WordPressのユーザー名は丸見え！？

知っていますか？
WordPress のログインユーザー名（user_login）はだだ漏れだという事実を…

ダッシュボード乗っ取り防止のためのセキュリティ対策で必ずいわれるのが「ワードプレスのユーザー名には admin ではないものを使おう」です。
たしかに admin というユーザー名には問題があります。

しかし、実はデフォルトの状態では admin かどうかに関わらず、ごく簡単にユーザー名は露呈してしまいます。
総当たり攻撃であるブルートフォースアタックから守らなければならないのは「ユーザー名」と「パスワード」のふたつです。
しかし、WordPress 自体はこのユーザー名を隠すつもりがない仕様に見えます。
見解は様々であれど、わたしは実際のユーザーがこれを認識できていないのは大問題ではないかと考えます。
その詳細と対処方法について順を追って解説します。

INDEX

憶測できるユーザー名は避けるべき
1. ニックネームとユーザー名を同じにしない
投稿者アーカイブからユーザー名が分かる
1. 投稿者アーカイブの URL をプラグインで変更
2. 投稿者アーカイブにアクセスさせない
その他にもユーザー名が晒されている
1. コメント機能
2. WP REST API
万が一のログインユーザー名漏洩に備える

憶測できるユーザー名は避けるべき

ユーザー名は、 admin や user 、あるいは、ブログ名などの関連するものを避けることが重要です。適切なユーザー名でない方はまずユーザー名の変更を行ってください。

WordPress のユーザー名を変更する3つの方法

ニックネームとユーザー名を同じにしない

それではまずは基本的なところからいきます。

WordPress では管理者がコメント欄に入力を行うと、ほとんどのテーマで投稿者が表示されます。
テーマによっては記事にも自体にも投稿者名を表示します。

また、ブラウザの表示には現れない場合でも、 HTML ソース内（body タグのクラス属性など）に投稿者名が含まれていることがあります。

サイト上で表示される投稿者名は、管理画面の「ユーザー」→「プロフィール」で設定された「ブログ上の表示名」（display_name）で指定されます。
display_name はユーザーのプロフィール設定のフィールドで user_nicename/first_name/last_name/user_login などから選択します。

ただし、 display_name が未設定の場合は user_nicename が使用されます。
この user_nicename は通常、 user_login（ユーザー名）と同一の値です。

つまり、ニックネームが未定義の場合はユーザー名がそのまま公開されることになります。

この点を認知していないユーザーが多く、 WordPress サイトでは投稿者名とユーザー名が同一であるケースがよく見られます。
最低限、任意のニックネームを設定し、ブログの表示名としてこのニックネームを選択するようにしましょう。

セキュリティ的にニックネーム未設定は論外だと心得てください！

投稿者アーカイブからユーザー名が分かる

WordPress では投稿者ごとのアーカイブ（Author Archive）というページが自動作成されます。
この投稿者アーカイブはユーザー名が admin ならば、example.com/author/adminでアクセスできます。
投稿者アーカイブへのリンクを作らなければ、閲覧者に知られることはないのではと思われますが、実はサイト URL に?author=ユーザー IDというパラメータを付けることでユーザー名の投稿者アーカイブにリダイレクトされます。

つまり・・・
example.com/?author=1でアクセスすれば
example.com/author/adminにリダイレクトされるます。

?author=1の数字はユーザー ID になるわけですが、一番はじめに作られるユーザーが1となり、アカウントがひとりの場合、通常は1です。
2つ目以降のユーザーはauthor=2となっていきますので、1から順番にアクセスしてみればよいのです。

ちなみにこのサイトでは一度初期アカウントでログイン後、新規で作成し直しているので、author=1ではありません。
（ただし、下記の方法にて投稿者アーカイブのアクセスを禁止しており、 404 でアクセスできません）

ユーザー名が変更されていた場合、ブルートフォースアタックでのユーザー名の特定にひと工程手間が掛ることにはなります。
これが無意味ということはないとありませんが、その気になれば、たやすく見破られてしまうということを認識しておいてください。

投稿者アーカイブの URL をプラグインで変更

「 Edit Author Slug 」というプラグインを使うことで投稿者アーカイブの URL を変更できます。
プラグインを追加して有効にすると前述の管理画面の「ユーザー」→「プロフィール」に下記のような設定が追加されます。

Custom の項目で author/の後ろの URL を任意に指定できます。
この例ではユーザー名 admin に対して、下記のような投稿者アーカイブの URL です。
https://seous.info/author/D6zfpGN8yI7f7xRXH3n0

投稿者アーカイブにアクセスさせない

複数の投稿者で運営しているサイトであれば、投稿者アーカイブは有用な場合もあるかと思うのですが、個人ブログやホームページ運用など、管理者がひとりであれば、他のアーカイブ系ページと内容が被ることになります。
重複コンテンツは SEO 的な観点でもプラスには働きません。
こういった場合はそもそも投稿者アーカイブそのものが不要でしょう。
下記をfunctions.phpに下記を追記することで 404 を返します。

