忘れっぽくなった中年おじさんの備忘録

おじさんの個人的な備忘録です。ブログとして公開していますが、可読性がない時も多いです。まあ、まったく誰にも見られない個人用だと長続きしないので、ブログとしてメモに残してます。

ユーザーIDを隠す:意外と見落としがちなWordPressのセキュリティの備忘録

time 2016/08/22

folder wordpressメモ

ユーザーIDを隠す:意外と見落としがちなWordPressのセキュリティの備忘録

プラグインやテーマテンプレート自体にセキュリティ上の問題がある場合を除いて、

wordpressのセキュリティは、一般的に使われる安価な共有ホスティングサービスで使う場合、ユーザーができることは意外と少ない。

  1. インストール時にやること。
    • テーブル名のプレフィックスを[ wp_  ] から [ 適当な文字列_ ]に変更する。テーブル名を分かりにくくするため。(標準のインストラーなら可能だけど、インストラーが別途用意されている親切なホスティングサービスでは変更できない時もある。)
    • デフォルトのユーザー名を[ admin ]から別のものに変更しておく。
  2.  Wordpressの最新状態の維持
    • 本体、テーマ、プラグインの自動最新化
      • 比較的新しいバージョンは標準で自動最新化が設定されているので、特に気にする必要なし。
    • コメントのデフォルトでの無効化
      • 管理画面のディスカッション設定で、「新しい投稿へのコメントを許可する」のチェックを外す。最近は、よっぽどメジャーなブログにならないと、コメントを残してくれる人はいないので、ほとんど支障は出ない。
      • もしくは、Akismetプラグインを有効化する。
      • 経験上、スパムの方が圧倒的に多いので、コメント無効化をしておいたほうが良いと思う。
  3.  セキュリティプラグインの利用(以下のような機能を持つものを導入する。以下の機能を全部でなくとも、2、3個は搭載しているものは探すと結構ある。)
    •  ログインの試行回数制限
    • wp-admin関連フォルダへのアクセス制限
    • 管理者ログイン画面のURI変更
    • 二段階認証
    • 画像認証
  4. 未使用のプラグインは、停止ではなく削除
  5. wp-config.phpへのアクセス制限(可能ならやったほうが良いけど、安価な共有ホスティングサービスではできないことも多い。)
    • ファイルのパーミッションを400にする。
    • .htaccessに以下を追加する。

この他にも、CDNを使ったり、ホスティングサービスでWAFを使ったりと、やれることはあるけど、費用もそれなりにかかるので、上記4項目のうち、1と3は気をつけて能動的に対応したほうが良い。

 

 

そして本題。

 

意外と気づかれないけど、やるとそれなりに効果がありそうなものに、「ユーザー名を表示させない」というものがある。

 

一般的なログイン機能は、ユーザーIDとパスワードを照合して行う。

だから、パスワードは、秘匿性の高い複雑な文字列で、誰にも教えないってことが常識になっている。

でも、ユーザーIDまで気をつけている人は少ないし、それをなるべく秘密にしろという人もいない。

 

しかし、よく考えると、

  1. ユーザー名がわかり、パスワードのみが攻撃対象になるのと
  2. ユーザー名もパスワードも分からない状態で攻撃されるのでは、

 

2の方が、セキュリティが破られるリスクが格段に小さくなることがわかる。パスワードクラッキングに関してのみだけど、それなり効果が大きいと思う。

まあ、プロのクラッカーにかかれば、焼け石に水かもしれないが、少なくとも、スクリプトキディなどには十分有効かもしれない。

 

なので、以下をする。

  1. 管理画面のプロフィール設定で、作成者の表示を「ユーザ名」ではなく「ニックネーム」へ変更する。
  2. 小テーマを作って、single.phpなどをいじって、ユーザーIDが表示される部分を削除する。もしくは、このような機能を搭載するセキュリティプラグインを導入する。大概、以下のような関数を使っているので、これらを「 // 」でコメントアウトする。他の関数で表示されている時もあるが、記事ページを表示させて、そのHTMLソースにユーザーIDが含まれないかチェックしてみると良い。
    • get_the_author
    • the_author
    • get_the_author_posts
  3. author.phpを、例えば以下のように編集する。これは、/?author=1とかで、ユーザーIDがバレるの防ぐためにやる。
  4. Disable Embedsプラグインを導入して、WordPress 4.4から導入されたoEmbedという機能を無効化しておく。oEmbedは、本来、他のブログ記事を埋め込み表示できるようにする目的の機能だけど、この機能で出力されるauthor_urlには、ユーザーIDが含まれている。それに、この機能は試験的に実装されたもので使っている人も現状はかなり少ないので無効化しても全く支障は出ない。

まあ、wordpress本体側が、基本的に、ログイン用のユーザーIDを全く出力しないで、ニックネームのみ表示してくれれば、こんな面倒はないんだが、・・・

 

down

コメントする




このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

more

Parallelsメモ

Neural Compute Stick を Parallels DesktopのゲストOS Ubuntu 16.04.5で使う。–その1

2018/10/13

Neural Compute Stick を Parallels DesktopのゲストOS Ubuntu 16.04.5で使う。–その1

more

PHPメモ

Ubuntu16.04LTSでNgnixとphp-phantomjsでスクレイピングAPIサーバーのテストメモ

2017/03/22

Ubuntu16.04LTSでNgnixとphp-phantomjsでスクレイピングAPIサーバーのテストメモ

PHPのPECL 拡張モジュールv8jsインストールメモ

2017/03/16

PHPのPECL 拡張モジュールv8jsインストールメモ

PhantomJSをPHP7.0で動かす。

2017/03/15

PhantomJSをPHP7.0で動かす。

more

Pythonメモ

Neural Compute Stick を Parallels DesktopのゲストOS Ubuntu 16.04.5で使う。–その1

2018/10/13

Neural Compute Stick を Parallels DesktopのゲストOS Ubuntu 16.04.5で使う。–その1

Chainerのインストール

2018/01/09

Chainerのインストール

more

ubuntuメモ

Neural Compute Stick を Parallels DesktopのゲストOS Ubuntu 16.04.5で使う。–その1

2018/10/13

Neural Compute Stick を Parallels DesktopのゲストOS Ubuntu 16.04.5で使う。–その1

Chainerのインストール

2018/01/09

Chainerのインストール

Ubuntu16.04LTSでNgnixとphp-phantomjsでスクレイピングAPIサーバーのテストメモ

2017/03/22

Ubuntu16.04LTSでNgnixとphp-phantomjsでスクレイピングAPIサーバーのテストメモ

more

wordpressプラグイン

ライセンスフリーの画像が簡単に利用できるプラグイン

2016/08/23

ライセンスフリーの画像が簡単に利用できるプラグイン

more

wordpressメモ

ユーザーIDを隠す:意外と見落としがちなWordPressのセキュリティの備忘録

2016/08/22

ユーザーIDを隠す:意外と見落としがちなWordPressのセキュリティの備忘録

more

未分類

SUDOのパス設定

2017/03/11

SUDOのパス設定

more

機械学習

Neural Compute Stick を Parallels DesktopのゲストOS Ubuntu 16.04.5で使う。–その1

2018/10/13

Neural Compute Stick を Parallels DesktopのゲストOS Ubuntu 16.04.5で使う。–その1

最近の投稿

最近のコメント

    アーカイブ

    

    カテゴリー

    にほんブログ村 40代オヤジ

    Powered by WordPress Theme マテリアル

    ©忘れっぽくなった中年おじさんの備忘録 All Rights Reserved.

    arrowup

    home