ページソースのusernameに残るwordpressのログインユーザ名を消す方法

2019年5月2日

 

ページソースをよく見るとログインIDが乗っちゃっている

ページソースよく見るとwordpressにログインするIDが残っちゃっている・・・

 

そうすると、ランダムにパスワード当てはめれて攻撃されたら、すぐに乗っ取られてしまいそう。ということでどうやったら消せるかを調べてみみました。

 

ちなみにページソース見るというのは、Web画面上で右クリックして「ページのソースを表示」から見れるwebのソースのことです。

 

一番下の方にちゃっかりとユーザIDが残っているんですよね・・・

 

 

ページソースのログインIDを消す方法

さて、消す方法ですが「function.phpに一行入れる」ことで消すことができます。

 

WPの管理画面>外観>テーマの編集

 

そこで、function.phpを選びます

 

で、出てくるソースの一番下に以下のコードをコピペして入れます。

 

add_filter( ‘show_admin_bar’, ‘__return_false’ );

 

それで完了。

 

no author-archive:アーカイブへのアクセスも禁止にしておく

アーカイブへのアクセスが分かるとユーザIDを抜き取られる可能性があるので、次のコードもfunction.phpに埋め込んでおきます。

 

/**
* 作成者アーカイブを無効化します。(WordPressのサイトアドレスURL/?author=1 などでアクセスされた際にURLにユーザー名が表示される機能も無効にします)
*/
function author_archive_404( $query ) {
if ( ! is_admin() && is_author() ) {
$query->set_404();
status_header( 404 );
nocache_headers();
}
}
add_filter( ‘parse_query’, ‘author_archive_404’ );
出典はこちらのブログです。

 

Authorアーカイブは見れるけど、ログインユーザIDでないものに変えることができます。その設定にする場合はプラグイン+ユーザ設定でできます。

・プラグイン「Edit Author Slug」を入れる

・ユーザー設定のところで以下の2点を変更しておく。

①ニックネームを作り、ブログの表示名をニックネームにする

②Edit Author Slugで投稿者スラッグを適当なものに変えておく

 

 

 

まとめ

ちょっと消すまでに手間取りました。もっと簡単に消せるのかと思ったのだけど、function.phpに一行入れるのが一番早くて確実だと思います。

 

ブログ、サイトは不動産と同じで、価値を高めていくと収益源になってくれるものだと思うのですが、それが乗っ取りに合って帰ってこなくなると考えただけでゾッとします。

 

そういう意味では最初からしっかりとセキュリティの設定はして、それで大事に育てていくことが大切だと本当に思います。

 

こういう点に手抜きは厳禁ですね。