WordPressはユーザーIDが丸見え？セキュリティリスクと対策を徹底解説

2025年3月21日 2025年3月26日

遠藤晃太

WordPressのユーザーIDが丸見えの状態になっていませんか？

WordPressを利用している個人事業主や企業のWeb担当者の皆さん、あなたのサイトの「ユーザーID」が誰にでも見えてしまっているかもしれません。

とある調査によると、日本のWordPressサイトの約15％がユーザーIDを公開していると報告されています。

実際にWP保守ガードにお問い合わせいただくサイトを調査しますと、80％以上のサイトでWordPress ユーザーIDが丸見えになっている状況となっており、保守管理を開始する前にセキュリティ強化対策をおこなっています。

では、なぜWordPressのユーザーIDが丸見えになってしまうのでしょうか？それによってどのようなリスクがあるのでしょうか？
そして、どうすれば安全にWordPressを運用できるのでしょうか？

本記事では、WordPress ユーザーIDが丸見えになってしまう仕組みを解説し、具体的な対策方法を詳しく紹介します。
Webサイトのセキュリティを強化したい方は、ぜひ最後までお読みください。

1. WordPressのユーザーIDが丸見えになる原因
2. ユーザーIDが丸見えだとどんなリスクがあるのか？
3. WordPressのユーザーIDを隠す方法
4. ログイン画面を守るための追加対策
5. セキュリティ強化のためにやるべきこと
6. まとめ

1. WordPressのユーザーIDが丸見えになる原因

WordPressのユーザーIDが外部から見えてしまうのは、主に以下のような仕組みによるものです。

1-1. 作者アーカイブページの存在

WordPressには、投稿者ごとのアーカイブページ（例：https://example.com/author/ユーザー名/）が自動的に生成される仕組みがあります。

このURLを開くと、そのユーザーが書いた記事一覧が表示されるだけでなく、多くのケースではURLの末尾に「ユーザー名」が表示されてしまいます。

例えば、あなたのWordPressサイトのユーザー名が「admin」だった場合、https://example.com/author/admin/のようなURLが誰でも簡単にアクセスできる状態になっているのです。

1-2. REST APIからユーザーIDが取得可能

WordPressのREST APIはデフォルトで有効になっており、https://example.com/wp-json/wp/v2/users にアクセスすることで、登録されているユーザー情報が取得できる可能性があります。
また、サイトURLの末尾へ「/wp-json/wp/v2/users」や「?rest_route=/wp/v2/users」を追加したアドレスでアクセスしてみてください。

適切な設定を施していないと、サイトのユーザー名が簡単に特定されることになります。

1-3. XML-RPCの存在

WordPressには「XML-RPC」という外部通信を行う機能があります。これを利用すると、ログイン試行やユーザー情報の取得が可能になることがあり、不正アクセスの手がかりとなる場合があります。

これらの機能が有効なままだと、攻撃者は簡単にユーザーIDを特定できてしまうのです。

2. ユーザーIDが丸見えだとどんなリスクがあるのか？

ユーザーIDが外部から見えてしまうことで、どのような危険があるのでしょうか？

2-1. ブルートフォース攻撃（総当たり攻撃）のターゲットになる

攻撃者はユーザーIDが分かると、次にパスワードを推測するブルートフォース攻撃を試みます。

特に「admin」や「test」などの単純なユーザー名や推測されやすいパスワードを使用している場合、攻撃者にとって非常に狙いやすい状態となります。

2-2. クレデンシャル・スタッフィング攻撃のリスク

他のサービスで使用しているパスワードが流出した場合、その情報を使って不正ログインを試みる「クレデンシャル・スタッフィング攻撃」が行われる可能性があります。

2-3. 権限昇格攻撃につながる可能性

管理者権限を持つユーザーIDが特定されると、攻撃者はそのアカウントに対して特に集中攻撃を仕掛けます。

脆弱なプラグインやテーマが導入されている場合、それらを利用して権限昇格を狙われることもあります。

このように、WordPressのユーザーIDが丸見えの状態では、サイトのセキュリティが著しく低下してしまうのです。

3. WordPressのユーザーIDを隠す方法

WordPressのユーザーIDが外部に露出していると、攻撃者にとって重要な情報となり、不正ログインやブルートフォース攻撃のリスクが高まります。

この問題を防ぐために、適切な対策を講じることが必要です。以下では、具体的な方法を解説します。

3-1. 作者アーカイブページを無効化する

WordPressでは、投稿者ごとに記事を一覧表示する「作者アーカイブページ」が自動的に作成されます。このページのURLには、投稿者のユーザーID（ユーザー名）が含まれているため、攻撃者が容易に取得できる状況になってしまいます。

この問題を防ぐためには、作者アーカイブページを無効化する設定を行いましょう。

管理画面からの設定変更や、セキュリティ対策用のプラグインを利用することで、簡単にこの機能を無効にすることが可能です。

3-2. REST APIからユーザー情報を非表示にする

WordPressのREST APIは、特定のURLにアクセスすることで、サイトのユーザー情報を取得できる機能を持っています。デフォルトの設定では、特別な認証なしにユーザーリストを取得できる場合があり、攻撃者がユーザーIDを把握しやすい状態になっています。

この問題を回避するために、REST APIを制限する設定を施しましょう。セキュリティプラグインを導入すると、ワンクリックでREST APIを無効化することができるため、特に技術的な知識がない場合はプラグインの活用をおすすめします。

