先日、WordPressにて運用しているサイトにて「URLに投稿者の個人名が表示されてしまっているので、匿名にしたい」とのご相談をうけ対応いたしました。
原因と対応方法をご共有いたします。
目次
WordPressの公開URLに個人名(ユーザー名)が出てしまっている、というご相談
「アドレスバーに職員(投稿者)の名前が出てしまっています。
職員は匿名にしたいのです。
これを名前が出ないようにして頂けませんでしょうか。 」
法人様から、このようにご相談をいただきました。
添付されている画像ファイルを確認すると、たしかに著者アーカイブページの著者名の部分が個人のフルネームになっていた模様。
例: author/tanaka-taro
なぜ、職員様の個人名がURLに表示されてしまっているのか。そもそもの原因は「ユーザ名を本名にて設定している」というところにありました。
たとえば、ユーザー名を
「tanaka taro」
と登録してしまっている場合、著者アーカイブの著者URLスラッグとしては
「tanaka-taro」
と出力されてしまいます。(スペースはハイフンでつながれる)
仮にニックネーム等でWordPressサイト上での表示名を変更したとしても、URLスラック上ではユーザー名のまま公開されてしまいます。
ユーザー名が丸わかりで公開状態。本件のように本名の形で公開されてしまうのは宜しくありません。
ユーザー名自体を変更するのではなく、URLに表示されているスラッグを変更する
今回の内容からして、解決方法は2つあります。
- URL上に表示されているユーザー名を違う形で表示させる
- ユーザー名自体を変更する
お手軽なのは、2の「ユーザー名自体を変更する」という方法。
そもそもWordPressの思想として「ユーザー名は公開するもの・知られても良いものである」という思想があるようです。ユーザー名が公開されること自体については、問題視されることではありません。
「他の点でセキュリティ対策をしっかりしているので、ユーザー名が公開されても問題ない」ということであれば、シンプルにユーザー名を変更すれば完了です。
私は今回は1の「URL上に表示されているユーザー名を違う形で表示させる」の方法で解決をしました。
WordPressプラグイン「Edit Author Slug」で著者アーカイブのURLをユーザー名から変更
「Edit Author Slug」というプラグインを使えば、著者アーカイブページのユーザー名部分のスラッグを変更できます。
ユーザー > ユーザー一覧 > 編集
の編集画面へ行くと、一番下にEdit Author Slugの項目が。
この「投稿者スラッグ」の設定項目にて
- ユーザー名(初期設定)
- ニックネーム
- ユーザーID(非推奨)
- ランダム生成?の長いスラッグ
- カスタム設定(自身で編集可能)
の5つのパターンから、該当するユーザーで表示される著者アーカイブページのURLスラッグを変更することができます。
変更を行い「ユーザーを更新」のボタンを押すと、著者アーカイブページのURLが設定したものに変更されます。
参考: WordPressで著者ページのURLを書き換える『Edit Author Slug』 – H2O blog
Author Slugの設定画面から、一括で変更をしたい場合はこちらをご参照ください。
Edit Author Slugで著者ページのURLを書き換えよう【WordPressプラグイン】 | A-key function 大学生が始めるべきネットビジネス起業
著者アーカイブページのURLを変更しなければ、スラッグにユーザー名が含まれてしまう
ユーザー名の公開が気になる場合には、WordPress初期設定の一貫として、著者アーカイブページのURLスラッグ変更は行っておいたほうが良さそうです。
URLのユーザー名からWordPressログインIDが知られてしまう
理由は先述したように、セキュリティ面からの(若干の)問題です。
例として、最初に強制的に作成される管理者ユーザー(ユーザーID=1,ユーザー名=admin)を例に見てみましょう。
まず、ユーザー名=adminの場合は以下のようなURLとなります。
http://サイトのURL/author/admin
ユーザー名は管理画面のログインに必要となる重要なデータです。
ユーザー名さえわかってしまえば、あとはパスワードだけなので、パスワードの可能性が高いものを入力しまくれば、いつか突破されちゃう!というわけです・・・。危険ですね。
これはニックネームを設定していても変わりません。
ニックネームを設定していると、投稿ページをはじめとしたフロントページではユーザー名は表示されないので安心なのですが、著者ページのURLに限っては、ニックネームで上書きされることはなくユーザー名のままなのです。
著者ページの対策は決して忘れないで!【WordPressセキュリティ対策】 | A-key function 大学生が始めるべきネットビジネス起業
このように、悪意あるログインのための材料を与えることになりかねません。
気になる方は著者アーカイブページのURLは、早い段階で変更しておくと良いかもしれません。
ただし、そもそもWordPressの思想として、「ユーザーIDは公開されていても問題ない」との思想をとっています。
実際、ユーザーIDは上記URL以外からでも外部から取得することは可能。
ただ実際、セキュリティ上のログをみると上記ユーザーIDのURLからログインIDを取得しようとするbotは一定数あるようなので、一定のセキュリティ対策としての効果はあるのではないでしょうか。
最強のログイン防御は「2段階認証」をWordPressに設置すること
ログイン防御という意味では、2段階認証を設置することが現時点では「最強」のセキュリティ対策となります。
2段階認証は、ブルートフォースアタック(総当たり攻撃)を受けても突破不能のセキュリティ防御方法です。
セキュリティ対策という意味では、ユーザー名対策を行うよりも2段階認証を設置するほうがはるかに効果的。
WordPressで2段階認証ログインを設置する方法については、下記の記事で詳しく說明しています!
おすすめのセキュリティ対策プラグイン「Wordfence」と2段階認証の鍵管理アプリ「Authy」を組み合わせて実装する方法をご紹介しています。
WordPressの2段階認証ログインをAuthyとWordfenceを用いて実装。設定方法と手順 | まほウェブ
「author」自体のスラッグは「Edit Author Slug」プラグインでなくても、function.phpを編集することで変更可能
ユーザーIDの前の「author」スラッグそのものについて。
これを変更する場合でも、今回ご紹介した「Edit Author Slug」プラグインより変更することは可能です。
ただ、「author」のスラッグ名部分だけの変更をしたいのであれば、プラグインを導入せずとも、function.phpを編集することで変更可能なもよう。
【WordPress】ユーザー(作成者)ページのURLを変更する方法 | aekana
以上、皆様のWordPressライフのご参考になれば幸いです。
Leave a Reply