&lt;?php
add_filter( &#039;author_rewrite_rules&#039;, &#039;__return_empty_array&#039; );

function disable_author_archive() {
    if( isset($_GET[&#039;author&#039;]) || (isset($_SERVER[&#039;REQUEST_URI&#039;]) &amp;&amp; preg_match(&#039;#/author/.+#&#039;, $_SERVER[&#039;REQUEST_URI&#039;])) ){
        wp_redirect( home_url( &#039;/404.php&#039; ) );
        exit;
    }
}

add_action(&#039;init&#039;, &#039;disable_author_archive&#039;);
?&gt;

その他にもユーザー名が晒されている

コメント機能

コメント機能を使っていると通常はコメントテンプレートであるcomment-template.phpにより、コメント欄が出力されます。
このテンプレートでは以下のように投稿者名のクラスが付与されます。

class="comment byuser comment-author-xxxxxx ～"

しかも、ニックネームではなくログインユーザー名です。
これはfunctions.phpでのリムーブ処理でcomment-author()の出力を止めてしまうのがよいでしょう。

&lt;?php
function remove_comment_author_class( $classes ) {
  foreach( $classes as $key =&gt; $class ) {
      if(strstr($class, &quot;comment-author-&quot;)) {
        unset( $classes[$key] );
      }
  }
  return $classes;
}
add_filter( &#039;comment_class&#039; , &#039;remove_comment_author_class&#039; );
?&gt;

WP REST API

WordPress はWP REST APIという仕組みで外部から JSON 形式でデータ取得できます。
たとえば、こちらは投稿一覧です。
example.com/wp-json/wp/v2/posts
そして、ユーザー情報も取得することができます。
example.com/wp-json/wp/v2/users
自身のサイト URL に/wp-json/wp/v2/usersを加えてアクセスすると驚愕ではないでしょうか。
出力される内容にはユーザ名もニックネームも含まれます。
このデフォルトの機能は意図せずに有効になっているサイトがほとんどかと思います。

こちらもfunctions.phpで出力を止めることができます。

&lt;?php
function filter_rest_endpoints( $endpoints ) {
    if ( isset( $endpoints[&#039;/wp/v2/users&#039;] ) ) {
        unset( $endpoints[&#039;/wp/v2/users&#039;] );
    }
    if ( isset( $endpoints[&#039;/wp/v2/users/(?P&lt;id&gt;[\d]+)&#039;] ) ) {
        unset( $endpoints[&#039;/wp/v2/users/(?P&lt;id&gt;[\d]+)&#039;] );
    }
    return $endpoints;
}
add_filter( &#039;rest_endpoints&#039;, &#039;filter_rest_endpoints&#039; );

?&gt;

セキュリティ系のプラグインでは、デフォルトでこの挙動を抑制するものが多いようです。

万が一のログインユーザー名漏洩に備える

たとえ、ログイン情報が露呈したとしても、乗っ取りを防ぐ鉄壁の手段はあります。

管理画面への IP 制限
ログイン URL の変更
ログイン試行回数制限

1～2は WordPress のダッシュボードにアクセスすることすらできないため、非常に効果が高いです。
もちろん、 FTP にも対策を行います。
これは WordPress 以外の静的 HTML のホームページにおいても有効です。
3のログイン試行回数制限はプラグインのほか、 Xserver などのレンタルサーバーで見られる同様のオプション機能もありますので、それらも合わせて活用するとよいでしょう。

管理画面（ダッシュボード）へのアクセスを制限する

WordPress では、ユーザー名はデフォルトでは公開扱いであり、あちこちで散見します。
セキュリティはパスワードが基本という考え方なのでしょうが、使うユーザーのリテラシーも様々です。
わたしには安易にユーザー名を公表する仕様は疑問に思えます。

WordPress でのユーザー名の漏洩についての対策を書きましたが、日々のチェックと不測の事態に備えバックアップは必須です。

執筆:R3098

WEB サービス構築・監修が生業です。 WordPress 関連では Aurora Heatmap などプラグイン開発も行っています。悩めるサイト運営者の無料相談受付けます！

こんにちは。
パスワードの強度にもよると思います。残念ながら、ユーザー名をadminとしてしまうユーザーが強固なパスワードを付けるとは考えにくいです。
大文字、小文字いずれかの英字だけの6桁パスワードなんかは瞬殺ですものね（笑
まあ、WordPress自体は「ユーザー名を公開して何が問題？」という考え方ですよね。
デフォルト仕様ではダッシュボードのログインURLも共通ですし、私的にはそれはちょっと乱暴かなと思います。
XML-RPC経由のブルートフォースアタックなどは、一般ユーザーはほとんど意識していないでしょう。

「管理画面（ダッシュボード）へのアクセスを制限する」でも紹介していますが、管理画面に対してのブルートフォースアタックには、ログイン試行回数制限が有効です。プラグインもありますし、多くのレンタルサーバでも設定が可能だと思います。