昨年から予告していたWordPress(ホームページ制作)講座を始めたいと思います。
「なぜウシでもわかる」なのかということも上述のリンクでご確認ください。
このWordPress(ホームページ制作)講座は、順序だてて書くつもりはありません。通常であれば、「WordPressとはなにか」から始まるのでしょうが、ここではそのつど気になるトピックをご紹介します。
1回目の今回は、絶対導入しておいたほうがよいWordPressプラグインのご紹介です。プラグインとは、WordPressに追加導入するプログラムです。プラグインを追加することで、さまざな便利な機能を追加することができます。
絶対導入しておいたほうがよい(個人の感想)WordPressプラグインはいくつかありますが、WordPressのセキュリティを向上させるために絶対導入したいのが、「Edit Author Slug」です。
プラグインの名称そのままに、Author Slugを編集する機能を追加できます。
Author Slugとは、WordPressに投稿された記事(投稿)のAuthor、つまり投稿者のユーザ名から自動生成されるユーザーを示す英数字の文字列です。
投稿した記事に投稿者が表示されるのですが(テーマによっては表示されないこともあります)、その投稿者に割り当てられた文字列(英数字)がリンクとして表示されます。
この文字列が、自動生成されているが故に、ユーザー名を推測できる文字列になるのです。
AuthorがWordPressに投稿するためには、管理画面にログインして、そこから投稿する必要があります。(WordPressあてに電子メールを送信して投稿する方法もありますがここでは割愛します)
その管理画面にログインするためにはユーザー名とパスワードを入力します。
もしユーザー名が推測できれば、あとはパスワードさえ見つけ出せばやすやすとWordPressの管理画面に侵入できるのです。
多くのサイトを運営しているとWordPressのログイン画面には、つねに侵入しようとする試みが行われていることがわかります。
かつては「admin」がユーザー名であることが多かったので、adminというユーザー名に対して無数のパスワードを入力してはログインを試行するのです。じじつ1時間に100回以上試行されたこともあります。
このようにパスワードを総当たりしてログインしようとするのを「総当たり攻撃」とか「ブルートフォースアタック」といいます。
総当たり攻撃は、ユーザー名とパスワードのどちらもわからなければ試行のパターンは無限に多くなります。しかしユーザー名がばれてしまえば、あとはパスワードを総当たりするだけです。
だからユーザー名がばれるとセキュリティリスクが増えます。
そこで、Author Slugを編集できるようにして、ユーザー名がばれることを防ぐのが、Edit Author Slugです。