【WordPress】ユーザー名がバレる理由

WordPress のログイン失敗履歴を確認すると、結構な頻度で不正ログインが試みられていることが分かります。こういう攻撃は、アクセス毎に IP アドレスも変えてくるので、なかなか防ぐのが難しいですね。そして、最初に驚いたのは、そのログイン試行のユーザー名が実在するものであること。つまり、ユーザー名はバレているのです。どうやってバレるのでしょうか。

目次出力

ユーザー名がバレる理由

これは意外と簡単に、以下のような URL より調べられます。

https://ドメイン名/?author=1
# 「1」の部分を変更すると、他のユーザー名も見ることができる

これで、ページ上、もしくはブラウザの URL バーにユーザー名が表示されます。困ったものです。

ログイン画面のURLもバレる

そして WordPress だと、ログイン画面もだいたい以下でアクセスできます。

https://ドメイン名/wp-login.php

あとはもうパスワードを探り当てるだけですね。

対策

上記の方法でユーザー名を出さないようにするには、「ニックネーム」を使用する方法や、プラグインを利用する方法があるようです。

基本的には、パスワードの強度を高めておくことでしょうか。

ログインの際、ひと手間かかってしまいますが、CAPTCHA認証など使用すると強力です。

ちなみに、ログイン失敗履歴や、CAPTCHA認証は、「SiteGuard WP Plugin」というプラグインで対応できます。このプラグインは、他にもセキュリティ関係の強化に役立ちます。「ログイン画面の URL を変更する」など。おすすめです。

SiteGuard WP Plugin