【WordPressセキュリティ】あなたのユーザー名、丸見えかも?投稿者名(ニックネーム)を変更して乗っ取りを防ぐ方法
こんにちは、ブロガーの僕です。
突然だけど、あなたのWordPressサイト、もしかしたら玄関のドアに「合鍵は植木鉢の下にあります」って書いたステッカーを貼ってるのと同じくらい、無防備な状態かもしれないって言ったら、どうする?
「いやいや、ちゃんとパスワードも長くしてるし、大丈夫でしょ!」
そう思ったあなた。甘い、甘すぎるぜ…。
実は、WordPressをインストールしただけの「素の」状態だと、あなたのログインID、つまり「ユーザー名」が世界中にダダ漏れになってる可能性が、めちゃくちゃ高いんだ。
僕もこの事実を初めて知った時、マジで血の気が引いた。だって、泥棒に入ってくださいって言ってるようなもんだからね。
あれは忘れもしない、僕がブログを始めて半年くらいの頃。順調に記事も増えて、アクセスも少しずつ伸びてきて、「いやっほーい!」って浮かれてた時期だ。そんな時、たまたま読んだ海外のセキュリティ記事に、この「ユーザー名漏洩」のことが書かれてたんだ。
「まさかね」と半信半疑で、自分のサイトで試してみた。URLの末尾に、呪文のように「/?author=1」と打ち込んで、Enterキーをターンッ!
次の瞬間、画面に表示されたURLを見て、僕は固まった。そこには、僕がWordPressのインストール時に、何も考えずにつけた、超シンプルなログインユーザー名が、恥ずかしげもなく表示されていたんだ。
「うわ、マジか…」
背筋がゾッとして、冷や汗が流れたのを今でも覚えてる。もし、悪意のある誰かがこれに気づいていたら…?僕のブログは、一瞬で乗っ取られていたかもしれない。
今回は、WordPressの意外な落とし穴である「投稿者名」に隠されたセキュリティリスクと、それを今すぐ、しかもたった数分で解決する方法を、初心者にも分かりやすく徹底解説していく。この記事を読み終わる頃には、あなたのサイトの防御力は、確実にレベルアップしてるはずだ。
なぜユーザー名がバレるとヤバいのか?
そもそも、なんでユーザー名がバレるとそんなに危険なの?って話から。
WordPressにログインするには、基本的に「ユーザー名」と「パスワード」の2つが必要だよね。これって、金庫を開けるための「2つの鍵」みたいなもの。
でも、もし片方の鍵(ユーザー名)のありかがバレてしまったら?
攻撃者は、あとはもう片方の鍵(パスワード)さえ手に入れれば、あなたのサイトに堂々と侵入できてしまう。彼らは「ブルートフォースアタック(総当たり攻撃)」っていう、考えられるパスワードを片っ端から試す、力技の攻撃を仕掛けてくる。
ユーザー名が分かっていれば、この攻撃の成功率が、ぐーんと上がってしまうんだ。特に、adminみたいな簡単なユーザー名を使ってたら、もう「どうぞ入ってください」状態。マジで危険だ。
ブルートフォース攻撃の脅威
ブルートフォース(Brute Force)は「力ずく」って意味。その名の通り、考えられるパスワードの組み合わせを、プログラムを使って、ものすごいスピードで、何度も何度も試す攻撃方法だ。
| 攻撃パターン | 攻撃者が試す必要があるもの | 難易度 |
|---|---|---|
| ユーザー名不明 | ユーザー名とパスワードの両方 | 非常に高い |
| ユーザー名判明 | パスワードのみ | 低い |
この表を見れば一目瞭然だよね。ユーザー名がバレてるだけで、攻撃の難易度は劇的に下がってしまう。
さらに、「辞書攻撃(Dictionary Attack)」っていう、よく使われる単語や名前を組み合わせたリストを使って攻撃してくるパターンもある。もしあなたのパスワードが password123 とか ilovecat みたいな簡単なものだったら、もう秒殺されるレベルだ。
あなたのユーザー名はこうして漏れている!恐怖の確認方法
「まさか、自分のサイトは大丈夫だろ…」
そう思ってる人ほど、危険信号。今すぐ、この方法で自分のサイトをチェックしてみてほしい。たぶん、青ざめるから。
確認方法:恐怖の「/?author=1」
やり方は簡単。ブラウザのアドレスバーに、あなたのサイトのURLに続けて、/?author=1 と入力してアクセスするだけ。
例: https://あなたのサイト.com/?author=1
さあ、どうなった?
