ワードプレスでユーザー名(ID)を調べる、特定 する方法と簡単な防御策を教えます。

ワードプレスでユーザー名(ID)を調べる、特定  する方法と防御策について記事をまとめてみました。

 

お世話になります👍

前回の記事を投稿してから

『コンテンツビジネスに挑戦してみようかな』

という質問や申し込みが

増え始めています👍

 

挑戦してみる事はとても大事です。

何もせずに結論は出せませんからね👍

 

早速ですが以前にもこちらで書いた

プラグインの一つで、管理者IDを偽装できるプラグインです。

 

偽装という言い方が悪いですが

表示を隠す、他の文字列にする事が

できるというものです。

 

ただ、ここで書いてる事は、とても大事なので
ワードプレスでサイトを作って運営している人は、
しっかり読んでおくべきです👍

 

ワードプレスでユーザー名(ID)を調べる、特定 される事を微妙に防ぐプラグイン

 

 

公式ページＵＲＬ　https://ja.wordpress.org/plugins/edit-author-slug/

 

前回の記事

 

前回も少し触れましたが

少し詳しく解説していきます。

 

初期設定状態の管理者ログインの
URLの最後は、「admin-name」となりますが、
そのままにしておくと、管理者のログインIDが
丸見えのため、ハッキングされやすくなります。

 

通常、ログインIDとパスワードの
組み合わせでログインを行いますので、
ログインIDが初期設定のまま固定ですと、
パスワードのみ探ることでハッキングが
出来てしまいます。

 

ログインIDが外部から分からないようにしておけば、
IDとパスワードの組み合わせを探ることは、
ほぼ無理ということになります。

 

しかし殆どのサイトが
ワードプレスを利用しても
ID名をサイトに公開しているのが
現実です👍

 

後で解説をしますが
ニックネームを入力すれば
ID名が分からない…なんて事は
あり得ません。

 

そこで、「Edit Author Slug」 プラグインは投稿者
アーカイブに表示される「Author Slug」の
値を別の値に変更できるプラグインです。

 

セキュリティ上の理由から WordPress のユーザー名は
外部に分からないようにしておくことが望ましいですが、
ユーザー名から自動で作成される「Author Slug」の
値が投稿者アーカイブに表示されてしまうため、
デフォルトの状態ではユーザー名が簡単に分かってしまいます。

 

この記事でも後で、ユーザー名を特定する方法を後で記載していますので　お試しください。

 

このプラグインを使用することで「Author Slug」の
値を別の文字列に変更して、ユーザー名を
隠すことができるようになるのという事になります。

 

 

最初は 「Edit Author Slug」 プラグインの
インストール方法と使い方　そして
他人のワードプレスのユーザー名を調べる方法に　ついて解説します。

Edit Author Slugで ワードプレスでユーザー名(ID)を調べる、特定  を防いでユーザーネームを隠す手順

 

まずは順番に説明しますね。

Edit Author Slugの

インストール方法から使い方を順に説明していきます。

 

《Edit Author Slugプラグインのインストール》～有効化まで

 

「Edit Author Slug」プラグインをインストールにするには、

以下の手順で行います。

 

１．WordPressの管理者としてログインし、ダッシュボード（管理画面）を開きます。

 

２．管理画面のサイドバー（左側）の「プラグイン」で
「新規追加」ボタンをクリックします。

 

３．「プラグインの検索」欄に「Edit Author Slug」と入力します。

 

５．検索結果に「Edit Author Slug」が表示されるので、

　　「Edit Author Slug」欄の「今すぐインストール」をクリックします。

６．インストール完了後、新しく表示される「有効化」ボタンをクリックします。

 

利用するための準備はこれで完了です。

 

では次に肝心な変更方法の前に
どれだけ簡単にワードプレスのIDが
分かるのか？を具体的に提示しますね。

 

ワードプレスのユーザーＩＤを調べる方法

 

WordPressへの不正アクセスを目的として、
ユーザー名とパスワードを手当たり次第に
入力するような攻撃が多く発生しています。

 

その為、どのようなユーザー名でWordPressへ
ログインしているのかは、外部から
分からないようにしなければなりません。

 

デフォルトの　admin　を利用している
人は極めて少ない筈ですが、
デフォルトのまま使うのは
問答無用です。

 

ただ、実のところを言えば
adminではなくても　簡単に
調べる方法があるのです。

 

デフォルトの状態では、
どのようなユーザーが存在しているのかが、
ブログの2ヶ所で表示されてしまいます。

 

ユーザー名が表示されてしまうのは

（1）投稿した記事

（2）投稿者アーカイブのURL

 

の2つです。

テーマによってはこれらの表示変更は可能ですが
本当にユーザー名を知られたくない場合は、殆ど意味がないです。

逆にそういう項目があると初心者は、
『ここさえ変更すれば良いのか』と
大きな勘違いをするからです。

 

あなたのワードプレスのＵＲＬ　∔　/wp-json/wp/v2/users

このように叩いてみましょう。

 

自分のブログで試すと良く分かります。

ちなみに私はプラグイン以外でも
対策をしていますので私のサイトのURLでは
分からないですよ😅

 

実際にどのように表示されるのかを、見てみましょう。

※私のサイトはこれさえも表示させないようにしていますが
今回　テスト的に公開しておきます。

一例です。

 

このように実は何も対策をしてないと筒抜け表示されます。

 

実はこの751というのは処理済みの名前ですが

対策をしてないと　簡単にログイン時のユーザー名、つまり

ログインの時のＩＤが　バレバレです。

 

(しかし続きもあるので要注意です。)

 

