りです。
- WordPress管理画面の「ユーザー」をクリック→「ユーザー一覧」をクリック
- プロフィールを変更したいユーザーをクリック
- プロフィール編集画面に移動するので、「ニックネーム」を「山田太郎」に修正
- 「ブログ上の表示名」プルダウンをクリックして「山田太郎」を選択
- 画面最下部の「プロフィールを更新」ボタンをクリック
手順①、②はクリックだけなので問題なく進めるはず。手順③のプロフィール編集画面を見てみましょう。
プロフィール編集画面を確認する
プロフィール編集画面を見ると、「ニックネーム」「ブログ上の表示名」ともにIDが表示されていることが分かります。投稿画面にIDが表示されてしまう原因はこれです。
原因が分かったところで、さっそく修正していきましょう。
ニックネーム、ブログ上の表示名を変更する
「ニックネーム」と「ブログ上の表示名」を変更し、最後に画面最下部の「プロフィールを更新」ボタンをクリックすればプロフィールの変更は完了です。
※「名」と「姓」の入力は任意となっている。入れなくても特に問題は無い。
これでauthor情報をIDから氏名に変更出来ました。
ただ、これでOKか?というと答えはNOです。その理由は、下図を見て貰えば分かります。
確かに表示名は「山田太郎」になっています。しかし、URLを見るとログインIDが表示されたまま。未だに「ID丸分かり状態」のままな訳です。
このままではマズいので、「応急処置」をしておきましょう。応急処置とは、「Edit Author Slug」プラグインの導入です。
STEP3:「Edit Author Slug」プラグインの導入
「Edit Author Slug」は、IDを任意の文字列に変更してくれるプラグインです。
本来、IDを非表示にするには「functions.php」や「author.php」などのWordPress構成ファイルを編集する必要があります。しかし、これらのファイル編集は初心者にはハードルが高い。よって、プラグインを使った簡単かつ確実な対処をお勧めします。手順は以下の通りです。
- プラグインのインストール→有効化
- Edit Author Slug 設定で、authorベースを変更(注:必須ではない)
- 「プロフィールを編集」画面に移動し、投稿者スラッグを変更
①プラグインのインストール→有効化
Edit Author Slugは、WordPress管理画面からインストール出来ます。
プラグインをインストールし、有効化しましょう。
※プラグインのインストール方法が分からない場合は、以下コンテンツを参照して下さい。
WORDPRESS プラグインインストール手順:DIY WordPress Site
②authorベースを変更
Edit Author Slugを有効化したら一度管理画面に戻り、画面左側の「設定」メニューをクリックします。すると「Edit Author Slug」というメニューが表示されるのでクリックして下さい。以下のような設定画面に移動します。
画面一番上にある「投稿者ベース」という欄に任意の文字列を入力すると、「author」という文字列が自分の入力した文字列に置換されます。投稿者ベースの変更は必須ではないので、気になる場合は変えれば良いし、気にならなければそのままでも構いません。
なお、他の項目はそのままで問題ありません。
投稿者ベースや他の項目を変更した場合は、設定画面下の「変更を保存」ボタンをクリックして設定変更を完了させましょう。
③投稿者スラッグを変更
では、肝心要の「author情報変更(=ログインID非表示)」を行います。
プロフィールの編集画面に移動し、画面の最下部までスクロールしていきましょう。すると、下図のように「Edit Author Slug」という項目が追加されているはずです。
ここで、投稿者スラッグをID以外のものに変更します。今回は、ランダムな英数字を選択してみました。
変更が終わったら、「変更を保存」ボタンをクリック。IDが非表示になっているか確認してみましょう。
STEP4:サイトを確認する
では、サイトを再度確認してみましょう。
これでIDを隠すことが出来ました。作業はこれで完了です。
最後に
言うまでもないことですが、ID/パスワードともに類推されやすい文字列は避けましょう。桁数は多く、半角英文字だけではなく数字や記号も組み合わせること。最低限これだけはやっておきましょう。
このコンテンツでお伝えした内容は、セキュリティ対策の「基本の基」です。本来なら、2段階認証や一定回数パスワードの入力に失敗するとログイン不可になるなど、さらに強固なセキュリティ対策が望ましいです。
他のセキュリティ対策に関しても、実践・検証した内容については今後もアップしていく予定なので、参考にして頂ければ幸いです。
追記(おまけ)
テストも終わったので、ダミーアカウントを削除しました。
削除後にログイン画面にIDを入力すると、下図のようなエラーメッセージが表示されました。
これで一安心。何らかの事情でアカウントを削除する場合には、ログイン画面で削除したアカウントのIDを入力し、上の図と同じエラーメッセージが出ることを確認すると良いでしょう。
