Web Design Leaves

author 情報を非表示に

WordPress では投稿者ごとに投稿者アーカイブが作成されるめ、「サイトのURL/?author=1」などでアクセスすると、「サイトのURL/author/ログインID/」にリダイレクトされ、WordPress のユーザー名（ログインID）が閲覧者にわかってしまいます。これを防ぐには、以下のような方法があります。

function disable_author_archive_query() {
  if( preg_match('/author=([0-9]*)/i', $_SERVER['QUERY_STRING']) ){
    wp_safe_redirect( home_url() );
    exit;
  }
}
add_action('init', 'disable_author_archive_query');

function disable_author_archive() {
  if( $_GET['author'] || preg_match('#/author/.+#', $_SERVER['REQUEST_URI']) ){
    wp_safe_redirect( home_url('/404.php') );
    exit;
  }
}
add_action('init', 'disable_author_archive');

if (!is_admin()) {
  // default URL format
  if (preg_match('/author=([0-9]*)/i', $_SERVER['QUERY_STRING'])) die();
  add_filter('redirect_canonical', 'shapeSpace_check_enum', 10, 2);
}
function shapeSpace_check_enum($redirect, $request) {
  // permalink URL format
  if (preg_match('/\?author=([0-9]*)(\/*)/i', $request)) die();
  else return $redirect;
}

<IfModule mod_rewrite.c>
  RewriteCond %{QUERY_STRING} ^author=([0-9]*)
  RewriteRule .* http://example.com/? [L,R=302]
</IfModule>  

author.php を利用

検索すると、author.php を作成して、以下のように記述してホームなどにリダイレクトする方法が紹介されていますが、この方法の場合、URL 等にユーザー名は表示されなくなりますが、ネットワーク上にユーザー名が流れてしまいます。

<?php
  wp_safe_redirect(home_url());
  exit();

応答ヘッダの「Location」にユーザー名が表示されているのがわかります。

投稿者アーカイブが不要な場合

WordPress では自動的に投稿者（作成者）アーカイブが作成されてしまいますが、投稿者アーカイブが作成されないようにするには以下のような方法があります。

functions.php に以下を記述します。投稿者アーカイブページの URL を生成する author_rewrite_rules と言うフィルタフック（リライトルールフック）を利用して __return_empty_array() で空の配列を返すことにより 404 ページを表示するようにしています。

add_filter( 'author_rewrite_rules', '__return_empty_array' );

そして、管理画面の「設定」→「パーマリンク設定」で何も変更せずに「変更を保存」をクリックします。

※リライトルールを変更した場合は、変更を反映させるためにパーマリンク設定で「変更を保存」をクリックする必要があります。

この方法の場合「サイトのURL/?author=1」などでアクセスすると、URL には「author/ユーザー名/」が表示されますが、404ページ（ページが見つかりません）が表示され、投稿者アーカイブは生成なれないようになります。

※但し、ユーザー名は URL に表示されるため author 情報を非表示にするには、上記のリダイレクトなどを使用する必要があります。

参考サイト：初期状態のWordPressで作られるページ

WP REST API を無効にする

WordPress 4.7 から「WP REST API」がデフォルトで有効になっています。そのため認証無しでも投稿記事やユーザー情報などのデータを外部から取得する事ができるようになっています。

例えば、以下のアドレスにアクセスしてみると、json 形式のユーザーのデータが表示されます。

「サイトのURL/wp-json/wp/v2/users」や「サイトのURL/?rest_route=/wp/v2/users」

REST API を使用しない場合は、以下のような方法で REST API を無効にすることができます。

※ WordPress の REST API Handbook によると、管理画面の機能が REST API に依存しているため無効にするのは推奨されていません。無効にする場合は、以下のように rest_authentication_errors フィルタを使ってログインしていない場合にのみ無効にする方法が推奨されてます。（以下を functions.php に記述）

add_filter( 'rest_authentication_errors', function( $result ) {
  if ( ! empty( $result ) ) {
    return $result;
  }
  if ( ! is_user_logged_in() ) {
    return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) );
  }
  return $result;
});

