WordPressのRSSフィードのセキュリティ対策

Webサイトの更新情報や要約などを配信するための仕組みのRSS（Rich Site Summary）は、最新情報を素早く入手して活用していけるので、RSSの利用は情報社会で生きていくための1つの方法でもあります。

RSSフィードのメリットは、メールマガジンのようにユーザーがメールアドレスの登録のハードルや、個人情報の取り扱いに関する不安などがなく、ご自身が利用しているRSSリーダーアプリで、配信された新着情報を手軽に受け取ることができるので、情報収集には非常に効率的です。
また、情報を発信する側も、ユーザーの個人情報を厳重に管理も必要なくなり、Webサイトのお知らせやニュースリリースなどを公開するだけで、登録者に情報を届けることができます。

WordPressにはデフォルトでRSSフィード機能があります。
WordPressサイトのRSSフィードのURLは、設定を変更していなければ「サイトURL/feed」となります。

https://example.com/feed

ちなみに、カスタム投稿ごとのRSSフィードは、下記のようなURLになります。
カスタム投稿タイプのアーカイブURLのあとに、「/feed」を追加するだけとなります。

https://example.com/news/feed

WordPressのRSSフィードはデフォルトの機能のため、サイト管理者は特に何もしなくていいと思ってしまいますが、実はサイト管理者の情報漏洩のリスクがあるので、WordPress側の設定も確認しておく必要があります。

RSSフィードのURLにアクセスしますと、以下のようなXML形式の記述が情報として表示されます。
この時、情報の中には投稿したユーザーの「ユーザー名」も表示されます。
（サンプルでは名前は変更済み）

ユーザー名は、WordPressのダッシュボードにログインするための重要な情報です。
ユーザー名がわかれば、あとはパスワードを解析するだけとなるので、パスワード総当たり（ブルートフォースアタック）という、パスワードのすべての組み合わせを試して入力する、パスワードクラッキングツールを使われれば、簡単に突破されてしまいます。
頑丈のパスワードであれば時間をかけることはできますが、ユーザー名が知られるだけでサイバー攻撃を受けるリスクが高まります。

WordPressの設定の確認

XML形式のテキストデータに表示されるユーザー名は、投稿者のユーザー情報となります。
このユーザー名は、ユーザーのプロフィール情報にありますので、プロフィールの設定を確認し、必要に応じて変更します。

ダッシュボードの左メニューの「ユーザー」からプロフィールページに進み、ニックネームやブログ上の表示名の項目を確認します。
RSSフィードのXML形式のテキストデータでは、ブログ上の表示名の項目がユーザー情報として使われます。（デフォルトではユーザー名が設定されています）
ニックネームを設定しておくことで、ブログ上の表示名でニックネームを指定できるようになりますので、ログインに必要なユーザー名とは別の名前をニックネームとして設定し、ブログ上の表示名を変更しましょう。

これで、RSSフィードのユーザー情報は、ログイン時のユーザー名ではない名前とすることができます。

複数人でサイトを運用している場合は、管理者だけでなく、編集者や投稿者など権限に関係なく、全ユーザーが変更することが望ましいです。

余談

RSSリーダー側でフィードから収集できる情報として、サムネイルやタイトル、コンテンツ内容とありますが、コンテンツ内容では、投稿ページのコンテンツ全文を取得すると、投稿の序章の最初の文章だけがアプリケーション側の文字数制限などで切られたり、アプリケーションによって表示方法が異なると、投稿の内容がわかりにくくなります。
コンテンツ内容をどのように含めるかは、表示設定から行えます。

ダッシュボードの左メニューの「設定」から表示設定に進み、「フィードの各投稿に含める内容」の項目で「抜粋」を選択して変更を保存します。
（もし、全文を表示でWebサイトを運用していて、抜粋に変更することによって表示崩れが起こる可能性がある場合、事前に影響する部分を確認しておく必要があります）