ログイン履歴を保存できるプラグイン「狂骨」をインストールした知人から、こんな話がありました。 「管理者アカウントを admin 以外にしていて、author リンクとかはサイトに一切表示していないのにそのアカウントへのアタックが観測されるんだけど…」 原因が良くわからなかったのですが WordCamp Kobe 2013 の懇親会での LT で謎が解けました。 要約すると… 「WordPress では /?author={user_id} にアクセスすることで、著者アーカイブにリダイレクトされる。 その URL からログインユーザ名を取得することが可能。 通常最初に追加されるユーザのユーザ ID は 1 なので、攻撃者は /?author=1 に対してリクエストしてくる。」 ってことです。 そんなわけで、気持ち悪い人は以下のようなプラグインを使用して著者アーカイブのスラッグ自体を変更してあ
![Brute force attack との戦い - その2 - dogmap.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/2168f7b2ad3f822ba71e08b0f172e22346038aa2/height=288;version=1;width=512/https%3A%2F%2Fdogmap.jp%2Fwp-content%2Fuploads%2F2013%2F06%2F730c633392534aef0b2afc2c09eef046.png)