但し、上記の方法だと、ユーザーがログインしていないと Contact Form7 などの REST API を使用しているプラグインが機能しなくなってしまいます。

以下の方法で、特定のプラグインなどを除外して REST API を無効にすることができますが、今後 REST API を使ったプラグインや機能が増えていくことを考えるとこの方法が妥当かどうか自分のサイトに合わせて判断する必要があります。

以下では、REST API を使用している Embed（oEmbed）や編集エディタの機能、 Contact Form 7、 Akismet のプラグイン以外で REST API を無効にしています。

「rest_pre_dispatch」というフックを使っています。「WordPress4.7 の WP REST API を無効にする（ねんでぶろぐ）」を参考にさせていただきました。

function deny_rest_api_except_permitted( $result, $wp_rest_server, $request ){

  //permit oembed, Contact Form 7, Akismet
  $permitted_routes = [ 'oembed', 'contact-form-7', 'akismet'];

  $route = $request->get_route();

  foreach ( $permitted_routes as $r ) {
    if ( strpos( $route, "/$r/" ) === 0 ) return $result;
  }

  //permit Gutenberg（ユーザーが投稿やページの編集が可能な場合）
  if ( current_user_can( 'edit_posts' ) || current_user_can( 'edit_pages' )) {
    return $result;
  }

  return new WP_Error( 'rest_disabled', __( 'The REST API on this site has been disabled.' ), array( 'status' => rest_authorization_required_code() ) );
}
add_filter( 'rest_pre_dispatch', 'deny_rest_api_except_permitted', 10, 3 );

除外したいプラグインが増えた場合は、その文字列を配列 $permitted_routes = [ ]; に追加します。「サイトのURL/wp-json/」で namespaces や routes を確認できます。

/oembed/1.0
/oembed/1.0/embed
/oembed/1.0/proxy
/akismet/v1
/akismet/v1/key
/akismet/v1/settings
/akismet/v1/stats
/akismet/v1/stats/(?P<interval>[\w+])
/contact-form-7/v1
/contact-form-7/v1/contact-forms
/contact-form-7/v1/contact-forms/(?P<id>\d+)
/contact-form-7/v1/contact-forms/(?P<id>\d+)/feedback
/contact-form-7/v1/contact-forms/(?P<id>\d+)/refill
/wp/v2
/wp/v2/posts
/wp/v2/posts/(?P<id>[\d]+)
/wp/v2/posts/(?P<parent>[\d]+)/revisions
/wp/v2/posts/(?P<parent>[\d]+)/revisions/(?P<id>[\d]+)
/wp/v2/pages
/wp/v2/pages/(?P<id>[\d]+)
/wp/v2/pages/(?P<parent>[\d]+)/revisions
/wp/v2/pages/(?P<parent>[\d]+)/revisions/(?P<id>[\d]+)
/wp/v2/media
/wp/v2/media/(?P<id>[\d]+)
/wp/v2/types
/wp/v2/types/(?P<type>[\w-]+)
/wp/v2/statuses
/wp/v2/statuses/(?P<status>[\w-]+)
/wp/v2/taxonomies
/wp/v2/taxonomies/(?P<taxonomy>[\w-]+)
/wp/v2/categories
/wp/v2/categories/(?P<id>[\d]+)
/wp/v2/tags
/wp/v2/tags/(?P<id>[\d]+)
/wp/v2/users
/wp/v2/users/(?P<id>[\d]+)
/wp/v2/users/me
/wp/v2/comments
/wp/v2/comments/(?P<id>[\d]+)
/wp/v2/settings

/wp/v2/users をリダイレクト

単純に、/wp/v2/users にアクセスできないようにするだけであれば、以下を functions.php に記述すると言う方法もあるかと思いますが、これが妥当な方法かは定かではありません。以下の場合だと、URL や クエリに /wp/v2/users が含まれている場合、ホームにリダイレクトします。

function disable_users_query() {
  if( preg_match('/wp\/v2\/users/i', $_SERVER['REQUEST_URI'])  || preg_match('/wp\/v2\/users/i', $_SERVER['QUERY_STRING']) ){
    wp_safe_redirect( home_url() );
    exit;
  }
}
add_action('init', 'disable_users_query');