変更方法は以下の通りで
プラグインを入れる事で以下のように
偽装する事が可能です。

 

ワードプレス　⇒　プロフィール

 

 

 

 

また、テーマの設定や仕様によっては
記事を書いたユーザー名が出るものがあります。

 

この部分だけであったなら、
ブログ上の表示は簡単にデフォルトの状態で
プロフィールの一覧で変更ができます。

 

ニックネームを入れておかないと
自分のログインIDが筒抜けになります👍

《ニックネームとブログ上の表示名の設定》は上記で可能

 

これだけなら

このように簡単な問題です。

 

しかしこの部分を気にして対策できた気分になってる人は、
簡単に自分のID名がバレる事を知らないのです。

 

なのであらゆるワードプレス利用者も
今回のプラグインを利用する価値があると言えます。

 

しかしこのプラグインは、防御しているフリをしている程度です…。

 

Edit Author Slugでは、ワードプレスのIDは隠せない現実

 

もちろんここで紹介した方法を利用しても、

実は、ID名は抜く事が可能です👍

 

話をすると長くなるのですが

調べる気があれば　色々なソースの中から見つける事が
思った以上に簡単にできてしまうのです👍

 

この辺も防御策として必須な内容ですが

残念な事に　このプラグインでは、防げない印象です。

 

プラグインの記事とは無関係ですし

一般的にはプラグイン程度の事をしておけば

まあ、誰もそこまで見ないだろう…という事で

とりあえず、また今度解説をします👍

 

ワードプレスのIDバレ、流出で考えられる事

 

ID名が分かるだけでも色々な事ができてしまいます。

 

これについては、

あまり深く書けないですが

パスワードのみ突破されたら

簡単にログインされて

中で色々な悪戯をされる可能性も高くなりますし
踏み台にされる事も普通にあります。

またワードプレスのテーマなどに
色々なものを埋め込みされて、
サーバーそのものに入られる可能性も
十分にあります👍

 

だからこそレンタルサーバは、
ワードプレスの更新にうるさいのです。

 

できる事は説明しきれないほどあります。

 

IDが分かれば　パスワード解析アタックも可能です。

 

…最近聞かなくなりましたが

ブルートゥースアタックも有名ですね。

 

ブルートゥースアタックとは

ブルートゥースアタックは、
原始的ですが確実な攻撃です。

 

ブルートフォースアタックは、
1文字ずつ組み合わせを変えてひたすら
試し続けるという反復処理を行う方法です。

 

ＩＤ名が浮き彫りだとパスワードだけなので
ハックする敷居も下がるわけです。

 

しかしご覧のように文字数や文字の大小などがあれば
結構ハードルが高くなります。

出典：https://www.ipa.go.jp/security/txt/2008/10outline.html

 

4文字パスワードだと約、3秒

ちなみに大文字や小文字、記号の組み合わせを

した場合は1000万年かかるようです。

 

ブルートゥースアタックもオワコンか・・と思いきや

実はハッキングも進化し続けているのです👍

 

まさに　イタチごっこと言える内容なのです。

 

フィッシングメールとハッキングの抱き合わせ

 

最近は減った手法ですが例えば、

 

パスワードを使いまわす人が多いし
ブラウザの情報を抜き取られてしまえば
簡単に登録しているサイトのログインが
盗まれたりします。

 

自ら偽のページでログイン情報を
抜き出しているのですから当然ですね。

 

上記のようなサイトのメールに
騙されて、まんまとログイン情報で
ログインしようとすると、そのデータは
全て　抜き取られるのです。

 

そして使われるパスワードは
入手されるとデーターベースに
蓄積されて、色々なアタックに
使われるのです。

 

パスワードが複雑化していても
使いまわしなんてしていれば
あまり意味がないのです。

 

実は大勢の人が既にハックされているのですが
被害がないので　表に出てないぐらいの事なのです。

 

知っておくべき事　　実は思った以上にハッキングされているサイトは多いです。

 

だいたい大手のカゴヤでも
ハッキングされたりヤフーなどでも
流出被害がありました。

 

なので、他の普通のサイトでは、

『流出していても運営が気付いてない』ケースが
多いのです👍

 

つまり既に抜かれているけど表面上、

相手が悪さをしてないと表に出る事が無いのです。

 

他にも色々な方法があります。

 

なので、多くのサイトが色々と

ハッキングの餌食になっていて

気付いてないだけなのです。

 

今回は、ワードプレスの

ID名を隠すというテーマで

記事を書きましたが

思いの他、簡単にID名が分かるのです。

ID名が分かると不正ログインの確率は、高くなります。

 

私もヒマな時にワードプレスのセキュリティの

プラグインとか紹介しているサイトを、見てますが

『偉そうな事言う前に自分のサイト強くしろよ』と思いますね😅

 

セキュリティ強化…って自分のサイト筒抜けだよ？って

思う事は非常に多いです。

 

とりあえず最低限の事だけはやっておきましょう。

 

ただ私が教えている方法でさえも

完璧では、ありません。

 

例えばレベル３の知識の人が

セキュリティを意識しても

レベル１０の人がくれば簡単にやられたりするものです。

 

確かにセキュリティも進化しているのですが、

ハッキングする側も必至だということです。

 

ハッキングする人には色々な人がいるのですが

『ハックできた事で達成感を得る』という人も多いです。

つまり　パズルゲームみたいなものですね😅

 

ハックされても確実に何かを

埋め込まれるといった事では、ありません。

なかなか表面上に出てきにくいですが

いずれも気持ちよいものでは無い為、しっかりと

自己防衛対策は、しておきましょう。

 

いつも購読ありがとうございます👍