もし、リダイレクト(自動でページが切り替わること)されて、アドレスバーのURLがこんな感じに変わっていたら、アウトだ。
https://あなたのサイト.com/author/あなたのユーザー名
そう、URLの中に、あなたのログインユーザー名が、堂々と表示されてしまっているんだ。これは、WordPressが自動的に生成する「投稿者アーカイブページ」の仕様。?author=1の「1」はユーザーIDで、これを2, 3, 4…と変えていけば、他のユーザーのユーザー名も全部バレてしまう可能性がある。
他にもある!ユーザー名の漏洩経路
実は、漏洩経路はこれだけじゃない。
- 記事の投稿者表示:テーマによっては、記事の最後に「この記事を書いた人:あなたのユーザー名」みたいに表示されてる。
- REST API:
https://あなたのサイト.com/wp-json/wp/v2/usersにアクセスすると、ユーザー情報が丸見えになることがある。
もう、お分かりいただけただろうか。WordPressのデフォルト設定は、セキュリティ的に、かなり「性善説」に立って作られているんだ。
特に、REST APIは盲点になりがち。APIっていうのは、外部のプログラムがWordPressのデータと連携するための「窓口」みたいなものなんだけど、この窓口が開きっぱなしになってると、ユーザー情報を含め、いろんな情報が外から覗き見できてしまうんだ。
今すぐできる!3ステップでユーザー名を隠す方法
でも、安心してほしい。この致命的な弱点は、今すぐ、しかも驚くほど簡単に塞ぐことができる。
ステップ1:ニックネームを設定する(超基本)
まずは、一番簡単な対策から。これは、WordPressを使ってる人全員が、絶対にやっておくべき設定だ。
- WordPressの管理画面にログインして、左側のメニューから「ユーザー」→「あなたのプロフィール」を開く。
- 少し下にスクロールすると、「名前」のセクションがあるはず。そこの「ニックネーム(必須)」に、ユーザー名とは全く違う、第三者から推測されにくい名前を入力する。
- 次に、そのすぐ下にある「ブログ上の表示名」のプルダウンメニューから、さっき入力したニックネームを選択する。
- 最後に、ページの一番下にある「プロフィールを更新」ボタンをクリック。これで完了!
これだけで、記事の投稿者名として表示される名前が、安全なニックネームに変わる。まずは、第一関門突破だ。
ただし、これだけだと、記事に表示される名前が変わるだけで、根本的なURLからの漏洩は防げていない。次のステップが本番だ。
ステップ2:プラグインで投稿者スラッグを変更する(最重要)
ステップ1だけだと、実はまだ不十分。あの恐怖の /?author=1 攻撃には、まだ対応できていないんだ。
そこで登場するのが、神プラグイン「Edit Author Slug」だ。
- 管理画面の「プラグイン」→「新規追加」を開く。
- 右上の検索窓に「Edit Author Slug」と入力して検索。
- 下の画像みたいなプラグインが出てくるから、「今すぐインストール」して「有効化」する。
- 有効化したら、もう一度「ユーザー」→「あなたのプロフィール」を開いて、一番下までスクロールする。
- 「Edit Author Slug」っていう新しい項目が増えてるはず。そこの「投稿者スラッグ」の中から「カスタム設定」にチェックを入れる。
- すぐ下の入力欄に、ユーザー名とは全く違う、推測されにくい英数字を入力する。これが、新しいURLの一部になる。例えば
writer-01とか、blog-masterとか、なんでもいい。 - 最後に「プロフィールを更新」をクリック!
さあ、もう一度、あなたのサイトで /?author=1 を試してみてほしい。今度は、リダイレクト先のURLが、さっきカスタム設定で入力した文字列に変わっているはずだ。
https://あなたのサイト.com/author/カスタム設定した文字列これで、本当のユーザー名は完全に隠された。おめでとう!
なぜニックネームだけじゃダメなのか?
ここで重要なのは、ステップ1の「ニックネームの変更」だけでは不十分だということ。ニックネームはあくまで「表示名」を変えるだけで、WordPressが内部的に持っている「ユーザー名」とURL構造(スラッグ)は変わらない。だから、/?author=1でアクセスされると、結局ユーザー名がバレてしまうんだ。
この「Edit Author Slug」プラグインは、そのURL構造自体を、安全なものに書き換えてくれる。だからこそ、このステップが最重要なんだ。
ステップ3:念には念を!functions.phpやセキュリティプラグインで防御(上級者向け)
ここまでの対策で、99%の攻撃は防げる。でも、もっと完璧を目指したい、というセキュリティ意識の高いあなたのために、さらに上級の対策も紹介しておくね。
- functions.phpでアクセスを制限:テーマの
functions.phpファイルにコードを追記して、投稿者アーカイブページ自体を無効化したり、/?author=でのアクセスをトップページに飛ばしたりする方法。ただし、PHPを触るので、バックアップは必須だ。
// 投稿者アーカイブページを無効化(404へ)
add_action('template_redirect', function() {
if (is_author()) {
global $wp_query;
$wp_query->set_404();
status_header(404);
}
});- セキュリティプラグインを導入:「iThemes Security」や「Wordfence Security」といった総合セキュリティプラグインには、ユーザー名の漏洩を防ぐ機能が標準で搭載されていることが多い。他のセキュリティ対策もまとめてできるから、入れておいて損はない。
特に「iThemes Security」は、「ユーザー列挙の防止」という、まさにこの問題に特化した機能があるので、おすすめだ。
盤石な守りへ!ユーザー名以外のセキュリティ基本設定
今回のユーザー名漏洩対策と合わせて、以下の基本的なセキュリティ対策もやっておくと、サイトの防御力が飛躍的にアップする。金庫の鍵を2つから3つ、4つに増やすイメージだ。
1. そもそも「ユーザー名」を推測されにくくする
WordPressをインストールする最初の段階で、推測されやすいユーザー名を設定しないことが、実は一番の基本。
- 絶対ダメな例:
admin,administrator,test, サイト名, 自分の名前 - 良い例:
taro_site_admin,wp_user_2024, ランダムな英数字
もし、すでに簡単なユーザー名で運用してしまっている場合は、新しく管理者ユーザーを作成し、古いユーザーを削除するのが一番安全だ。(記事や設定は新しいユーザーに引き継ぐのを忘れずに!)
