WordPressの危険な罠！ユーザ名がバレてしまうバグ

Wordpress

wordpressを利用しているウェブサイトで、管理者のユーザ名が誰からでもわかってしまうハッキング方法があります

それはURLの後に「/?author=1」を追加する方法です

404エラーページが表示された場合は、最後のパラメータを2、3・・と増やして行ってみてください

ワードプレスをインストールしてから何も対策をしてないサイトだと、なんと

「/author/ユーザ名」と言う風にリダイレクトされ、ユーザ名がバレてしまいます！

ユーザ名というのはログイン時に使用する名前

つまりあとはパスワードだけわかってしまえば不正にログインできてしまう状態なのです

いまだにこんな大きな穴を放置しているwordpress

理解に苦しみます。。。

対策方法

.htaccessに以下の記述を追加

<IfModule mod_rewrite.c>
  RewriteCond %{QUERY_STRING} ^author=([0-9]*)
  RewriteRule .* http://hoge.com/? [L,R=302]
</IfModule>

*http://hoge.comは自分のサイドのドメインに変更してください

注意点としては、「#BEGIN WordPress」の前に記述すること

「#BEGIN WordPress」から「#END WordPress」の中に書いてしまうと、動的に内容が書き換えられてしまいます

adminも危険

たまにユーザ名がデフォルトのまま「admin」のままになってるサイトを見かけます

というか、普通によくあります

これも危険だから、必ずユーザ名は変更しましょう