WordPressでアーカイブのスラグをユーザー名と異なるものにしてセキュリティーをアップするプラグイン「Edit Author Slug」

     公開日:2016/11/23      最終更新日:    



Wordpressには投稿などのコンテンツを作成すると、作成したユーザーが記録されるようになっています。そしてテーマを通じてユーザーごとのコンテンツ一覧が表示できるようになっています。

この作者アーカイブを実際にご覧になったことはありますか?

コンテンツの作成と同時に自動で作ってくれるので便利なのですが、実際に表示して確認した人は少ないのでは??

で、表示してみるとセキュリティに関係する重大な問題が・・・この一覧を表示したときに何とユーザー名が表示されてしまうのです。

試しに以下の方法でユーザーのコンテンツ一覧を表示してみてください。

  1. サイト表示画面(フロントエンド)上に作成者のリンクがあればクリック
  2. 「http://サイトのURL/?author=1」

    3. ※author=1の「1」はユーザーIDですので、ページが見つからないときには「2」「3」などにしてみてください

ユーザーの投稿一覧が表示されたら、上のアドレスバー(URL)の表示を見てみてください。どうなっていますか?

何も対策していなければ
「http://サイトのURL/ユーザー名
が表示されていませんか?

WordPressは汎用のサイト作成ツールですから、ログイン用のURLが「http://サイトのURL/wp-admin」が管理画面、そこにアクセスしてみてログイン画面にリダイレクトされればWordpressで作ったサイトであることが簡単に分かってしまいます。

そしてWordpressは標準の状態だと「ユーザー名」と「パスワード」の2つの要素でログインできるようになっていますから・・・

  1. ログイン画面が分かっている
  2. ユーザー名が分かっている

という状態になり、残る砦はパスワードだけという状態になってしまいます。非常に危険な状態です。

これを回避するために統合的なセキュリティプラグインが配布されていますが、それらは管理画面などバックエンドのURLを書き換えたりするものが多く、セキュリティ上は安全になったとしても、何かの不具合でこのプラグインが壊れたり、設定を誤ったりすると全くログインできなくなったり、元に戻せなくなったりすることがあります(私自身も経験があります)。

こうしたトラブルを防ぐためにはより簡単かつ安全な対策を行う必要があります。「Edit Author Slug」は単純にフロントエンドでのユーザー投稿一覧で表示されるURLを任意のものに変更し、ユーザー名の類推を防ぐことができるプラグインです。



【Edit Author Slug】プラグインの基本的な機能・できること

  1. ユーザーの投稿一覧で使われる「ユーザー名」を別名に変更する
この記事の内容について
このプラグイン紹介記事は簡易的に動作テストをした上で紹介していますが以下の点にご注意願います
  1. すべての環境で動作するとは限りません
  2. できる限り最新のバージョンの情報を紹介するようにしておりますが、閲覧される時期によってはバージョンが変わり、仕様が大きく変更されている場合があります
  3. 有料版と無料版がある場合、テストは原則無料版のみで実施しています
  4. テスト環境については文末に記載しています
  5. 使用方法で紹介しているショートコードをコピーして使用すると、環境によっては記号などが文字化けすることがあります。コピーしたのに動作しない場合は特に「”」「’」などの記号を入力し直してみてください。

【Edit Author Slug】プラグインの設定画面や表示の日本語化と翻訳

【Edit Author Slug】プラグインは設定項目が少ないので特に必要ないと思います

【Edit Author Slug】プラグインのインストールと設定

インストールと設定方法

インストールはプラグインの新規追加でプラグイン名で検索してインストールするか、ページ先頭の画像をクリックして表示されるWordpressのプラグイン公式配布ページがダウンロードしてからアップロードインストールします。

インストール方法の詳しい解説は

【Wordpress】プラグインのインストール&追加方法とエラー対処の方法
Wordpressと言えばさまざまな追加機能を使って思い通りの表現や動作ができるのがブログやHTMLで作ったサイトと違って楽しいところですね。ここでは基本的なプラグインの導入の仕方とトラブルが発生した場合の対処方法について解説します。
www.momosiri.info
サイト内のページへ移動します
2016-04-04 15:02
を参照ください

