WordPress – ブルートフォースアタック対策
概要
初期状態の WordPress では、投稿者ごとに「投稿者アーカイブ」が作成されています。
そのため、 WordPress のログインユーザー名が閲覧者にバレてしまいます。
ちなみに、次の URL にアクセスすると、自動的に投稿者名のアドレスにリダイレクトされます。
https://サイトURL/?author=1
ユーザー名を知られると「ブルートフォースアタック(総当たり攻撃)」の成功率が上昇する危険性があります。 ブルートフォースアタックは理論的にありうるパターン全てを入力して攻撃手法ですが、ユーザー名を知られることで、攻撃パターンが絞られて危険です。
対策方法にはいくつかありますが、「 author.php 」を使用した手順について記載します。
手順
次ファイルを作成してコードを追加します。
sudo vi var/www/html/theme/author.php
新規ファイルが作成されますので、以下のコードを入力します。
<!--?php &lt;br ?--> wp_redirect(home_url());
exit();
補足
このままではテーマの更新時に以下のメッセージが表示される場合があります。
更新失敗 いくつかのファイルをコピーできないため、最新版のインストールができません。これはたいていの場合、ファイルのパーミッションが適切でないことが原因です。
所有者を変更しておきます。 ※例としてWordpressの所有者を[apache]にしている場合。
sudo chown apache.apache var/www/html/theme/author.phpまたは、
sudo chown apache.apache var/www/html/theme/導入しているテーマ/author.php
名前:TRUE's。
千葉県育ち、神奈川県在住のIT系フリーエンジニア。
IT系のナレッジサイトを不定期で更新中。
フォトグラファー兼エンジニアとして日々勤しんでいる。