今日は早速使っているWordPressでちょっと危ないところがあるので、そこを補強するためのプラグインをご紹介します。

不正アクセス???

と言いますのも、ブログを新しいところに引っ越して早々、Google analyticsで見たところ突然すごい数のアクセスがされていたんですよ。
しかもまだしっかり登録などできていない状態なのに。

EAS1

こちらがその画面なんですが、ほとんどが中国からのアクセスです。
日本からのアクセスももちろんあるんですが、それ以外の国からもいくらかアクセスがある状態。

やったぁ!アドレスを変えただけでインターナショナルなブログになれたぞ!
しかも人口が多い中国からのアクセスが一番なんだね~!

なぁんて平和なことは言っておれません。
だいたいブログは日本語でしか書いていないし。
中国人が読めるとは到底思えませんから。

これは怪しいってことで、いろいろ調べてみました。

WordPressのデフォルト設定では危ない

WordPressで作ったサイトは、メインのページのアドレスの後ろに“?author=1”って入力すると、“投稿者1”の人が書いた記事をざらっと表示してくれるんです。

EAS2

複数の人が記載しているサイトでは確かに便利な機能かもしれないんですけどね。
ただしたいていの場合、“投稿者1”ってのが管理ページに入る際のユーザー名になっているんですよ。

EAS3

これって危なくないですか???

つまり、”author=1″って入力すればユーザー名が分かってしまうので、あとはパスワードさえ破れればログインできちゃうってことです。
うーん、知らなかったらとっても怖い話です。

Edit Author Slugの出番です

いろいろ調べていたところ、それを回避するプラグインを発見しました。
その名もEdit Author Slugというものです。

普通にプラグインのところからインストールしてもらってもよいですし、以下からゲットしてきてもらっても結構です。

http://wordpress.org/plugins/edit-author-slug/

インストールが完了するとこんな風に表示されます。

EAS4

そして左メニューの”ユーザー”→”あなたのプロフィール”を選ぶと一番下に”Edit Author Slug”ってのが追加されています。
デフォルトでは一番上の”ユーザー名”が選択されていると思うので、”Custom”を選択して表示したい名前を入力します。
ここでは”inai_inai_bah”としてみました。

EAS5

続いて”プロフィールを更新”をクリックすれば完了です。

先ほどと同じようにアドレスの後ろに”?author=1″って追記してからenterを押してみると

EAS6

“Custom”のところに入力したのと同じように”inai_inai_bah”と見事表示されたのでした!

これにて一応はユーザー名を見られてしまう危険性はなくなりました。
しかし結構ユーザー名を”admin”とか”root”にしている人は多いようなのでご注意を。
もちろんパスワードも簡単に破られるようなものは避けるようにしてくださいね。

ちなみにその後ですが、数日したら中国からの異常なアクセスはなくなりました。
あきらめてくれたのか、はたまたすでにログインできたから攻撃されなくなったのか??

皆さんもお気を付けくださいませ。

本日もありがとうございました。