🇺🇸 English
🛡️ WordPressの「ログインID」は画面から隠せていない!?
ブログのセキュリティ対策として、「画面に投稿者(作成者)の名前を表示しない設定にしているから安心!」そう思っていませんか?🤔
実は、それだけではセキュリティ対策として不十分な可能性があるんです!💥
WordPressの仕様上、画面上の見た目をどれだけ隠していても、外部から特定のアクセスを仕掛けられることで、最高権限である「管理者」のログインID(ユーザー名)が簡単に推測されてしまう弱点が存在します。
具体的には、URLの末尾に「?author=1」という文字列を付け足して検索されたり、システム専用のデータ窓口(REST API)にアクセスされたりするだけで、アドレスバーに本物のログインIDが表示されてしまうケースがあります。💦
ハッカーにログインIDを教えているような状態を防ぐためにも、しっかりとした対策が必要です。基準となる仕組みを理解して、安全な状態を作っていきましょう!✨
🚨 「一括編集」や「未検証プラグイン」に潜む注意点
「じゃあ、新しく執筆専用の『編集者』アカウントを作って、過去に書いた全記事の投稿者を一括編集機能でまとめて変更すればいいのでは?」と思いますよね?💡
実は、ここにも意外な落とし穴がありますので注意してください!
WordPressの標準機能を使って過去記事の投稿者をまとめて変更しようとすると、文章の中身を1文字も触っていないのにもかかわらず、一括編集の「更新ボタン」を押した瞬間、システムが「新しく記事が更新された」と認識してしまいます。
その結果、すべての過去記事の「更新日」が今日の日付に一斉に強制上書きされてしまいます!これまでのブログの歩み(更新日データ)が意味もなく書き換わってしまうのは、絶対に避けたいですよね。
また、「ID保護用のプラグイン」も存在しますが、将来的に開発が終了してしまうリスクがあるうえに、導入しすぎるとスマホの画面遷移が重くなる原因にもなりかねません。リスクをできるだけ排除し、サイトをスマートに保ちたい方にとっては、プラグインに頼りすぎるのも考えものです。😔
🏆 functions.phpに4行足すだけの「確実なリダイレクト法」
過去記事の大事な「更新日」を狂わせたくない、プラグインもこれ以上増やしてサイトを重くしたくない!❌
そんな悩みを綺麗に解消し、管理者のログインIDを裏側からしっかりと守る最高にクリーンな代替策をご紹介します!✨
やり方はとてもシンプルです。最高権限の「管理者」でログインし、お使いのテーマ(子テーマ)の functions.php の一番最後に、以下のコードをそのままコピーして保存するだけです!👇
/**
* ログインID漏洩対策:?author=へのアクセスをトップページに強制リダイレクト
*/
function my_block_author_scans() {
if ( is_author() || ( isset( $_GET['author'] ) && is_numeric( $_GET['author'] ) ) ) {
wp_safe_redirect( home_url(), 301 );
exit;
}
}
add_action( 'template_redirect', 'my_block_author_scans' );1「テーマのための関数」を選択
2ここにコピーしたコードを貼り付ける
3「ファイルを更新」ボタンをクリックする
手順は以上で完了です👍
このコードを事前に仕込んでおけば、ハッカーや自動ロボットが裏口(?author=1)を狙ってログインIDを特定しようとした瞬間、このコードのセンサーが働きアクセスを遮断します。
本物のIDが漏れる前に、一瞬でトップページへ「301リダイレクト(永久転送)」してくれます。
🛡️ まとめ:ログイン切り替えの手間すら不要な無敵の要塞へ
この4行のコードをテーマに貼り付けておけば、過去に「管理者」のままで書いてしまった大量の記事や固定ページがあっても、ハッカーがそのデータに辿り着くためのルート自体が完全に消滅します。✨
つまり、過去記事の日付を一切変更することなく、一瞬にして安全な環境が整うのです!
さらに嬉しいことに、このガードが裏側で自動的に動いてくれるため、これから新しく書く未来の記事や固定ページについても、わざわざ別のアカウントにログインし直すような手間は一切必要ありません。
今まで通り、使い慣れた管理者アカウントのままで執筆を続けても、サイトのセキュリティは常に高い安全性が保たれます!
このスマートで手軽な正解ルートで、あなたの大事なブログの防衛力を最大に高めていきましょう!✨
コメント Leave a Comment