【WordPress】ログインユーザ名を隠す方法

こんにちは。

インターネットに接続できる人なら誰でも、他人のWordPressのログイン画面にアクセスすることができますが、ログイン画面で入力する「ユーザ名」も、ちょっと調べれば分かるようになっているのをご存知ですか？

つまり、WordPressで不正ログインを防ぐものは「パスワード」しかないのです。

そう言われると、ちょっと怖い気もします。

そこで、「ユーザ名」をなるべく知られないようにする方法を２つご紹介します。

また、こちらの記事では、他人がログイン画面にアクセスできないようにする方法も解説していますので、合わせて見てみてください。

１．WordPressは「ユーザ名」を隠さない仕様になっている
- １－１．WordPressの仕様
- １－２．「ユーザ名」が他人に知られるとどうなるか
２．ユーザ名を隠す方法
- ２－１．ニックネームの設定
- ２－２．Edit Auther Slugプラグイン
３．まとめ

１．WordPressは「ユーザ名」を隠さない仕様になっている

１－１．WordPressの仕様

まず、WordPressで他人の「ユーザ名」が簡単に分かってしまう理由なのですが、実は、下記の公式記事にも書いてあるように、そもそもWordPressは「ユーザ名」を隠すようには作られていないからなんです。

https://make.wordpress.org/core/handbook/testing/reporting-security-vulnerabilities/#why-are-disclosures-of-usernames-or-user-ids-not-a-security-issue

ようするにWordPressの場合、ログインするときの「ユーザ名」は他人に見られて良いものなんです。

１－２．「ユーザ名」が他人に知られるとどうなるか

まず、WordPressのログイン画面は、下記のようにURLが決まっています。WordPressをインストールした人ならみんな知っています。

WordPressのログイン：http(s)://ドメイン/wp-login.php

ということは、だれでも簡単に他人のログイン画面にアクセスすることができるのです。

あとは、「ユーザ名」と「パスワード」が分かれば、誰でもログインできてしまうのですが、先ほど述べたように、「ユーザ名」は簡単にわかってしまうのです。

自分のサイトは「パスワード」でしっかり守るというのが、WordPressの基本的な考え方のようです。

２．ユーザ名を隠す方法

ということになっていますので、WordPressでは「ユーザ名」を隠すことは難しいです。一時的に隠せたとしても、WordPressがバージョンアップされたときに、また隠せなくなる可能性もあります。

…ということは分かったとしても、少しでも安全性を高めるためにできることは行っておいた方がいいと思いますので、「ユーザ名」を他人に知られにくくする設定を２つご紹介します。

２－１．ニックネームの設定

一つ目は、「ニックネーム」の設定です。

例えば、WordPressは、テーマにもよりますが投稿した記事に投稿者名が表示されるようになっています。標準の設定だと「ユーザ名」が投稿者名として表示されるようになっています。ということは、他人の記事の投稿者名を見れば、その人のログインユーザ名が分かってしまうのです。

そこで、投稿者名として、「ユーザ名」ではなく「ニックネーム」が表示されるように変更します。これが一つ目です。

まず、WordPressの「ユーザー」＞「ユーザー一覧」をクリックしてください。下記のような画面が表示されます。

そうしたら、ユーザ名のところの「編集」をクリックしてください。下記のような画面が表示されます。

この画面で、「ニックネーム（必須）」と書かれた入力欄に、標準ではユーザ名が入力されていると思いますが、ユーザ名とは異なるニックネームを入力してください。

そして「ブログ上の表示名」の欄も、標準ではユーザ名になっていると思いますが、ニックネームに変更してください。

そうしたら、画面の下の方にある「プロフィールを更新」ボタンをクリックして保存してください。

これで、ユーザー名の代わりにニックネームが公開されるようになります。

２－２．Edit Auther Slugプラグイン

二つ目は、Edit Auther Slugプラグインのインストールです。

Edit Author Slugプラグインは、投稿者アーカイブ（投稿者ごとの記事を表示するページ）のURLを、ユーザ名を使わないものに変更できるプラグインです。

つまり、WordPressは、投稿者アーカイブを作成する際に、その投稿者のユーザ名を投稿者アーカイブのURLに含めてしまうので、投稿者アーカイブをブラウザに表示させるだけで、誰でも、その投稿者のユーザ名を知ることができてしまうのです。

Edit Author Slugプラグインを使うと、この投稿者アーカイブのURLに含まれているユーザ名を、他の文字に変更できるのです。

そのための設定方法を説明します。

まず、Edit Auther Slugプラグインをインストール、有効化します。

そうしたら、WordPressの「ユーザー」＞「ユーザー一覧」をクリックしてください。下記のような画面が表示されます。そうしたら、投稿者アーカイブのURLを変更したいユーザ名のところの「編集」をクリックしてください。

下記のような画面が表示されます。

Edit Auther Slugと書かれた場所に、選択肢がありますので、ユーザ名と異なるものを選んでください。好きな名前に設定（カスタム設定）することもできます。

そうしたら、画面下の方にある「プロフィールを保存」を押してください。

これで、投稿者アーカイブのURLが、ここで選択した名前に変更されます。

３．まとめ

WordPressの「ユーザ名」を他人に知られにくくする方法を２つ紹介しました。

ただ、「ユーザ名」を知る方法は他にもありますので、この２つの方法だけで隠すことはできません。

そもそもWordPress自体が「ユーザ名」を隠そうとしていないので、完全に隠すことはできないと考えた方がいいです。

なので、不正ログインを防止するためには、別の方法で対策を行う必要があります。

その方法は、こちらの記事に書いてありますので、ぜひ見てください。

では。