Googleで出た「/author/ユーザー名/」は何か?

「うちのWordPressサイト、
 Googleで検索結果に表示されるのは良いんだけどさ、
 「/author/ユーザー名/」っていうのがあるんだ。
 これ大丈夫なの?」

Googleの検索結果に自分の書いた記事が出るのは
とても嬉しいことですよね。

ところが、
「ドメイン名/author/ユーザー名/」
というURLで表示された状態だと、
ちょっと気を付けなければなりません。

なぜかというと、、、

 

「/author/ユーザー名/」はなんのURLなのか?

このURLは閲覧者の利便性のために用意されている機能で、
「ユーザー名」で指定したユーザーの記事を取得し
一覧表示させるための表記方法です。

しかし、リスクという観点では問題が1つあります。

通常のWordPressはログインに必要な情報が
「ユーザー名」と「パスワード」の2つのみです。

「/author/」のあとの文字列は「ユーザー名」です。

つまり、悪意のある第三者は「パスワード」を探すだけで
サイトを乗っ取ることができる状態ということです。

更に「/author/ユーザー名」は
「?author=0」に置き換えることができるため、
ユーザー名を複雑にするだけでは対策になりません。
※0はユーザーに割り当てられた固有の番号
 

リスクへの対策方法

このリスクへ対応する簡単に方法として、次の2つがあります。

  • A)プラグインで「Author」と「ユーザーID」を別のものにする
  • B)ログイン時の入力情報を複雑にする

弊社のおすすめは、
すべてのユーザーのセキュリティを向上できる回避方法B)です。
 

それぞれの手順について以下に記します。

A)プラグインで「Author」と「ユーザーID」を別のものにする

Edit Author Slugプラグインを利用します。

  1. WordPressの管理画面にログインする
  2. 「プラグイン|新規追加」メニューを選択
  3. 「Edit Author Slug」で検索、「今すぐインストール」後、「有効化」をクリック
  4. 「ユーザー|あなたのプロフィール」メニューを選択
  5. 「Author Slug」で「Custom」を選択し、任意の文字列を設定する
     

B)ログイン時の入力情報を複雑にする

All In One WP Security & Firewallプラグインを利用します。

この手順の実行後は、ログイン時にランダムに表示される
算数の問題の答を入力することが求められるようになり、
プログラムによるハッキング対策に有効に働きます。

  1. WordPressの管理画面にログインする
  2. 「プラグイン|新規追加」メニューを選択
  3. 「All in One WP Security」で検索、「今すぐインストール」後、「有効化」をクリック
  4. 「WP Security|Brute Force」メニューを選択
  5. 「Login Captcha」タブにある、チェックボックス3つを選択し、「Save Settings」ボタンをクリック
    ※上から、ログインページ、カスタムログインフォーム、パスワード再送ページでキャプチャを有効にします

是非見直していただきたいユーザー設定

なお、上記のプラグインのインストールにかかわらず
WordPressでは次の設定を行っておくことをおすすめしています。

■ブログ上の表示名の変更
WordPressの記事上に表示されるユーザー名は、
WordPress標準の機能で変更することができます。

  1. WordPressの管理画面にログインする
  2. 「ユーザー|あなたのプロフィール」メニューを選択
  3. 「ブログ上の表示名」を「ユーザー名」以外に設定する
    ※「名」「性」「ニックネーム」の組み合わせから指定できます
  4. すべてのユーザーに3の設定を行う

◎WordPressでユーザー名を設定する画面
WordPressでユーザー名を設定する画面
 

まとめ

今回のポイントをまとめます。

  • /author/は利便性のために存在するWordPressの機能
  • ユーザIDなどが漏洩するリスクがある
  • なんらかの対策を行っておくべき

いかがでしたでしょうか。

利便性とリスクというのはほとんどの場合
トレードオフの関係にあります。

利便性を損なわずにセキュアに保つには、
システムについての知識とクラック側の知識の
両方が必要 になるんですね。

こういった相談を月額固定で受けられるサービス、
ご紹介いたします。
http://concierge4u.biz/
 

ところで、

『顧客に見つけてもらう仕組み』に興味はありませんか?

仕組みができていないために起きた失敗の実例を元に、自社サイトを成功に導くための9つのポイントを、メール講座として提供しています。

WordPressをお使いなら、今すぐ無料でご登録ください!

普段お使いのメールアドレスを入力し、ボタンをクリックしてお申し込みください。

メールアドレス:

過去の講座受講者から感想をいただきました♪

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です