Googleで出た「/author/ユーザー名/」は何か?

「うちのWordPressサイト、
 Googleで検索結果に表示されるのは良いんだけどさ、
 「/author/ユーザー名/」っていうのがあるんだ。
 これ大丈夫なの?」

Googleの検索結果に自分の書いた記事が出るのは
とても嬉しいことですよね。

ところが、
「ドメイン名/author/ユーザー名/」
というURLで表示された状態だと、
ちょっと気を付けなければなりません。

なぜかというと、、、

 

「/author/ユーザー名/」はなんのURLなのか?

このURLは閲覧者の利便性のために用意されている機能で、
「ユーザー名」で指定したユーザーの記事を取得し
一覧表示させるための表記方法です。

しかし、リスクという観点では問題が1つあります。

通常のWordPressはログインに必要な情報が
「ユーザー名」と「パスワード」の2つのみです。

「/author/」のあとの文字列は「ユーザー名」です。

つまり、悪意のある第三者は「パスワード」を探すだけで
サイトを乗っ取ることができる状態ということです。

更に「/author/ユーザー名」は
「?author=0」に置き換えることができるため、
ユーザー名を複雑にするだけでは対策になりません。
※0はユーザーに割り当てられた固有の番号
 

リスクへの対策方法

このリスクへ対応する簡単に方法として、次の2つがあります。

  • A)プラグインで「Author」と「ユーザーID」を別のものにする
  • B)ログイン時の入力情報を複雑にする

弊社のおすすめは、
すべてのユーザーのセキュリティを向上できる回避方法B)です。
 

それぞれの手順について以下に記します。

A)プラグインで「Author」と「ユーザーID」を別のものにする

Edit Author Slugプラグインを利用します。

  1. WordPressの管理画面にログインする
  2. 「プラグイン|新規追加」メニューを選択
  3. 「Edit Author Slug」で検索、「今すぐインストール」後、「有効化」をクリック
  4. 「ユーザー|あなたのプロフィール」メニューを選択
  5. 「Author Slug」で「Custom」を選択し、任意の文字列を設定する
     

B)ログイン時の入力情報を複雑にする

All In One WP Security & Firewallプラグインを利用します。

この手順の実行後は、ログイン時にランダムに表示される
算数の問題の答を入力することが求められるようになり、
プログラムによるハッキング対策に有効に働きます。

  1. WordPressの管理画面にログインする
  2. 「プラグイン|新規追加」メニューを選択
  3. 「All in One WP Security」で検索、「今すぐインストール」後、「有効化」をクリック
  4. 「WP Security|Brute Force」メニューを選択
  5. 「Login Captcha」タブにある、チェックボックス3つを選択し、「Save Settings」ボタンをクリック
    ※上から、ログインページ、カスタムログインフォーム、パスワード再送ページでキャプチャを有効にします

是非見直していただきたいユーザー設定

なお、上記のプラグインのインストールにかかわらず
WordPressでは次の設定を行っておくことをおすすめしています。

■ブログ上の表示名の変更
WordPressの記事上に表示されるユーザー名は、
WordPress標準の機能で変更することができます。

  1. WordPressの管理画面にログインする
  2. 「ユーザー|あなたのプロフィール」メニューを選択
  3. 「ブログ上の表示名」を「ユーザー名」以外に設定する
    ※「名」「性」「ニックネーム」の組み合わせから指定できます
  4. すべてのユーザーに3の設定を行う

◎WordPressでユーザー名を設定する画面
WordPressでユーザー名を設定する画面
 

まとめ

今回のポイントをまとめます。

  • /author/は利便性のために存在するWordPressの機能
  • ユーザIDなどが漏洩するリスクがある
  • なんらかの対策を行っておくべき

いかがでしたでしょうか。

利便性とリスクというのはほとんどの場合
トレードオフの関係にあります。

利便性を損なわずにセキュアに保つには、
システムについての知識とクラック側の知識の
両方が必要 になるんですね。

こういった相談を月額固定で受けられるサービス、
ご紹介いたします。
http://concierge4u.biz/
 

【最後まで読んでくれたあなたにプレゼント】

あなたは、24時間365日、自分の代わりに集客し続けてくれるWebサイトを作りたい!と思ったことはありませんか?

私はこれまで500以上のWebサイトの構築と運営のご相談に乗ってきましたが、Webサイトを作ってもうまく集客できない人には、ある一つの特徴があります。

それは、「先を見越してサイトを構築していないこと」です。

Webサイトで集客するためには、構築ではなく「どう運用するか」が重要です。

しかし、重要なポイントを知らずにサイトを自分で構築したり、業者に頼んで作ってもらってしまうと、あとから全く集客に向いていないサイトになっていたということがよく起こります。

そこで今回、期間限定で

『10年集客し続けられるサイトをワードプレスで自作する9つのポイント』

について、過去に相談に乗ってきた具体的な失敗事例と成功事例を元にしてお伝えします。

  • ワードプレスを使いこなせるコツを知りたい!
  • 自分にピッタリのサーバーを撰びたい!
  • 無料ブログとの違いを知りたい!
  • あとで悔しくならない初期設定をしておきたい!
  • プラグイン選びの方法を知っておきたい!
  • SEO対策をワードプレスで行うポイントを知りたい!
  • 自分でデザインできる方法を知りたい!

という方は今すぐ無料でダウンロードしてください。

期間限定で、無料公開しています。

普段お使いのメールアドレスを入力し、ボタンをクリックしてお申し込みください。

メール講座『10年集客し続けられるサイトをワードプレスで自作する9つのポイント』

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です