2. パスワードを「要塞化」する
ユーザー名がどれだけ複雑でも、パスワードが「123456」じゃ意味がない。パスワードは、長ければ長いほど、複雑であればあるほど、破られにくくなる。
- 最低12文字以上にする
- 大文字、小文字、数字、記号をすべて混ぜる
passwordやqwertyのような単純な文字列は避ける- パスワード管理ツール(1Password, LastPassなど)を使って、ランダムで強力なパスワードを生成・管理するのが現代の常識だ。
3. 「二段階認証」を導入する
これは、もはや必須と言ってもいいレベルの対策。ログイン時に、ユーザー名とパスワードに加えて、スマホアプリ(Google Authenticatorなど)に表示される「ワンタイムパスワード」の入力を求める仕組みだ。
万が一、ユーザー名とパスワードが両方とも盗まれても、攻撃者はあなたのスマホがない限りログインできない。これにより、不正ログインのリスクをほぼゼロにできる。
4. ログイン試行回数を制限する
ブルートフォース攻撃は、何度もログインを試すのが特徴。そこで、「ログインに5回失敗したら、15分間そのIPアドレスからのアクセスを禁止する」といった制限をかけるのが有効だ。
「Limit Login Attempts Reloaded」というプラグインを入れれば、簡単にこの機能を追加できる。
まとめ:あなたのサイトは、あなたが守る
WordPressのセキュリティ対策って、なんだか難しそうに聞こえるかもしれない。でも、今回紹介した「投稿者名」の対策は、本当に簡単で、しかも効果は絶大だ。
- ステップ1:ニックネームを設定する
- ステップ2:「Edit Author Slug」で投稿者スラッグを変更する
最低でも、この2つだけは、絶対にやっておこう。自分の大切なサイトを、つまらない攻撃で失うなんて、悲しすぎるからね。
WordPressのセキュリティは、一つの対策だけで完璧になるものではない。「ユーザー名の秘匿」「強力なパスワード」「二段階認証」「プラグインの活用」といった、複数の対策を組み合わせることで、初めて鉄壁の守りが完成するんだ。
攻撃者は、常にあなたのサイトの脆弱な部分を狙っている。でも、基本的な対策をしっかりやっておけば、そのほとんどは防ぐことができる。面倒くさがらずに、一つひとつ、着実に設定していこう。
セキュリティ対策は、一度やったら終わりじゃない。常に新しい情報をキャッチして、サイトを最新の状態に保つことが大事。でも、まずは、この大きな穴を塞ぐことから始めよう。
あなたのサイトが、これからも安全で、健やかに成長していくことを、心から願っているよ!
よくある質問(FAQ)
最後に、この件についてよく聞かれる質問をまとめてみたよ。
Q1. ニックネームを本名にしても大丈夫?
A1. 大丈夫。大事なのは、「ログインに使うユーザー名」と「ブログで表示する名前」を違うものにすること。ニックネームが本名でも、それがログインユーザー名と違っていれば、セキュリティ的には問題ない。ただし、ネット上に本名を出すこと自体のリスクは、また別の話として考えてね。
Q2. 「Edit Author Slug」の設定、日本語でもいい?
A2. URLの一部になるので、日本語は使わず、半角の英数字とハイフンで設定するのが無難だ。これは、SEO(検索エンジン最適化)の観点からも推奨されているよ。
Q3. ユーザーが複数いる場合はどうすればいい?
A3. 全てのユーザーで、同じように対策が必要だ。各ユーザーが自分のプロフィール画面で、ニックネームと投稿者スラッグを設定する必要がある。サイト管理者なら、他のユーザーのプロフィールも編集できるから、まとめて設定してあげると親切だね。
Q4. 途中でスラッグを変更しても大丈夫?
A4. 大丈夫だけど、URLが変わることになるので注意が必要。もし、古い投稿者アーカイブページに被リンクが付いていたり、誰かがブックマークしていたりすると、リンク切れ(404エラー)になってしまう。頻繁に変えるものではない、と覚えておこう。
不安なら、プロに相談するのもアリ
「自分で設定するの、やっぱり不安…」って人もいるよね。わかる。僕も最初はそうだった。
そういう時は、プロに相談するのも一つの手。以下のサイトでは、WordPress専門のセキュリティ診断サービスを提供してる。無料診断もあるから、一度チェックしてもらうといいかも。