プロフィールページ・・・authorを回避するプラグイン

WordPressに対する攻撃手法の一つ

表の玄関である管理画面
http://サイトURL/wp-admin
をIP制限をかけるなり認証をきつくするなりすれば
表の入り口のセキュリティは大きく上がりますが、XMLRPCという方法があるのを忘れてました・・・
XMLRPCの主な利用用途としては、WordPress公式のスマホアプリから記事とかを投稿する時に使います

まず管理しているユーザーの名前ですが
このURLからサイト管理者を割り出す事が出来てしまいます
http://サイトURL/?author=xx

後はプログラムでXMLRPCを叩くか、スマホアプリから先ほど入手したユーザー名で
ブルートフォース攻撃が出来てしまう可能性があるというわけです

XMLRPCをパーミッションで固めてIPを制限をかければ攻撃を許してしまう可能性は大幅に減ると思いますが
それだとスマホからの記事投稿が出来なくなり、ブログとして結構痛いです
そこで、せめてauthorを隠蔽したいところですが
方法としてあるのはテーマを書き換えて消す方法
ただ、このやり方だとテーマを更新したり、切り替える度に書き直す必要が・・・

というわけで単にauthorに飛んできたら、トップに飛ばすだのプラグインですが作ってみました
No Author

って後で考えたらRedirectionプラグインだけでも同じ事が出来そうですね・・・