Edit Author Slugでログイン名を隠してみよう

昨年騒がせたブルートフォースアタック。
私の虫つきサイトは503を連発して落ちただけで無事だったようです。
ロリポにもありましたね。私のロリポサイトもなんとかしのいだようです。

このとき知ったことの一つに、Authorネームをログインネームのままだとやばい、ニックネームにしても隠せる、でした。

なにはともあれ、ニックネーム

まずはニックネームにかえることからいきましょうか。
WordPressの管理画面の「ユーザー」の「あなたのプロフィール」を表示します。
そこの「名前」に「ユーザー名」と「ニックネーム」があります。

これで表示上の「オーサー」と「ログイン名」が変わりました。

ニックネームじゃ対策にならない!

実は、
「アドレス/?author=1」でアドレスバーに表示されてしまいます。もしもこれを隠しても、1を2に、3に、4にしていけばバレてしまう。

実際に、404を解析してみると探しているbotさんがいました。
それで見つけたログイン名でログインできないか探すわけですよ。ログイン名がわかっていない状態で探すのと、ログイン名がわかって探すのとでは危険度が全然違う。

Edit Author Slug

だから、Edit Author Slugというプラグインでログイン名を隠してしまうのです。

インストールするとさっきの「あなたのプロフィール」の一番下にEdit Author Slugのコーナーができるのでそこで変えれば隠せるようになります。

マルチサイトは要注意!

マルチサイトの場合、このEdit Author Slugは親サイトは隠せないことがありました。子サイトなら隠せるし、隠せているマルチサイトもあるのですけどねえ。プラグインだから仕方がないか。他のプラグインのせいかもしれませんし、何が理由かよくわかりません。マルチサイトにしておられる方は自分で確かめてみて下さいな。

というわけで、マルチサイトの場合、
アドレス/?author=1
は問答無用で301でGoogleに飛ばすようにしました。

参照
http://dogmap.jp/2013/06/18/fight-against-brute-force-attack-2/

Related posts