「Edit Author Slug」によるアカウント保護

「売れる」ウェブサイトを手に入れるため、最初に知っておくべきこと
成果の出ている「売れる」ウェブサイトが持つ、5つの要素をご存じですか?ウェブサイトを作るなら、まず初めにこれを確認して下さい。
Table of Contents

【注記】:2022/1/25に内容の再確認と加筆修正を行いました。「Edit Author Slug」プラグインが最新のWordPress(ver5.8)と互換性があること。下記手順で設定出来ることの2点を確認済みです。

常時SSL化は無事に完了したでしょうか?
未だやってない?…なら、下記を参考に今すぐ常時SSL化を行って下さい。あとからでは非常に手間が掛かるので。

常時SSL化 概要と設定手順(エックスサーバー環境・2021年版):DIY WordPress Site

サイトの常時SSL化が完了したあなたへ。

ようやくサイトを作れる!…と思ったかもしれませんが、ちょっと待って下さい。もう1つやることがあるのです。それは、「管理者IDを非表示にする」こと。

面倒そうに思うかもしれませんが、作業自体は5分もあれば完了します。このコンテンツで管理者IDを非表示にすべき理由と一連の手順を解説するので、確実に対処して下さい。

ちなみに、手順を具体的に示すということは私のアカウントを晒すことにもつながります。それは出来ませんが、モザイクだらけのスクリーンショットを並べられても具体的なイメージは湧かないでしょう。

そこで、このコンテンツではダミーアカウントを作って一連の手順を紹介していきます。

STEP1:現状確認

まず初めに、ダミーアカウントを作成します。IDは、「taro-yamada」としました※

※【注記】ダミーなので分かり易いIDにしましたが、第三者に類推されやすいID/PWの設定は厳に慎むべきです。あなたが「ヤマダさん」あるいは「タロウさん」という名前なら、当然このようなIDは使うべきではありません。

それでは、デフォルトの状態を見ていきましょう。「taro-yamada」アカウントでテスト投稿を作成・公開してみました。

「Edit Author Slug」によるアカウント保護 DIY WordPress Site

よく見て下さい…投稿の右上に投稿者名が表示されていますが、これはログインIDですよね。そして、投稿者名(ログインID)をクリックするとプロフィールと投稿記事の一覧が表示されます。このURLをよく見てみましょう。

「Edit Author Slug」によるアカウント保護 DIY WordPress Site

ここにも、バッチリログインIDが明記されているのが分かります。しかも、「author(筆者)」という但し書きまでついて。

現状は大きな問題を2つ抱えている状態なので、早急な改善が必要です。その問題について、解説しておきます。

問題点1:セキュリティの問題

WordPress管理画面にはIDとパスワードを入力してログインしますが、今はIDが丸見え(丸分かり)状態。つまり、パスワードさえ特定出来ればログイン出来る危険な状態です。

更に危険なのが、WordPressサイトを自分で運営している人のアカウントはほぼ、「管理者権限」だということ。管理者権限を持つアカウントは、データの改ざんや削除も自由自在です。このままにしておいて良いはずがありません。

「パスワードがそんな簡単に分かるのか?」と思うかもしれません。しかし、詳しい人の手に掛かれば、結構簡単に特定されてしまうのです。パスワードの強さ/弱さを解説した面白い記事がありますので、是非一読してみて下さい。

ブルートフォースアタックとは?実験から分かる危険性と有効な4つの対策:Norton

問題点2:ユーザビリティの問題

そもそもauthor(筆者)情報を明示する理由は、「誰が作ったコンテンツなのかを閲覧者に知らせるため」。

長期的に成長を続けるビジネスを手に入れたければ、最初に考慮すべきは「信頼」です。誰が作ったコンテンツなのかを明示すれば、閲覧者に安心感を与えることが出来ます。

「信頼」という観点で考えると、「author情報=ログインID」というのは不適切です。私たち事業者(経営者)の場合は、「author情報=名前(氏名又は事業者名)」が適切と言えます。

※【注記】従業員には「顔出し・名前出し」は強制しないようにしましょう。念のため。

 

これらの理由から、表示すべきauthor情報とはログインIDではないことがお分かり頂けたと思います。それでは早速対策を開始しましょう。

STEP2:WordPressプロフィールの変更

まずはサイト上に表示される「taro-yamada」というIDを「山田太郎」という氏名に変更します。手順は以下の通りです。

  1. WordPress管理画面の「ユーザー」をクリック→「ユーザー一覧」をクリック
  2. プロフィールを変更したいユーザーをクリック
  3. プロフィール編集画面に移動するので、「ニックネーム」を「山田太郎」に修正
  4. 「ブログ上の表示名」プルダウンをクリックして「山田太郎」を選択
  5. 画面最下部の「プロフィールを更新」ボタンをクリック

手順①、②はクリックだけなので問題なく進めるはず。手順③のプロフィール編集画面を見てみましょう。

プロフィール編集画面を確認する

プロフィール編集画面を見ると、「ニックネーム」「ブログ上の表示名」ともにIDが表示されていることが分かります。投稿画面にIDが表示されてしまう原因はこれです。

「Edit Author Slug」によるアカウント保護 DIY WordPress Site

原因が分かったところで、さっそく修正していきましょう。

ニックネーム、ブログ上の表示名を変更する

「ニックネーム」と「ブログ上の表示名」を変更し、最後に画面最下部の「プロフィールを更新」ボタンをクリックすればプロフィールの変更は完了です。

「Edit Author Slug」によるアカウント保護 DIY WordPress Site

※「名」と「姓」の入力は任意となっている。入れなくても特に問題は無い。

これでauthor情報をIDから氏名に変更出来ました。
ただ、これでOKか?というと答えはNOです。その理由は、下図を見て貰えば分かります。

「Edit Author Slug」によるアカウント保護 DIY WordPress Site

確かに表示名は「山田太郎」になっています。しかし、URLを見るとログインIDが表示されたまま。未だに「ID丸分かり状態」のままな訳です。

このままではマズいので、「応急処置」をしておきましょう。応急処置とは、「Edit Author Slug」プラグインの導入です。

STEP3:「Edit Author Slug」プラグインの導入

「Edit Author Slug」は、IDを任意の文字列に変更してくれるプラグインです。

本来、IDを非表示にするには「functions.php」や「author.php」などのWordPress構成ファイルを編集する必要があります。しかし、これらのファイル編集は初心者にはハードルが高い。よって、プラグインを使った簡単かつ確実な対処をお勧めします。手順は以下の通りです。

