ワードプレスユーザー設定(最初にやるセキュリティ対策)
まずはセキュリティ対策に必要な設定を終わらせましょう。
前回までで、スターレンタルサーバーでのワードプレスインストールが終わり、
いよいよサイトを作っていく段階となりました。
まず初めにやっておきたいのはセキュリティ対策です。
サイトを作成した直後の初期状態では、セキュリティ面に問題があります。
それは第三者が管理画面にログインしやすいという問題です。
具体的には、ログイン時に入力が必要な「ユーザー名」が、
外部から見えていることです。
ユーザー名が分かれば、
あとはパスワードを特定すれば、サイトを乗っ取ることができてしまいます。
これはワードプレス特有の問題で、必ず対策しなければなりません。
まずは実際に外からどう見えているかを確認してみましょう。
初期状態ではユーザー名が丸見えになっている
確認してみましょう。
前回ブックマークしたページから、
サイト管理画面にログインしてください。
左上に、サイトタイトルが表示されているので、
マウスカーソルを上に乗せ、「サイトを表示」を右クリックします。
「新しいタブで開く」を選択しましょう。
これでサイトを閲覧できます。
サイトが表示されたら上の方を見てください。
黒い帯のようなものがあります。これはツールバーといって、
管理者はここをクリックすることでログイン画面に移動することができます。
よく見ると右上にユーザー名が表示されています。
マウスカーソルを乗せるとこのように表示されます。
サイトを閲覧するとユーザー名がバレてしまうということが分かりました。
ツールバーを非表示にする設定が必要です。
今度は記事を見てみましょう。
サンプルとして「Hello world!」という記事が投稿されているはずです。
投稿者名が書かれており、ここにもユーザー名が表示されています。
これらの問題は、設定を変えることで対処できます。
ユーザー名が見えないようにする設定
サイト管理画面に戻りましょう。
左のメニューの「ユーザー」という項目をクリックしてください。
「プロフィール」という項目が出てきますのでクリックしてください。
まずはツールバーを非表示にする設定をします。
ツールバーの項目にある、
「サイトを見るときにツールバーを表示する」のチェックを外します。
次に、記事の投稿者名を変更する設定を行います。
画面を下にスクロールしてください。
「ニックネーム」(必須)という項目と、
ブログ上の表示名という項目があります。
まずはニックネームの方を変更します。
今回はここに、サイト名を書き込みます。
今度はブログ上の表示名の設定を変えます。
下向き三角を押すと、先ほど書いたサイト名が候補に出てきますので選択しましょう。
さらに画面を下にスクロールして、
「プロフィールを更新」ボタンを押します。
これにより設定が完了します。
プロフィールを更新しました。という表示が出たら成功です。
ではもう一度サイトを閲覧してみてください。
上にあったツールバーが無くなっていることが分かります。
ここからユーザー名を見られる心配がなくなりました。
記事の投稿者名も、表示が変更されました。
先ほどユーザー名だったものが、サイト名に変更されています。
これでユーザー設定によるセキュリティ対策は完了です。
備考:Edit Author Slug は必要ないのか?
ワードプレスでは、
アドレスバーに「?author=1」と入力すると
ユーザー名がバレてしまうという問題点もあります。
以前は、プラグインEdit Author Slugを利用し、
ユーザー名を仮の名前に変更する処置をしていました。
今回はEdit Author Slugを使用していませんが、
ワードプレスインストール時に導入した、
CloudSecure WP Securityというセキュリティプラグインが有効になっています。
https://wpplugin.cloudsecure.ne.jp/cloudsecure_wp_security/
このプラグインのマニュアルには、
「?author=数字」でのアクセスによるユーザー名の漏えいを防止します。
と書かれていますので、心配ないと思います。
実際に?author=1と入力してみたら「ページが見つかりません」と表示されました。
