作者スラグを暗号化してユーザー名が類推されるのを防ぐプラグイン「smart User Slug Hider」

公開日: セキュリティ
Knowledge Base Wordpress セキュリティ
Wordpressで作るサイトで、通常のテーマで存在する「作者アーカイブ」。記事の末尾や先頭にある「作者名」をクリックするとその作者の投稿がずらっと表示される機能です。

サイトの閲覧統計などを見てると結構ここから一覧表示していることがあり、必要な機能で設置しておいて損はない?ものだと思います。でも・・・・

そのURLがどうなっているか?をご存知ですか??

一般的な設定ではこのURLのスラグは「/author/ユーザー名/」になってるんですね。つまり作者アーカイブを開いてURLを見ればユーザー名は丸裸なんです!!

知ってました??作る側で作者アーカイブなんてあまり見ない(そもそも一度デザインなどが固まったら訪問者から見た感じなんか気にしてない)ですから、まさかそんなことになってるとは・・とびっくりします。Wordpressはよく使われているサイト作成ツールですから、不正ログインしようと思う輩は当然このことを知ってます。

当サイトでもログインの統計を取っていますがこの作者アーカイブで類推したユーザー名でのログイン試行が多いこと。本当にびっくりします。

当サイトの場合は

というプラグインを使って作者のスラグを任意のものに変えてますので絶対に?ログインできないわけですが、それでも気持ち悪いですね。【Edit Author Slug】プラグインについては上のリンク先の記事を見てもらえばどんなことするプラグインなのかは分かると思いますけど、もっと簡単に何とかならない??を実現するのが今回紹介する【smart User Slug Hider】です。

【smart User Slug Hider】と前述した有名類似プラグインの何が違うかというと、変更するスラグを手動で決めるのではなく、勝手に暗号化して変な文字列に変換してくれるところなんです。

たくさんのユーザーが登録するサイトで【Edit Author Slug】を使うと設定にコツがいるというか、結局少し妥協しなければならないというか・・ちょっと煩わしい(面倒)なんです。でも【smart User Slug Hider】を使えばすべて自動でやってくれますので、会員制サイトなどでは有効なプラグインだと思います。

ただし、公式サイトには書かれていますが、このプラグインでできるのはWordpress標準の作者アーカイブを使った場合とBuddyPressプラグインでの作者アーカイブ表示の場合のみ動作確認がされているようですから、会員制プラグインなどを使っている場合にはきちんと動作するかの検証が必要だと思います。

※文末のお問い合わせフォームから「このプラグインでは大丈夫だったよ!」「このプラグインはダメだったよ!」という情報をいただけるとありがたいです。情報をいただいたら検証してこの記事に反映したく思います。

【smart User Slug Hider】プラグインの基本的な機能・できること

  1. 作者アーカイブ(Author)のURLを暗号化する
  2. 作者アーカイブのURLからユーザー名が判明するのを防ぐ
この記事の内容について
このプラグイン紹介記事は簡易的に動作テストをした上で紹介していますが以下の点にご注意願います
  1. すべての環境で動作するとは限りません
  2. できる限り最新のバージョンの情報を紹介するようにしておりますが、閲覧される時期によってはバージョンが変わり、仕様が大きく変更されている場合があります
  3. 有料版と無料版がある場合、テストは原則無料版のみで実施しています
  4. テスト環境については本文中に記載しています
  5. 使用方法で紹介しているショートコードやコードなどをコピーして使用すると、環境によっては記号などが文字化けすることがあります。コピーしたのに動作しない場合は特に「”」「’」などの記号を入力し直してみてください。

WordPressで本文内にパスワード付きのコンテンツを作成できるプラグイン「Passster」

WordPressでログインユーザーにだけサイト閲覧を許可するプラグイン「Force Login」

WordPressでログインやログイン失敗の履歴を一覧で確認できるプラグイン「Crazy Bone」


【smart User Slug Hider】プラグインの設定画面や表示の日本語化と翻訳

【smart User Slug Hider】プラグインは設定項目が少ないので特に必要ないと思います

【smart User Slug Hider】プラグインのインストールと設定

インストール方法

インストールはプラグインの新規追加でプラグイン名で検索してインストールするか、ページ先頭の画像をクリックして表示されるWordpressのプラグイン公式配布ページがダウンロードしてからアップロードインストールします。

インストール方法の詳しい解説は

を参照ください

【smart User Slug Hider】プラグインの基本的な使い方

このプラグインに設定項目はありません。有効化するとすぐに動作します。

phpのバージョンによって動作しない場合の対応

設定はない!と書きましたが、実は1つだけ項目があります。それはPHPのバージョン7.1以降を使っている場合に警告が表示されてしまうことに対する対処です。

「設定」→「smart User Slug Hider」を開くと【Mode】という項目があります。これを右側にするとスイッチがONになります。何をしているかが下に英語で書かれています。

As of PHP version 7.1.0 the functions so far used by this plugin for encryption are marked as deprecated which means these should no longer be used. Currently it is no problem to continue using these functions, but your webserver may show a PHP Warning. Activating the Future Safe Mode causes the plugin to use other encryption functions that are recommended as substitutes.

