SiteGuardプラグインを入れた状態でパスワード保護記事を書くと、ログインURLがバレる

はじめに(問題提起)

今回はネットの人から教えていただいた情報を元に記事を書いていきます。

皆さんはSiteGuardプラグインを導入して、ログインURLを変更していますか?
しかし、このプラグインにはタイトルにもある通りとあるトラップがあります。

以下のような、パスワード保護記事を書くと、パスワードフォームのactionにログインURLと※1パラメーターが出力されます。
※1(https://www.pitahex.com/ログインURL?action=postpass)

つまり、ログインURLを変更してた場合、それにパラメーターがついたものがformのaction属性に
出力されるので、ログインURLが漏洩してしまいます。

解決方法(根本的ではない)

もうこれは仕様上どうしようもできないので、根本的ではない対処法(脳筋法)を説明します。
多分その他のプラグインを使用しても、原理は同じなので、ほとんどの場合同じようになると思います。

ユーザー名を複雑(末尾に乱数など)にする

例えば「admin,Eita-Kobayashi」などでしたら容易に推測できてしまうと思います。
ですので、「Eita-Kobayashi-A964FBE5A82B783E01C4」などにすれば、不正ログインは防げると思います。

そもそもパスワード保護記事を書かない

こうすれば解決します。
…
まぁ、無理なことを言ってるのはわかります。
なので上記のように最後の砦のパスワードやユーザー名を複雑にするなどがあります。
しかし、URLを変更する目的はサーバーへの負荷軽減なのであまり意味がありません。

まとめ

ログインURLを隠す主な目的は、不正なクローラーによるログインをできないようにして、
サーバーへの負荷を軽減することです。しかし、パスワード保護記事などで
ログインURLが漏洩してしまうと、その目的が果たせなくなってしまいます。

また、ログインURLが漏洩してしまうと、不正なクローラーがログイン試行を仕放題です。
なので最後の砦のパスワードとユーザー名を複雑にしましょう。

そして、ユーザー名は特にadminなど設定しないようにしましょう。
大半の攻撃者は「admin」というユーザー名でログインを試行してきます。
ですから、上記で解説したように、ユーザー名の末尾を乱数にするなどしましょう。

なので、根本的な解決として、パスワード保護記事は書かないか、別のプラグインを使うなどあります。
しかし、別のプラグインを使ってもSiteGuard wp pluginと原理は同じだと思うので、あまり意味はないと思います。