Blog

[WP] WordPressの管理者アカウントを変更する

WordPress をインストールした時のデフォルトユーザはすぐに削除している @azur256 です。
WordPress に大規模なアタックがされているらしいので、対策することをオススメします。

何が行われているのか

TechCrunch Japan の記事によると WordPress のサイトに ‘admin’ ユーザを狙ったブルートフォースアタック(Brute force attack)が行われているそうです。

今、WordPressを使っているブログに対する大規模無差別攻撃が行われている。その大半は辞書を使用する力ずくの攻撃で、とくにWordPressがデフォルトで設定する”admin”アカウントのパスワードを見つけようとする。



そもそもID認証というのは、IDとパスワードの両方を推測しなければならないことで安全性を高めています。このうちの片方が分かってしまうと安全性が格段に下がります。
今回の攻撃は admin というインストール時にデフォルトで作成されているIDをそのまま使っているユーザを狙って、admin という ID があれば、そのパスワードだけを総当たりすることで侵入しようとする攻撃です。

何はともあれ admin というユーザを削除しましょう。

admin を削除する前に管理者権限のユーザを作る

WordPress では admin のユーザ名を変更することはできませんので、管理者権限を持ったユーザを作って admin を削除する必要があります。

まずは、新しく管理者権限を持ったユーザを作りましょう。
ダッシュボードのユーザー一覧で新規追加を選ぶとユーザを作成することができます。
WPadmin 000


このユーザ作成時に権限グループとして「管理者」を選択してユーザを作成します。このユーザが今後の管理者になります。
Wpadmin 001


adminを削除しよう

ユーザを作ったら WordPress からログアウトして、先ほど作成した新しいアカウントでログインします。ログインしたらユーザー一覧で admin を削除しましょう。これで admin を狙った攻撃からサイトを守ることができます。

ブログを書いている人に管理者権限を与えていませんか?

WordPress ではブログを誰が書いたかを表示してくれます。このユーザに管理者権限を与えていたりしませんか?

最初に書きましたが ID が分かることで安全性が格段に下がります。ブログを書くユーザには管理者権限を与える必要はありません。先ほど権限グループを選んだ時に、編集者、投稿者という権限グループがありました。ブログを書くためには投稿者の権限グループのユーザであれば充分です。

そこで、ブログを書くためのアカウントは管理者アカウントとは別のアカウントを作って投稿者や編集者の権限グループとしておくと良いでしょう。

私は編集者権限グループに設定しています。
WPadmin 002


それぞれの権限グループでできることの違いは非常に細かいのでここでは割愛しますが、WordPress Codex に詳細が記載されていますので、興味のある方は見てください。
ユーザーの種類と権限 – WordPress Codex 日本語版

WordPress 関連のエントリ


インストールや設定変更とデータ移行




プラグイン




バージョンアップ




カスタマイズ





Stinger 3関連





チューニング





MAMPを使ったバックアップサイトの構築





開発関連







最後まで読んでいただきありがとうございます。

follow us in feedly 左のアイコンをクリックして、このブログを Feedly に登録していただけると嬉しいです


Facebook ページでも情報を発信していますのでよろしかったら「いいね!」をお願いします

RSSリーダへの登録は こちら からどうぞ。

URL
TBURL

コメントとトラックバック

  • Comments ( 1 )
  • Trackbacks ( 0 )
  1. 私はプラグイン WP login alerts by DigiIPをインストールしています。/wp-adminのloginページがアクセスされると、wp管理者にリアルタイムでeメールで通知されます。Botも単発でloginページをアクセスすることもありますが、連続アクセスは危険とわかりますので、すぐに対策がとれます。

コメントを残す

*

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

フェイスブックでのコメント

Return Top