こんにちは、シャトーブリアンです。
ワードプレスからメールが届くと何事かとドキドキしてしまうんだけど、今回もまた焦ったよ・・
ワードプレスからのメール。「どなたかが次のアカウントのパスワードリセットをリクエストしました」だと?!
とある日、ワードプレスからこんなメールが届いた。
「どなたかが次のアカウントのパスワードリセットをリクエストしました」
ん?パスワードリセットのリクエスト?
うぅ、カタカナばっかで萎える・・
サイト名にあるのはこのブログで、ユーザー名はまぎれもなくオイラが使っているもの。
でもでも、パスワードをリセットしようとした記憶なんてないぞ、どういうことだぁぁぁ?
パスワードリセットのリクエストを送るには?
パスワードリセットのリクエストはログイン画面からできるようになっている。
これはいつもログインしているときの画面。
下のほうに「パスワードをお忘れですか?」というのがある。
これを押すと…
ユーザー名かアドレスを入れると、パスワードリセットの手順が書かれたメールを送ってくれるらしい。
で、今回送られて来たのがそのメールってこと。
えっと・・誰が送った?
ユーザー名とメールアドレスを知っているのはオイラだけだよね?
ユーザー名は誰でもわかる
ユーザー名とパスワードはワードプレスを始めるときに自分で好きなように作ったもので、もちろん誰にも教えていない。アドレスも然り。
なんだけど・・・実はユーザー名は誰でも簡単に調べることができるらしい。
下記のようにアドレスバーに入力すると、サイトのアーカイブページに飛び、URLの末尾にはユーザ名が表示されるようになる。
試しにやってみると…
・
・
・
・
わ、末尾は確かにワタクシのユーザー名だ・・
怖っっ
こんな簡単にわかっちゃうんだね。それに、アカウントを作るときの傾向を知られるのもちょっと恥ずかしいなぁ・・
誰かがユーザー名を調べてリセットメールを送ったのか、ロボットがランダムに送りつけているのか、どちらにしてもこのままじゃ危ないよね。なんとかせねば!
ユーザー名を保護しよう!
ユーザー名が丸見えのままでは危ないので、ダミーの名前に変えちゃおう!プラグインを使えば簡単にダミーを作ることができる!
1、「Edit Author Slug」というプラグインをインストール
2、「有効化」を押す
3、ユーザーの「プロフィール」を押す
4、画面の下のほうにある「投稿者スラッグ編集」でカスタム設定をする
カスタム設定にチェックを入れて、好きな文字列を入れるとそれがスラッグになる。
設定はこれで完了!
さっきと同じように入力してみると…
末尾がちゃんと変わっていた!
無難にブログタイトルにしてみたけど、これはダミー。これで本当のユーザー名は知られないってことだね・・・ほっ♪
で、誰がリセットリクエストしたん?
誰とまではわからないけど、メールの下にはリクエストした人のIPアドレスが記載されている。
調べてみると、アジア太平洋圏の「CN」という国らしい。
このまま放置してもいいし、もし何度も送られてくるようならこのアドレスをアクセス拒否にすることもできる。
.htaccess に拒否したいIPアドレスを書いたり、「Easy IP Blocker」というプラグインを入れる方法などがあるみたい。
今はまだ一回だけなのでアクセス拒否にはしないけど、もし続くようだったらそういうのを検討するのもありなのかな。
ってことで、「どなたかが次のアカウントのパスワードリセットをリクエストしました」のメールが来たら、不正ログインの可能性もあるので、放置せずになんらかの対策をとったほうがよさげ。
ワードプレスからのメールでハッピーだったことなんてないよなぁ・・こんな弱小ブログをいじめないでくれぇぇぇ。
またひとつ勉強になったよ
こんなメールも来てたなぁ…
