アナリティクスでページビューを眺めていたら見た事の無いURLが・・・。よく見てみると、私しか知らないはずのWordPressで私が使用しているユーザー名が含まれたURLでした。
不思議に思ったので詳しく調べてみると、セキュリティ対策をしていないサイトはユーザー名が簡単に特定されてしまうという重大なリスクである事が分かりました。
いくつか対策方法はあるみたいですが、その中でも簡単に設定できそうな方法を試してみました。
ユーザー名が特定されるリスク
誰かがあなたのサイトURLの末尾に「とある文字列」を追加して検索すると、あなたのWordPressのユーザー名が含まれるURLが表示されてしまいます。
◾️https://unity-right.com/author/ユーザー名
| 種類 | 公開・非公開 |
| ニックネーム | 公開 |
| ユーザー名 | 非公開 |
ニックネームは公開していますが、ユーザー名は基本的に非公開にすべき情報です。その大事なユーザー名が第三者に簡単に知られてしまう状態にあるなんて恐ろしいですね。
アカウント情報はユーザー名とパスワードから形成されているので、後はパスワードが突破されたらおしまいです。リアルに悪意のある第三者にサイトを乗っ取られてしまったら、サイトを失うだけではなく損失を被る可能性もあります。
プラグインによる対策
実際に私がインストールしたプラグインを紹介します。
Edit Author Slug
URLの末尾に表示されてしまうユーザー名を、別の名前に変えて表示する事ができます。
- 変更前:https://〇〇/author/ユーザー名
- 変更後:https://〇〇/author/任意の名前など
Crazy Bone
ログイン履歴が確認できます。ログイン時のIPアドレスやログインに失敗した履歴なども確認できるので、怪しいログインがないかチェックしましょう。
- ログイン日時
- IPアドレスと国
- デバイスとOS
- ログインエラーの有無
ユーザー → ログイン履歴
WordPressのメニューにログイン履歴が追加されました。ここから確認できます。
ユーザー名が特定されてしまった場合
私みたいにユーザー名が特定されてしまった可能性がある場合は、WordPressのユーザー名を変更する事も視野に入れてください。しかし、大きなリスクも伴いますので、事前準備やバックアップを怠らずに十分注意して実施してください。
新規ユーザーを追加
Wordpresのユーザー名は変更が出来ないので、新しいユーザーを追加してから既存ユーザーを削除するという流れです。
- 既に登録中のメールアドレスは使えない
- 権限グループは管理者にしておく
既存ユーザーで使用中のメールアドレスは使用できないので、一旦は違うメールアドレスで登録します。メールアドレスは後で変更できます。
既存ユーザーを削除
一度ログアウトしてから先ほど作成した新しいユーザーでログインします。ここで最も注意が必要な事「すべてのコンテンツを以下のユーザーのものにする」にチェックを入れます。これをしないと今までの苦労が全て消えてしまいます。
まとめ
ユーザー名が分かったところで、そう簡単にパスワードまで破られるとも思えません。しかし不正ログインの可能性がある以上は対応した方が良いでしょうね。
偶然にもアナリティクスは1日何回もチェックしているので、そのおかげで今回のセキュリティリスクに気付く事が出来ました。サイト運営を始めて8ヶ月、あらゆる事を調べてきたはずですがセキュリティ関連はちょっと勉強が少なかったなと思います。
ユーザー名の変更は大きなリスクを伴うので、ユーザー名がバレてしまう前にプラグインでセキュリティ対策を強化しましょう。
Comment