- まずログインidを取るために {wpのurl}/?author=1 へアクセスし、idを確認する
- そのidを使ってパスワードをいろいろ試す
という流れがあったことを書いた。
WPのtemplate redirect機能で、authorを無効にすれば、この方法でアタックされて被害に遭うことはなくなるだろう、ということでその方法の紹介。
template_redirectフックを使う。functions.phpに
function author_archive_redirect() {
if( is_author() ) {
wp_redirect( home_url(), 301 );
exit;
}
}
add_action( 'template_redirect', 'author_archive_redirect' );
と入れる。
このサイトにも入れているので、 https://daily.glocalism.jp/?author=1 としてもauthorページには行かない。
これは結構重要なセキュリティ対策だと思うので、是非設定してほしい。
参照: https://wordpress.org/support/topic/how-to-completely-remove-authorusername-url