WPでauthor redirectをさせない方法

Pocket

以前、WPのアタックされた際のlogを解析したときに

  • まずログインidを取るために {wpのurl}/?author=1 へアクセスし、idを確認する
  • そのidを使ってパスワードをいろいろ試す

という流れがあったことを書いた。
WPのtemplate redirect機能で、authorを無効にすれば、この方法でアタックされて被害に遭うことはなくなるだろう、ということでその方法の紹介。
template_redirectフックを使う。functions.phpに

function author_archive_redirect() {
   if( is_author() ) {
       wp_redirect( home_url(), 301 );
       exit;
   }
}
add_action( 'template_redirect', 'author_archive_redirect' );

と入れる。
このサイトにも入れているので、 https://daily.glocalism.jp/?author=1 としてもauthorページには行かない。
これは結構重要なセキュリティ対策だと思うので、是非設定してほしい。
参照: https://wordpress.org/support/topic/how-to-completely-remove-authorusername-url

Comments on this post

No comments.

Leave a Reply

Your email address will not be published. Required fields are marked *

Trackbacks and Pingbacks on this post

No trackbacks.

TrackBack URL