🧐
WordPressの`?author=X`脆弱性を防ぐ方法💪
はじめに
みなさん、こんにちは!🐤 フリーランス社会人学生(心理学)のたつのぶです!!
本記事では、WordPressのクエリパラメータの?author=1のようなURLを通じて、ワードプレス投稿者のユーザーID(ログインID)が簡単にわかってしまう脆弱性があり、これにより、悪意のあるユーザーが攻撃のターゲットを特定することができるため、セキュリティリスクとなります。この記事では、この脆弱性を防ぐための方法を二つ紹介します。
そもそもどんな感じか??
ブラウザ検索時にURLに以下内容を入れると
<ワードプレスサイトURL>?author=1
以下ユーザ(ログイン)IDが確認できるリンクにリダイレクトされる
<ワードプレスサイトURL>/author/<ユーザID>
それにより以下画像の<ユーザID>(ログインID)がわかってしまう。よってパスワードだけわかってしまうだけで管理画面に入れてしまう恐れがある。
対策方法1: リダイレクトを設定する
?author=パラメータでユーザーIDが表示されることを防ぐため、ホームページにリダイレクトする方法があります。次のコードをテーマのauthor.phpに追加しましょう。
wp-content/themes/<テーマファイルフォルダ>/author.php
<?php
wp_redirect(home_url());
exit();
?>
対策方法2:管理画面にアクセスしずらくする
WordPressには、ユーザー管理画面情報を隠すためのプラグインがいくつかあります。以下のプラグインを使用すると、簡単に設定できます。
- WP Hide & Security Enhancer
- Hide My WP
さいごに☺
今回は、WordPressの?author=X脆弱性を防ぐ方法について考えてみました。
ご意見ご感想等お待ちしております。
ゴロゴロシステムズでは、「労務・人事・業務・メンタルヘルス課題のDXを通じて、こころの労働負荷を削減」 をモットーに活動しています。
今後も技術情報を発信していくので、良かったらチェックしてくださいな🐤
ゴロゴロシステムズHP
Discussion