3-3. XML-RPCの無効化

WordPressには、外部からのリモート投稿を可能にする「XML-RPC」という機能があります。しかし、この機能は不正ログインの手段として利用されることが多く、攻撃者によるパスワードの総当たり攻撃を受けるリスクが高まります。

もしXML-RPCを利用する必要がない場合は、機能を無効化することが推奨されます。WordPressのセキュリティプラグインを導入すると、簡単にこの機能をオフにすることができます。また、サーバーの設定を変更することで、より強固にXML-RPCへのアクセスを制限することも可能です。

3-4. ユーザースラッグを隠す

WordPressでは、投稿者名やプロフィールページのURLに「ユーザースラグ」と呼ばれる情報が含まれます。このユーザースラグは、デフォルトの設定だとユーザーID（ユーザー名）と一致していることが多いため、攻撃者にとって貴重な手がかりになりかねません。

対策としては、ユーザースラグを変更する機能を持つプラグインを活用し、ユーザーIDとは異なる値に設定することが重要です。これにより、サイトの安全性を高めることができます。

3-5. セキュリティプラグインの導入

ユーザーIDの露出を防ぐためには、セキュリティ対策を一括で強化できるプラグインの導入が効果的です。例えば、セキュリティプラグインを利用すると、以下のような機能を簡単に設定できます。

作者アーカイブページの無効化
REST APIの制限
XML-RPCの無効化
ユーザースラグの変更
不正ログイン試行の検出とブロック

これらの機能を適用することで、ユーザーIDの露出リスクを最小限に抑えることができます。

4. ログイン画面を守るための追加対策

ユーザーIDを隠すだけではなく、ログイン画面を適切に保護することも重要です。多くのWordPressサイトでは、ログインURLがデフォルトのまま（/wp-admin や /wp-login.php）になっており、攻撃者にとって簡単に特定できる状態になっています。

ここでは、ログイン画面を守るための具体的な方法を解説します。

4-1. ログインURLを変更する

WordPressのログインURLを変更することで、攻撃者が不正ログインを試みることを難しくできます。
こちらはプラグインで対応することもでき、デフォルトの /wp-admin へのアクセスをブロックできます。

4-2. ログイン試行回数を制限する

ログイン画面を守るために、一定回数のログイン失敗後にアカウントをロックする機能を導入するのも有効です。
プラグインを使用すると、短時間に連続でログインを試みるブルートフォース攻撃を防ぐことができます。

設定例としては、

連続3回失敗でロック
5分間ログイン不可
ブラックリスト登録可能

などがあり、攻撃者が総当たり攻撃を仕掛けても、一定回数でブロックされるため、リスクを軽減できます。

4-3. 二要素認証（2FA）を導入する

二要素認証（2FA）は、通常のパスワード認証に加えて、スマートフォンなどのデバイスを使用して認証を行う方法です。
こうした機能のプラグインを利用すると、簡単に二要素認証を導入できます。

設定すると、ログイン時にワンタイムパスコードが必要になるため、不正ログインを防ぐことができます。

5. セキュリティ強化のためにやるべきこと

ユーザーIDの露出を防ぎ、ログイン画面を守るだけでなく、WordPressサイト全体のセキュリティを強化するための対策も重要です。ここでは、長期的にサイトを安全に運用するために必要な施策を紹介します。

5-1. 定期的なWordPressの更新

WordPress本体、プラグイン、テーマは定期的に更新され、新しいセキュリティパッチが適用されます。
更新を怠ると、脆弱性がそのまま残り、攻撃の標的になりやすくなります。

対策：

WordPressの自動更新を有効にする
不要なプラグイン・テーマを削除する
定期的に手動でアップデートを確認する

これにより、最新のセキュリティ対策が施された状態を維持できます。

5-2. 強固なパスワードの設定

シンプルなパスワードは、ブルートフォース攻撃の標的になりやすいため、強力なパスワードを設定することが重要です。

大文字・小文字・数字・記号を含む
郵便番号や電話、番地などから推測されにくいパスワード
使い回しをしない

5-3. セキュリティプラグインの導入

WordPressのセキュリティを強化するために、総合的なセキュリティプラグインを導入するのも効果的です。
プラグインを活用すると、さまざまなセキュリティ対策を一括で適用できます。

プラグインを導入することで、不正アクセスの監視やファイアウォールの設定が可能になります。

6. まとめ

WordPressのユーザーIDが丸見えになっていると、ブルートフォース攻撃や不正ログインのリスクが高まり、サイトの安全性が大きく損なわれます。

しかし、適切な対策を講じることで、これらのリスクを大幅に軽減することが可能ですので、本記事で紹介した方法を実践し、WordPressのセキュリティを強化しましょう。

「WP保守ガード」では、WordPressのセキュリティ診断やサイトの保守サービスを提供しています。
サイトの安全性に不安がある方は、お気軽にご相談ください。

投稿者プロフィール

遠藤晃太代表

WordPressを使ったサイト制作は10年以上。
これまでにショッピングサイト、カーショップ、不動産、認定講座、弁護士、生命保険、病院、司法書士、飲食店、運送業、高校案内サイト、留学案内サイト、施設案内サイト、幼稚園、鍼灸院、キャンプ場、大学など、多数のサイト制作してきました。
じっくりと話し合い、お客様にピッタリのご提案やサポートを目指します。