【初期設定のままだと危険】WordPressのログインID、誰でも見れちゃう!?
「え、WordPressって、ログインIDってバレちゃうの?」
「そう、初期設定のままだと誰でも見れちゃうんだよ。
悪意のある人にとっては格好の入り口になるんだw
初期設定でなぜログインIDが露出するのか詳しく解説
WordPressでは、ユーザーを作成したときのID(ログインID)が、そのまま著者ページのURLに使われる仕様になっています。
たとえばこんなURL:
https://example.com/author/taroこれ、最初に作ったユーザーのログインIDが「taro」だった場合、URLからバレてしまうってこと。
「投稿者URLなんて誰も見ないでしょ〜」と思っている方。 甘いです。攻撃者はちゃんと見てます。
スクショでURLが映り込んでたり、Google検索経由で見られたり… 知らないうちに、ログインIDが世界中に公開されている状態になってる可能性も。
Edit Author Slugとは?ユーザーURLをカスタマイズしてリスクを回避!
結論:「Edit Author Slug(エディット・オーサー・スラッグ)」ってプラグインを使えば解決します!
このプラグインを使えば、投稿者ページのURLを自由に変更できます。
例:
https://example.com/author/taro
↓
https://example.com/writer/ken123これで、ログインIDがバレるリスクを回避できます。
WordPress公式掲載のEdit Author Slugに基づくガイド
この記事の情報は、WordPress公式ディレクトリに掲載されている
Edit Author Slug(公式プラグインページ)
の内容を参考にしています。
このプラグインの詳細な仕様や開発意図、最新のアップデート情報は、上記の公式ページから確認できます。
Edit Author Slug プラグインの導入方法
- WordPress管理画面で「プラグイン」→「プラグインを追加」
- 「Edit Author Slug」で検索
- インストールをクリック
- 有効化をクリックする
たったこれだけでOK。
導入後の基本設定(3分で完了)
- WordPressの管理画面から「ユーザー」をクリック
- 一覧から、スラッグを変更したいユーザー名をクリックして編集画面を開きます
- 「投稿者スラッグ編集」までスクロールする
- 表示されたスラッグ候補の中から、上から3番目のランダムな文字列を選んでチェックを入れましょう。
- ページ下部の「プロフィールを更新」ボタンをクリックして保存
そもそも、なんでユーザー名がバレるの?
WordPressでは、ユーザーを作成したときに「user_nicename(ユーザーニックネーム)」という内部的な名前が自動で割り当てられます。
そしてこれ、初期設定のままだと“ログインIDとまったく同じ”になることが多いんです。
その結果、投稿者ページのURLがこうなります👇
https://example.com/author/taroこの「taro」の部分が、実はログイン時に使うIDと一致していたら…
はい、もうログインIDが丸見え状態です。
さらにWordPressには、
?author=1 という特殊なURLを使うことで、誰でも投稿者ページの情報を引き出せてしまうという仕様もあります。
実際に体験した“ちょっと怖い話”
自分がまだWordPressの知識がほとんどなかった頃、
ある日たまたま**アクセスログ(どんなURLにアクセスされてるかの記録)**を見たんです。
そしたら…
/wp-login.php
/author/admin みたいなURLに対して、やたらと大量のアクセスが来ていて…
「え、なんかこれ攻撃されてる!?誰かがログインしようとしてる…?」
そのとき初めて、「あ、ログインIDって見られちゃうんだ」「URLからバレるんだ…」って気づきました。
でもこのプラグイン、セキュリティ目的で作られたの?
いいえ、実はそうじゃないんです。
「Edit Author Slug」は、もともと「投稿者ページのURLをカスタマイズしたい人向け」に作られたプラグインです。
複数人で運営するブログや、オウンドメディア、Webマガジンなどで、
author/をwriter/(ライター) やteam/(チーム) に変えたい- ユーザーごとのURLをキレイに揃えたい
- 表示名と一致したURLにしたい
といった**“見た目・管理性”の要望**に応えるためのものなんです。
ただ、その副産物として「ユーザー名を隠せる=セキュリティ強化にもつながる」っていうわけですね。
こんな人におすすめの使い方もある!
✔ オウンドメディアを運営している場合
/writer/ayaka や /team/sato のように、 よりプロっぽい・統一感あるURL設計が可能に。
✔ 外部ライターや寄稿者がいる場合
/guest/journalist-k のように、 個別に投稿者ページをカスタムURLで用意できる。
これ、ブランディングにも便利だし、読者にも優しい。
Edit Author Slugで「author」の部分を好きな文字に変える方法
- WordPress管理画面の左メニューから「設定」→「投稿者スラッグ編集」をクリック
- 表示された設定画面の中に「投稿者ベース」という欄があります
- ここに任意の文字列を入力(例:writer, guest, teamなど)
- ページ下部にある「変更を保存」ボタンをクリック
- 以上で、URLの/author/部分が、入力した単語に変更されます!
表示ごと消したいなら、それもできる!
「そもそも投稿者名なんて出さなくていいよ」って人には、 著者ページそのものを無効化できるプラグインもあります:
- Disable Author Pages(投稿者アーカイブを404に)
- WP Author Slug Redirect(URLを自動でリダイレクト)
プラグイン+非表示設定の併用で、さらに強固な対策ができます!
まとめ
- WordPressは初期状態だとユーザー名がバレる危険あり
- 「Edit Author Slug」でURLを変えて、リスク回避!
- セキュリティ強化にもなるし、URLの見た目もキレイに整えられる
- メディア運営や寄稿記事の管理にも便利!
気づいた今がチャンス。3分でできるセキュリティ対策、今日やっちゃいましょう!
