相変わらず年がら年中やってくる「ブルーフォースアタック攻撃」
アクセスログを見ると「どうしてもユーザー名が知りたいんだな」ということが良く分かります。
author の対策をしている人は結構おられるかと思うのですが、
サイトURL/?author=1
/wp-json/ 対策をしている人は少ないように見受けられます。
もし対策をしていない場合はドメインの末尾にこれを付けると簡単にユーザー名を見ることができます。
/wp-json/wp/v2/users/
/?rest_route=/wp/v2/users
author がバッチリ表示されました(当サイトは対策済み)
mitenzyane-yo(見てんじゃねーよ)
また、脆弱性スキャンツールでもユーザー名を特定することができます。
(表示されているユーザー名は以前に設定したnicename)
user_nicenameを設定してユーザー名を偽装
ここではエックスサーバー
での説明となります。他社サーバーでも操作方法は大差ないかと。
「phpmyadmin」を開いてログイン。
phpmyadmin のユーザー名とパスワードは、wp-config.phpや「WordPress 簡単インストール」に書かれてあります。
phpmyadmin を開いたら「wp_users」をクリック→編集を開きます。
user_nicename の欄に好きな文字列を入れて、右下にある「実行」ボタンをクリックすると変更されます。nicename は覚える必要はないので適当でも全然大丈夫です。
変更されました。
ユーザー名は隠すのではなく偽装してお見せする
function.phpでREST APIを無効化するコードを記述するとプラグインに影響する場合がありますし、サイトが重くなる要因にもなるようですので偽装した上でご披露するのも良いかと。