お問い合わせはコチラから

WordPressのユーザーIDは隠した方がセキュリティが高まるは本当か?

サイト運営

WordPressはセキュリティホールが多くて、ハッキングされやすいCMSとして有名です。

決してそんなことは無いのですが、実際問題、毎日どこかのサイトがハッキングされている事実があります。

WordPressのセキュリティを高めるために、やっておいた方が良いことの一つとして、ユーザーIDを隠すというものがあります。

WordPressのログインユーザーIDが「そのまま公開」されている状態では、攻撃の対象となることがあります。

こんな文言をよく見かけるのですが、なんで攻撃の対象になるのかよく割らない人も多いと思います。

よくわからないけど、そういう人がいるからユーザーIDは隠した方がよいのだ、と覚えている人もいるかもしれません。

私も、ユーザーIDだけ隠してもあまり意味が無いのでは?と思った人です。

でも、実際にユーザーIDが漏れてしまうと簡単にハッキングされる事例があったので、メモしておきたいと思います。

ユーザーIDがバレたら簡単にハッキングされた事例

もし、ユーザーIDがわかったら簡単にサイトにログインできる事例

  • パスワードが簡単だった
  • パスワードがユーザーID+簡単な文字列
  • 海外から管理画面のアクセス禁止していない
  • パスワード不一致を繰り返しても、ロックしない

パスワードが簡単もしくはユーザーIDとの組み合わせ

パスワードが簡単な場合は、総当たり攻撃で簡単にパスワードが破られます。

どれぐらい簡単かというと、testとか、demoとかそんな簡単な単語です。

ユーザー名と簡単なパスワードの組み合わせというのも好まれています。

admintestとかadmindemoとかです。

ユーザーIDがわかっていれば、これも簡単に破られてしまいます。

パスワード総当たり攻撃に対して防御していない

ハッキングされるのは多くの場合、海外からのアクセスです。

VPNで日本のIPを偽装されると効果が低いのですが、最低限、海外からの管理画面のアクセスは禁止しておきましょう。

さらに、パスワードが簡単だと、パスワード総当たりされると簡単にログインされてしまいます。何度もパスワード入力で不一致となったらログインロックする仕組みが必要です。

ログインロックする仕組みがあれば、総当たりされてもパスワードを探せなくなるので、ハッカーはリソースが無駄になるので他のサイトにいなくなります。

ここまでの結論

ベストプラクティスは、パスワードを複雑にして、ログインを何度か失敗したらログイン画面をロックすればいいことになります。

パスワードを複雑にしたくないし、ログイン画面をロックするのも面倒だ、という場合は、ユーザーIDを隠すことで、ユーザーIDとパスワードの2つを推測しなければならないのでハッカーの手間が増えて良さそうです。

ユーザーIDを隠すことは可能なのか?

可能です。

ユーザーIDを隠すプラグインは探せば有名なものがあります。

でも、本当に隠せているのか?はよく調べた方がよいです。

↓こちらの記事を見ると、ユーザーIDを調べる方法がいくつも出ていて、これらすべてを対策しないと中途半端になってしまいます。

301 Moved Permanently
  • ① the_author()等で投稿者名を取得した際にユーザー名が使用される
  • ② ユーザーページが追加される
  • ③ REST API にユーザー一覧の取得機能が追加される
  • ④ サイトマップが作成されるようになる

①~③はXO securityで対応できます。

④は、XO secrurityでは対応できません。

WordPress 5.5から導入されたXML sitemap機能を使わずにXML sitemapのプラグインを導入する方がよいでしょう。

add_filter('wp_sitemaps_enabled', '__return_false');

まとめ

パスワードが簡単な場合は、ユーザーIDを隠した方が良いです。

そして、そのためのプラグインとしておすすめなのがXO securityです。

XO securityは、多機能なのに初心者向けの解説が少ないので、なんでこの機能あるの?というのが結構あります。

こちらの記事がわかりやすいです。

XO Securityの設定方法と不具合対処【初心者/SWELL向け】 | マニュオン
この記事では、WordPressプラグイン「XO Security(エックスオー セキュリティ)」の初期設定と使い方を、画像を用いてわかりやすくご紹介します。 WordPress(ワードプレス)で必ず最初にインストールするのが、セキュリティ

この記事を書いた人
ブーン

はるばる日本よりオランダ王国へやってまいりました。
自分の経験が少しでも参考になれば嬉しいです。
お問い合わせは、『こちら』からお願い致します。

\ブーンをフォロー/
スポンサーリンク
サイト運営
\シェアお願いします!/
\ブーンをフォロー/
こんな記事も読まれています

失敗しないレンタルサーバーランキング

mixhost

不正アクセスに強くて使いやすいおススメサーバー
\本サイトで利用中/
メリット①:自動ウィルス駆除対応
メリット②:サイトの表示速度が速い!
メリット③:転送量の上限が多い!
メリット④:自由にプラン変更ができ、アクセス増にも対応できる!
メリット⑤:バックアップデータが無料で復元できる!
メリット⑥:Wordpressが簡単にインストールできる!
メリット⑦:どのプランでも初期費用が無料!
メリット⑧:10日間の無料お試し期間と30日の返金保証!

Conoha Wing

国内Wordpress最速の最強サーバー
メリット①:圧倒的な表示速度
メリット②:レンタルサーバーと独自ドメインがセットでお得◎
メリット③:プラン変更はすべてのプランで自由自在
メリット④:一か月の利用転送量の制限が緩い(9TB~)
メリット⑤:WordPresサイトの移行が簡単

エックスサーバー

国内シェアNo1の安定性と実績が魅力。ALL SSDで死角なしの万能サーバー。
メリット①:サイトの表示速度が安定して速い!
メリット②:アクセス負荷に強くて安定性が高い!
メリット③:24時間365日の充実サポートで安心!電話サポートもあり!
メリット④:転送量が多い!
メリット⑤:自動バックアップ機能付き!
メリット⑥:WordPressが簡単にインストールできる!
メリット⑦:10日の無料お試し期間がある!

タイトルとURLをコピーしました