WPでauthor redirectをさせない方法

Pocket

以前、WPのアタックされた際のlogを解析したときに

  • まずログインidを取るために {wpのurl}/?author=1 へアクセスし、idを確認する
  • そのidを使ってパスワードをいろいろ試す

という流れがあったことを書いた。
WPのtemplate redirect機能で、authorを無効にすれば、この方法でアタックされて被害に遭うことはなくなるだろう、ということでその方法の紹介。
template_redirectフックを使う。functions.phpに

function author_archive_redirect() {
   if( is_author() ) {
       wp_redirect( home_url(), 301 );
       exit;
   }
}
add_action( 'template_redirect', 'author_archive_redirect' );

と入れる。
このサイトにも入れているので、 https://daily.glocalism.jp/?author=1 としてもauthorページには行かない。
これは結構重要なセキュリティ対策だと思うので、是非設定してほしい。
参照: https://wordpress.org/support/topic/how-to-completely-remove-authorusername-url

この投稿へのコメント

コメントはありません。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

この投稿へのトラックバック

トラックバックはありません。

トラックバック URL