WordPressには記事投稿者のIDをそのまま使った投稿者アーカイブ「author」ページが存在します。
通常「http://ドメイン/author/ID」というURL構成になっています。
このauthorページは、記事投稿者のIDをパラメータとして置換するだけでもアクセス可能です。
例えばドメインの末尾に「/?author=1」を追加すると、
このID「1」のauthorページにアクセス(リダイレクト)できてしまい、記事投稿者のIDがバレます。
これを防ぐ為にauthorページのURLを書き換えるのがedit author slugです。
Edit Author Slug
プラグインをインストールしたらプロフィールの「ニックネーム」と「ブログ上の表示名」をIDとは異なる名称にします。
プロフィール下部に「Edit Author Slug」という項目が表示されているはずです。
ここでslugとしてニックネームを選択するか、customで任意の文字を入れて保存します。
画像では「administlator」としてありますが、これは一例であって何でも良いのです。
こうやって書き換えることで、攻撃者は書き換え後の名称をIDと思い込んで本来のIDに気づきません。
またEdit Author Slugの設定画面で、Author Baseも書き換えます。
これでauthorページが「http://ドメイン/書き換え後のAuthor Base/書き換え後のAuthor Slug」というURL構成になり、authorページへのアクセスが困難になり、IDが推測されにくくなります。
「ユーザーがプロフィールを変更したら自動的に Author Slug を更新します。」にチェックを入れると、
ニックネームやブログ上の表示などが変更されると自動的にAuthor Slugも連動して変更されます。
にほんブログ村
Tweet
この記事のショートリンク