  1. プラグインのインストール→有効化
  2. Edit Author Slug 設定で、authorベースを変更(注:必須ではない)
  3. 「プロフィールを編集」画面に移動し、投稿者スラッグを変更

①プラグインのインストール→有効化

Edit Author Slugは、WordPress管理画面からインストール出来ます。
プラグインをインストールし、有効化しましょう。

※プラグインのインストール方法が分からない場合は、以下コンテンツを参照して下さい。

WORDPRESS プラグインインストール手順:DIY WordPress Site

②authorベースを変更

Edit Author Slugを有効化したら一度管理画面に戻り、画面左側の「設定」メニューをクリックします。すると「Edit Author Slug」というメニューが表示されるのでクリックして下さい。以下のような設定画面に移動します。

「Edit Author Slug」によるアカウント保護 DIY WordPress Site

画面一番上にある「投稿者ベース」という欄に任意の文字列を入力すると、「author」という文字列が自分の入力した文字列に置換されます。投稿者ベースの変更は必須ではないので、気になる場合は変えれば良いし、気にならなければそのままでも構いません。

なお、他の項目はそのままで問題ありません。
投稿者ベースや他の項目を変更した場合は、設定画面下の「変更を保存」ボタンをクリックして設定変更を完了させましょう。

③投稿者スラッグを変更

では、肝心要の「author情報変更(=ログインID非表示)」を行います。

プロフィールの編集画面に移動し、画面の最下部までスクロールしていきましょう。すると、下図のように「Edit Author Slug」という項目が追加されているはずです。

「Edit Author Slug」によるアカウント保護 DIY WordPress Site

ここで、投稿者スラッグをID以外のものに変更します。今回は、ランダムな英数字を選択してみました。

変更が終わったら、「変更を保存」ボタンをクリック。IDが非表示になっているか確認してみましょう。

STEP4:サイトを確認する

では、サイトを再度確認してみましょう。

「Edit Author Slug」によるアカウント保護 DIY WordPress Site

これでIDを隠すことが出来ました。作業はこれで完了です。

最後に

言うまでもないことですが、ID/パスワードともに類推されやすい文字列は避けましょう。桁数は多く、半角英文字だけではなく数字や記号も組み合わせること。最低限これだけはやっておきましょう。

このコンテンツでお伝えした内容は、セキュリティ対策の「基本の基」です。本来なら、2段階認証や一定回数パスワードの入力に失敗するとログイン不可になるなど、さらに強固なセキュリティ対策が望ましいです。

他のセキュリティ対策に関しても、実践・検証した内容については今後もアップしていく予定なので、参考にして頂ければ幸いです。

追記(おまけ)

テストも終わったので、ダミーアカウントを削除しました。
削除後にログイン画面にIDを入力すると、下図のようなエラーメッセージが表示されました。

「Edit Author Slug」によるアカウント保護 DIY WordPress Site

これで一安心。何らかの事情でアカウントを削除する場合には、ログイン画面で削除したアカウントのIDを入力し、上の図と同じエラーメッセージが出ることを確認すると良いでしょう。

Recommends
あなたのメッセージやアイディアを形にする会員制スタジオ「Output STUDIO」がオープン。 ウェブページや動画など、ターゲットに届ける最終工程をしっかり形に仕上げ、顧客や見込み客に届けることが出来ます。 集客やセールスのスピード感が高まるので、数多くの施策を打てるようになります。また、都度外注するより圧倒的に安いので、コストの有効配分にもつながります。 「Output STUDIO」は会員限定での提供となります。詳細は公式サイトでご確認下さい。
Recent posts
これは見出しです
Lorem ipsum dolor sit amet consectetur adipiscing elit dolor

Table of Contents

集客やセールスの「資産とスキル」が手に入る制作室
集客やセールスのスピードと精度を上げ、無駄なコストを抑えたいとお考えなら、STRATEGY SUPPLIERが運営する「Output STUDIO」に参加して下さい。 低コストでウェブサイトという「資産」と、構築・運用「スキル」を手に入れることが出来ます。 「Output STUDIO」は、高品質なサポートを提供するため会員制とさせて頂いており、参加人数を制限しています。 募集状況など、詳細は下のボタンをクリックしてご確認下さい。
Picture of 松浦 臣吾
松浦 臣吾
マーケティングプロデューサー/コピーライター。STRATEGY SUPPLIER在籍。神奈川県在住。継続性にフォーカスしたマーケティング戦略の立案と実践を得意とする。成長し続けるビジネスの設計図「Business Design Method」を公開し、ビジネスオーナーへの精力的なサポートを行っている。
関連コンテンツ
Wordfence WAFトラブル対応履歴(202112)

Wordfence WAF設定で発生したトラブル事例と、その対処方法を紹介します。WAFのエラーが出っぱなしでお困りのWordfenceユーザーの方には、このコンテンツが問題解決につながるかもしれません。

Read More »