WordPressで最初にインストールした際やユーザーを追加した際に「ユーザー名」を設定しますね。
何もしないとこのユーザー名が閲覧画面の各所にそのまま表示されるのをご存知ですか??
これでは「ユーザー名」と「パスワード」によってログインするファクターのうちの「ユーザー名」を暴露してしまっていることになりますよね??セキュリティ的にとても心配です。
今回はぜひ初期設定でやっていただきたい「ユーザー名と閲覧画面上に表示される名前を異なるものにする」方法を紹介します。
え?と思われた方は自分のサイトを訪問者目線で表示してみてください。コメント欄の名前とか、記事の作者とか・・・ユーザー名そのものになっていませんか??ぜひ確認してみてくださいね。
ユーザー名と表示名を異なるものにする方法
設定は管理画面から「ユーザー」をクリックして行います。
ユーザーの一覧の中からユーザー名と表示される名前を変更したいユーザーの編集をクリックしてください
画面中ほどに「ブログ上の表示名」という項目があります。これを変更していきます。
ユーザー登録(サイトの作成)をしたままの状態だと①の【ユーザー名】と②の【ブログ上の表示名】が一緒(ログイン時のユーザー名)になっていますよね??これを変更します。
③のニックネームにサイト上で表示させたい文字列を入力してください
そして④のプルダウンをクリックすると、「ユーザー名」と「③に入力した文字列」が選択できるようになっていますので、表示させたい方を選択してください
選択が終わったら画面をスクロールして一番下にある「プロフィールを更新」をクリックして完了です。
念のため表示画面(訪問者が見る画面)で表示が変わっているかを確認してくださいね。
これはセキュリティ対策の初歩の初歩ですので、以下でこの設定以外にできる不正ログイン対策をする方法を紹介します。
不正ログイン対策いろいろ
この記事を読んだ方は少なからずWordPressのセキュリティに興味のある方でしょうから、不正ログイン対策に関して過去に書いた記事を紹介しておきます。是非読んで参考にしてみてください(今回の解説も含まれています)。
それから忘れがちなのが、ユーザーのメールアドレスとサイトのメールアドレスが共通の場合。問い合わせフォームやコメントの返信通知などからサイトのメールアドレスを相手に教えることになりますから大変危険です(悪いことをする人はこういう知識は豊富にあります)。こうした場合にはメールアドレスを使ってのログインを無効にしておくことをおすすめします。
方法は簡単、テーマのfunctions.phpへ以下を追加するだけです
/******** ログインでメールアドレスの使用を禁止 ********/
remove_filter( 'authenticate', 'wp_authenticate_email_password', 20 );
いかがでしたか??WordPressは汎用のサイト作成ツールなのでファイル構造は共通ですから、いろいろな方法で不正ログイン対策を行うようにしましょう。