WordPressユーザー名はnicenameを変更すると完璧に隠せる



相変わらず年がら年中やってくる「ブルーフォースアタック攻撃
アクセスログを見ると「どうしてもユーザー名が知りたいんだな」ということが良く分かります。

author の対策をしている人は結構おられるかと思うのですが、

サイトURL/?author=1

「プロフィール」からユーザー名を隠す

/wp-json/ 対策をしている人は少ないように見受けられます。

もし対策をしていない場合はドメインの末尾にこれを付けると簡単にユーザー名を見ることができます。

/wp-json/wp/v2/users/
/?rest_route=/wp/v2/users

author がバッチリ表示されました(当サイトは対策済み)

mitenzyane-yo(見てんじゃねーよ)

また、脆弱性スキャンツールでもユーザー名を特定することができます。
(表示されているユーザー名は以前に設定したnicename)

user_nicenameを設定してユーザー名を偽装

ここではエックスサーバーでの説明となります。他社サーバーでも操作方法は大差ないかと。

「phpmyadmin」を開いてログイン。

phpmyadmin のユーザー名とパスワードは、wp-config.phpや「WordPress 簡単インストール」に書かれてあります。

phpMyAdminの開き方と構造の基礎(MySQL)

phpmyadmin を開いたら「wp_users」をクリック→編集を開きます。

user_nicename の欄に好きな文字列を入れて、右下にある「実行」ボタンをクリックすると変更されます。nicename は覚える必要はないので適当でも全然大丈夫です。

変更されました。

ユーザー名は隠すのではなく偽装してお見せする

function.phpでREST APIを無効化するコードを記述するとプラグインに影響する場合がありますし、サイトが重くなる要因にもなるようですので偽装した上でご披露するのも良いかと。