WordPressを使用している大手企業さんなども、この対策をしていないところが多いですね。
どんなセキュリティ対策?
実際に現象を見てみましょう!
ドメイン(URL)の後に【?author=●】を入力
●は数値(1、2,3など) ユーザー登録順
すると…
ばっちりユーザーID(名前)が表示されてしまいます。
ユーザーIDがわかり、後はパスワードがわかってしまうとログインされてしまいますね。
また名前をきちんと登録していると、本名などがわかってしまいます。
どうやって対策するか?
【.htaccsess】ファイルに以下コードを追加し、更新します。
・必ずバックアップを取ってから更新
・# BEGIN WordPress より前(上)に追加する
・# BEGIN WordPress より前(上)に追加する
ソースコード
<IfModule mod_rewrite.c>
RewriteCond %{QUERY_STRING} ^author=([0-9]*)
RewriteRule .* https://systemya.jp/? [L,R=302]
</IfModule>
どう変わるのか?
一番最初と同様にドメイン(URL)の後に【?author=1】を入力
すると…
author(著者)情報が表示されず、トップページへ遷移します。
仕事でWordPressを使う人はぜひこの設定をした方がよいですね!
