WordPress で ?author=1 でユーザー名がばれるのを防ぐ方法

WordPress で ?author=1 でユーザー名がばれるのを防ぐ方法です。

WordPress では、最初に作成したユーザーの ID は 1 で、このユーザーは通常管理者権限を持ちます。最初に作成したユーザー名は、デフォルトでは URL/?author=1 にアクセスすると分かります。

最初に作成したユーザーを削除して別のユーザーを作成した場合でも、ID の値が 1 ずつ増えるので、?author=2, ?author=3, … と変えていけば分かります。

これが気持ち悪い、という場合は、下記のように $_GET を強制的に書き換えることで、?author=1 を無効にすることができます。テーマの functions.php に書くと有効になります。

function remove_authorid() {
  $_GET['author'] = '';
}
add_action('init','remove_authorid');

ただしこの方法は力技です。これを実行すると著者アーカイブが正常に動作しなくなる可能性が高いです。著者毎の投稿一覧を使用する場合は注意してください。

WordPress セキュリティについては、レスキューワーク株式会社にご相談ください。

3 Responses

  1. WordPressセキュリティを考える会、開催しました
    WordPressセキュリティを考える会、開催しました 2013年9月21日 at 10:57 AM |

    […] ?author=1 でユーザー名がばれるのを防ぐ話、SSL の話、バックアップの話、ユニットテストの話、FTP/FTPS の話、など、ロリポップ事件とは直接関係ない話題も取り上げました。 […]

  2. WordpressのIDは丸わかりだぜ!ブルートフォースアタックは逃げられない? | WriteToMyBlog.com ~ Wordpress ~
    WordpressのIDは丸わかりだぜ!ブルートフォースアタックは逃げられない? | WriteToMyBlog.com ~ Wordpress ~ 2013年10月5日 at 9:58 AM |

    […] 参考サイト:Standing on the Shoulder of Linus ではWordpressのIDをわからなくする方法を紹介しています。 早速試してみました。   function.phpに以下をそのままこぴぺして追加   […]

  3. 【WordPress】ユーザー名は誰でも見れるから対策を仕様! | こうちゃんネット
    【WordPress】ユーザー名は誰でも見れるから対策を仕様! | こうちゃんネット 2014年5月5日 at 6:10 PM |

    […] 参考: WordPress で ?author=1 でユーザー名がばれるのを防ぐ方法 […]

Comments are closed.