Unfortunately it is not possible to get the same result. This means that the coded User Slug changes if Future Safe Mode is activated. If you used this plugin yet, the URLs of all Author Pages will change!

If you have not used this plugin yet, it is recommended to activate Future Safe Mode. If you have already used the plugin you have to decide if you prefer to change the URLs of all Author Pages or to ignore the PHP Warnings.

This setting can be changed any time again.

うーーーん、英語でさっぱり・・・という方のためにGoogle様の力を借りて翻訳すると以下のように書かれていることが分かります。

PHPバージョン7.1.0以降、このプラグインで暗号化に使用されていた関数は廃止予定とマークされています。 現在のところ、これらの機能を引き続き使用することは問題ありませんが、あなたのWebサーバーにPHP警告が表示されることがあります。 将来のセーフモードを有効にすると、プラグインは代替として推奨される他の暗号化機能を使用します。

残念ながら、同じ結果を得ることはできません。 これは、将来安全モードが有効になっている場合、コード化されたユーザー・スラッグが変更されることを意味します。 このプラグインをまだ使用している場合は、すべての著者ページのURLが変更されます。

このプラグインをまだ使用していない場合は、将来のセーフモードを有効にすることをお勧めします。 プラグインを既に使用している場合は、すべての作成者ページのURLを変更するかPHP警告を無視するかを決定する必要があります。

この設定はいつでも変更できます。

要するにPHP7.1以降で廃止される予定の関数を使って暗号化しているから、環境によってはひょっとすると警告が表示されるかもしれない。そんなときはこのモードをONにすれば代替の関数を使って暗号化しますから警告が表示されなくなるよというものだそうです。

テスト環境が7.0なのでどんな警告が出るのか?は検証できませんが、もしも警告が出る場合には試してみてください。

プラグインのテスト環境&個人的評価

最後に【smart User Slug Hider】を動作確認した際の環境と個人的な評価を書いておきます。導入の検討や参考になれば幸いです。

テストした環境

  1. WordPressのバージョン:4.9.6
  2. PHPのバージョン:7.0
  3. テーマ:Simplicity バージョン2.3.0g
  4. プラグインのバージョン:2
  5. このプラグインの最新バージョンは3です。バージョンが異なる場合には設定の仕方や動作仕様が変更になっている可能性があります。

個人的な評価・感想ほか

    5段階評価

  1. 設定のしやすさ:★★★★★
  2. 使いやすさ:★★★★★
  3. おすすめ度:★★★★★

冒頭で書いた通り、似た機能を持つメジャーなプラグインである

と比べて設定が不要というのが最大の魅力ですね。

Wordpressの本

Amazonの人気商品楽天市場の人気商品
いちばんやさしいWordPressの教本 第4版 5.x対応 人気講師が教 える本格Webサイトの作り方 (「いちばんやさしい教本」シリーズ) / 石川..

いちばんやさしいWordPressの教本 第4版 5.x対応 人気講師が教 える本格Webサイトの作り方 (「いちばんやさしい教本」シリーズ) / 石川..

1,738 円 (税込)
基本情報ジャンル建築・理工フォーマット本出版社インプレス発売日2019年07月ISBN9784295006664発売国日本サイズ・ページ280p 21×19cm関連キーワード 9784295006664 出荷目安の詳細はこちら>>楽天市場内検索 『在庫あり』表記について 
WordPressセキュリティ大全 [ 吉田哲也 ]

WordPressセキュリティ大全 [ 吉田哲也 ]

2,420 円 (税込) 送料込
吉田哲也 秀和システムワードプレスセキュリティタイゼン ヨシダテツヤ 発行年月:2019年10月18日 予約締切日:2019年06月19日 ページ数:224p サイズ:単行本 ISBN:9784798058900 吉田哲也(ヨシダテツヤ) 有限会社TY Planning代表取締役。webコンサルタント・上級ウェ..
楽天ウェブサービスセンター CS Shop
ひまあーと(管理人)
  • 記事の作者: ひまあーと(管理人)

  • ☆最後までお読みいただきありがとうございました。記事作者のひまあーとです。
    ☆Wordpressでサイトをカスタマイズしていく上で有用な情報を配信しつつ、「ココナラ」でサイトカスタマイズのお手伝い、不具合の修復、サイト引っ越し代行などをさせていただいております。
    ☆Wordpressネタが多いですが、趣味の「園芸」「卓球」などの情報や日々の出来事などもどんどん増やしていきますのでよろしくお願いいたします。


いつでもご相談・サイトカスタマイズの依頼を受け付けています

Wordpressのカスタマイズ、不具合解消のご相談はすべてココナラのダイレクトメッセージからお受けしております。まずはこちらのバナーからお気軽にお問い合わせください。

※一度もココナラを使ったことがない方はココナラへの無料登録が必要です。こちらから登録後、上のリンクをクリックする、またはココナラトップページから「ひまあーと」を検索してお問い合わせください。


【スポンサーリンク】


記事の拡散にご協力をお願いします

閲覧いただきありがとうございました。役に立つ情報でしたら是非SNSでシェアをお願いします

関連情報