WordPressのカスタマイズ方法やプラグインレビューを中心に、パソコン/動物/植物のことなどを紹介するホームページです

アーカイブのスラグをユーザー名と異なるものにしてセキュリティーをアップするプラグイン「Edit Author Slug」

公開日:2016(平成28)年11月23日/最終更新日:

WordPress Plugin



WordPressには投稿などのコンテンツを作成すると、作成したユーザーが記録されるようになっています。そしてテーマを通じてユーザーごとのコンテンツ一覧が表示できるようになっています。

この作者アーカイブを実際にご覧になったことはありますか?

コンテンツの作成と同時に自動で作ってくれるので便利なのですが、実際に表示して確認した人は少ないのでは??

で、表示してみるとセキュリティに関係する重大な問題が・・・この一覧を表示したときに何とユーザー名が表示されてしまうのです。

試しに以下の方法でユーザーのコンテンツ一覧を表示してみてください。

  1. サイト表示画面(フロントエンド)上に作成者のリンクがあればクリック
  2. 「http://サイトのURL/?author=1」

※author=1の「1」はユーザーIDですので、ページが見つからないときには「2」「3」などにしてみてください

ユーザーの投稿一覧が表示されたら、上のアドレスバー(URL)の表示を見てみてください。どうなっていますか?

何も対策していなければ
「http://サイトのURL/ユーザー名
が表示されていませんか?

WordPressは汎用のサイト作成ツールですから、ログイン用のURLが「http://サイトのURL/wp-admin」が管理画面、そこにアクセスしてみてログイン画面にリダイレクトされればWordPressで作ったサイトであることが簡単に分かってしまいます。

そしてWordPressは標準の状態だと「ユーザー名」と「パスワード」の2つの要素でログインできるようになっていますから・・・

  1. ログイン画面が分かっている
  2. ユーザー名が分かっている

という状態になり、残る砦はパスワードだけという状態になってしまいます。非常に危険な状態です。

これを回避するために統合的なセキュリティプラグインが配布されていますが、それらは管理画面などバックエンドのURLを書き換えたりするものが多く、セキュリティ上は安全になったとしても、何かの不具合でこのプラグインが壊れたり、設定を誤ったりすると全くログインできなくなったり、元に戻せなくなったりすることがあります(私自身も経験があります)。

こうしたトラブルを防ぐためにはより簡単かつ安全な対策を行う必要があります。「Edit Author Slug」は単純にフロントエンドでのユーザー投稿一覧で表示されるURLを任意のものに変更し、ユーザー名の類推を防ぐことができるプラグインです。

【Edit Author Slug】プラグインの基本的な機能・できること

  1. ユーザーの投稿一覧で使われる「ユーザー名」を別名に変更する

本記事を参考にWordPressサイトへプラグインの導入を検討される方へ

WordPressは古くから無料で配布されているサイト作成ツール(CMS)で、随時改良が加えられており、さまざまなバージョンが存在します。

さらにWordPressを動かすためのプログラムであるPHP、サイトのデータを保存しておくためのデータベースについても様々なバージョンがあります。

そしてWordPress本体同様にプラグインについてもさまざまなバージョンが存在します。

本記事を参考にプラグインの導入をお考えの方は、以下に留意の上でインストールするようにしてください。

  • テスト環境での動作に基づいた紹介記事ですので、すべての環境で正常に動作するかどうかは不明です
    ※本記事の内容についてはページ内に記載しているプラグインバージョンのものになります。現在のバージョンと異なる場合、機能や日本語対応の状況などが異なる場合があります。
    ※また、テスト環境、テストしたプラグインバージョン等の表示が本文内にない場合、ページタイトル下にある最終更新日当時の情報となりますので、現在のバージョンでは全く違う機能となっているかも知れません。
  • プラグインに無料版と有料版(Pro版)がある場合、特に記載がなければ無料版の情報のみを紹介しています
  • このページでプラグインを使用する際に必要なショートコードやコードなどは、コピーして使用することができますが、環境によっては記号などが文字化けすることがあります。コピーしたのに動作しない場合は特に「”」「’」などの記号を入力し直してみてください。
  • プラグイン本体の動作不具合や質問などは公式サイトのフォーラムなどで行ってください(ここでは質問にお答えすることはできません)

【Edit Author Slug】プラグインの設定画面や表示の日本語化と翻訳

【Edit Author Slug】プラグインは設定項目が少ないので特に必要ないと思います

【Edit Author Slug】プラグインのインストールと設定

インストール方法

インストールはプラグインの新規追加でプラグイン名を入力して検索してインストールするか、WordPressのプラグイン公式配布ページからダウンロード後、管理画面からアップロードインストールしてください(プラグインの公式ページは本ページ内記載のリンクをクリック、もしくは、WordPress公式サイトで検索してください)。

WordPressを使い始めて間もない方(初心者の方)は、より詳細なプラグインのインストール手順や、インストール時に起こる問題などへの対処方法をまとめた【WordPress】プラグインのインストール&追加方法とエラー対処の方法も併せてご覧ください。

【Edit Author Slug】プラグインの基本的な使い方

権限に応じて階層を作る機能がありますが、他のスラグ(URL)との競合が発生する可能性がありますからそのままにしておいた方がいいと思います。

プラグインの使用方法

  1. ダッシュボードから「ユーザー」をクリック
  2. ユーザー名の「編集」をクリック
  3. ユーザーのプロフィールを編集

という作業を行います。

2まで進むと、ユーザーのプロフィール画面に以下のような項目が追加されます。

アーカイブのスラグをユーザー名と異なるものにしてセキュリティーをアップするプラグイン「Edit Author Slug」|Knowledge Base

選択肢がありますが、「カスタム」にして空欄にフロントエンドで表示したいスラグ(ユーザー名の代わり)を入力します

変更後はテストをしましょう

変更を行った後、きちんと別名になっているかをテストしましょう。
「http://サイトのURL/?author=1」
※author=1の「1」はユーザーIDですので、ページが見つからないときには「2」「3」などにしてみてください

と入力してみて、自身のユーザー名が別名になっていれば設定完了です。

WordPressの最新バージョンはスラグ変更の問題を解決するために一度アクセスされたものをIDに変換したのちIDに紐づくスラグを抽出して表示する仕様になっています。WordPressのバージョンやテーマによっては「投稿者」をクリックしたときエラーが出てしまうことがあります。

著:清水 由規, 著:清水 久美子, 著:鈴木 力哉, 著:西岡 由美, 読み手:星野 邦敏, 読み手:吉田 裕介
¥2,889 (2024/02/08 17:07時点 | Amazon調べ)