HOME > WordPress > [WordPress] 表示される著者名を変更出来るプラグイン「Edit Author Slug」

[WordPress] 表示される著者名を変更出来るプラグイン「Edit Author Slug」

Edit Author Slugは、著者名を変更出来るプラグインです。

実はデフォルトでユーザーIDって丸見えなんです。知ってました?わたくし知りませんでした、、、!?
なんで気づいたかというと、crazy boneのログイン履歴を見てたら、たまにユーザーIDバレてたんですよね。表に出してない情報なんだけどなぁ。。。と。

気になって検索したら、crazy boneの作者さんのサイトにありました。

サイト名の後ろに「/?author=1」と入力すると、

こんな感じで表示されてしまいます。ユーザーID出ちゃってます。

投稿者アーカイブページってやつです。複数人でサイトを運営している場合は必要なページかもですね。

/?author=1でヒットしなくても、ユーザー登録した順番にIDが割り振られているので、2、3、4、と入力していけばいずれ辿り着くでしょう。

上の画像だと、IDが1、4、5とあるので、author=1、4、5と入力するとバレちゃいます。

で、ユーザーIDと表示される名前を別のものにできるのが「Edit Author Slug」なんです。

インストール方法

プラグイン > 新規追加 > 「edit author slug」で検索

「いますぐインストール」をクリック。

「プラグインを有効化」をクリック。

設定方法

それでは設定していきましょう。

ユーザー > ユーザー一覧 > 変更したいユーザーを選択。

そして中身を確認すると、、現在はユーザー名、ニックネーム、表示名すべて同じです。

ここでニックネームとブログ上の表示名を変更。今回は「JabbatheHutt」にしました。

ブログ上の表示名とは、、
↓管理画面の右上に表示される名前だったり、

ブログ記事に投稿者名を表示させている場合とかにでてくる名前です。

この記事の投稿者:<p><?php the_author(); ?></p>

変更したら、一番下までスクロールして「プロフィールを更新」ボタンをクリック。

設定が反映されたらもう一度、下までスクロールしてください。

今度はAuthor Slugの項目を変更。

上から2番目のチェックボックスを選択。(一番上はユーザーIDです。)

そしてもう一度「プロフィールを更新」ボタンをクリック。

この設定で著者名を変更できます。

これでユーザーIDと表示される名前が違うものになりました。

試しに/?author=1を入力してみましたが、ちゃんとJabbatheHuttが表示されてます。これで一安心。

本当に著者名がばれているのか検証

実際に、著者名でどれくらいアタックされているのか検証してみました。
と言っても、下記のコードをwp-config.phpの冒頭に挿入して、admin系+よくあるIDを除外して、しばらく放置しただけです。

その結果、

大漁です。。Author slugで指定したユーザー名ばかりでログインしようとしてましたー。
同じIPから8,543回(1日で)。

流れとして、
狙われやすいID除外(admin系、root、support、etc…)

しばらく落ち着く

サイトのURLでアタック

Author Slugで設定したIDでアタック(←いまココ)

検証結果、、、Edit Author Slugの設定はした方がよい。

参考サイト
Brute force attack との戦い – その2