WordPressで、SEO対策として、プラグインのAll in One SEOを使ってる人多いと思う。
とくにブログやってる人、多いのかなと思う。
構造化データにしてくれるから、SEOにも強くていいじゃん!って思ってたら、セキュリティやばかった!!
All in One SEOで、構造化データを生成すると、ユーザー名が丸見えになって、パスワードさえわかればログインできてしまう、とても危険な状態です!
確認方法:AIOSEOの構造化データでユーザー名が表示されてる!?
ユーザー名 test-admin を作って検証してみました。
ユーザー名:test-admin で、検証用の投稿記事を作って表示させて検証開始です。
投稿記事を表示させた状態で、ページのソースを表示させる
ソースを表示させた状態で、#author を検索する
すると、このように、ユーザー名:test-admin が丸見えなんです。
あとはパスワードが分かれば、WordPressの管理画面にログインできてしまう、とても危ない状態です。
リッチリザルトテストを使っての確認方法
リッチリザルトテストを使っても同様に確認できます。
リッチリザルトテストは、構造化データがきちんとできているか確認するツールです。
投稿記事のURLを入力して、URLをテスト をクリックします。
記事をクリックします。
投稿記事の見出しをクリックします。
するとこのように、ユーザー名が表示されてます。
nameは、ユーザーの設定のところから、表示名の設定を変更すれば問題ありません。
表示名の変更の仕方
ユーザー管理画面に入って、名とブログ上の表示名 を、ユーザー名ではないもの、たとえば、
データベースから、WordPress の user_nicename を変更する
データベースから、構造化データに、ユーザー名が表示されないように、データベースを開いて、user_nicname の値を変更します。
この例では、test-admin を uedashinya に変更した状態です。
プラグインで、WordPress の user_nicename を変更する
データベースのデータを直接変更するのは、危険度が高くなるので、プラグインを作りました。
これを使うと簡単に変更できます。
プラグインをインストール、有効にする。
ユーザーの管理画面から、ユーザーNicename を変更する。
この例は、test-admin から、uedashinya に変更しています。
変更が有効になっているか確認する
ページのソースから確認、または、リッチリザルトテストで確認する。
変更した、Nicename になっていれば大丈夫です!