【Edit Author Slug】プラグインの基本的な使い方

権限に応じて階層を作る機能がありますが、他のスラグ(URL)との競合が発生する可能性がありますからそのままにしておいた方がいいと思います。

プラグインの使用方法

  1. ダッシュボードから「ユーザー」をクリック
  2. ユーザー名の「編集」をクリック
  3. ユーザーのプロフィールを編集

という作業を行います。

2まで進むと、ユーザーのプロフィール画面に以下のような項目が追加されます。

選択肢がありますが、「カスタム」にして空欄にフロントエンドで表示したいスラグ(ユーザー名の代わり)を入力します

変更後はテストをしましょう

変更を行った後、きちんと別名になっているかをテストしましょう。
「http://サイトのURL/?author=1」
※author=1の「1」はユーザーIDですので、ページが見つからないときには「2」「3」などにしてみてください

と入力してみて、自身のユーザー名が別名になっていれば設定完了です。

WordPressの最新バージョンはスラグ変更の問題を解決するために一度アクセスされたものをIDに変換したのちIDに紐づくスラグを抽出して表示する仕様になっています。Wordpressのバージョンやテーマによっては「投稿者」をクリックしたときエラーが出てしまうことがあります。

Wordpressの本

Amazonの人気商品楽天市場の人気商品
WordPressレッスンブック HTML5&CSS準拠

WordPressレッスンブック HTML5&CSS準拠

¥ 3,024
Amazon.co.jp
ASIN: 4883379248
ソシム

いちばんやさしいWordPressの教本第3版 人気講師が教える本格Webサイトの作り方 (「いちばんやさしい教本」)

いちばんやさしいWordPressの教本第3版 人気講師が教える本格Webサイトの作り方 (「いちばんやさしい教本」)

¥ 1,706
Amazon.co.jp
ASIN: 4295000795
インプレス

CS Shop
小さな会社のWordPressサイト制作・運営ガイド【電子書籍】[ 田中勇輔 ]

小さな会社のWordPressサイト制作・運営ガイド【電子書籍】[ 田中勇輔 ]

2,894 円 (税込) 送料込
楽天Kobo電子書籍ストア
<p>【本電子書籍は固定レイアウトのため7インチ以上の端末での利用を推奨しております。文字列のハイライトや検索、辞書の参照、引用などの機能が使用できません。ご購入前に、無料サンプルにてお手持ちの電子端末での表示状態をご確認の上、商品をお買い求めください】<..
Web担当者のためのWordPressがわかる本 あらゆるビジネスサイトで使える企画・設計・制作・運 [ 田中勇輔 ]

Web担当者のためのWordPressがわかる本 あらゆるビジネスサイトで使える企画・設計・制作・運 [ 田中勇輔 ]

2,570 円 (税込) 送料込
楽天ブックス
あらゆるビジネスサイトで使える企画・設計・制作・運 田中勇輔 翔泳社ウェブ タントウシャ ノ タメノ ワードプレス ガ ワカル ホン タナカ,ユウスケ 発行年月:2015年09月15日 ページ数:287p サイズ:単行本 ISBN:9784798142708 田中勇輔(タナカユウスケ) Webディレク..
楽天ウェブサービスセンター CS Shop

プラグインに関するお問い合わせ

「こんなプラグインないの?」「設定方法をもっと詳しく教えてほしい」「プラグインを少しカスタマイズして使いたい」などのご相談は、こちらのリンクからお願いします(【ココナラ】のサイトへ移動します)。

ココナラ Wordpress プラグイン探し バナー

似たようなプラグインをお探しですか?

このプラグインはに分類されています。リンクをクリックすると同じような機能を持つプラグインの紹介記事一覧が表示されますので、プラグイン探しに是非ご活用ください。
トップへ戻る