WordPressのadminユーザーを削除する

2013年4月19日

前回はシノブさんに寄稿してもらいました。
入社こそサトのほうが早いとはいえ、「ブログは継続が大事よ!定期的に更新をすることが大事!」としょっちゅう仰っている人生&この業界の先輩でございます┐(´ー`)┌
こないだは「定期更新言うけども今日は時間がないよ!」って投げ返したというわけで(爆)

最近話題のWordPressサイト大規模攻撃

話題継続中ですよね、WordPressサイトへのブルートフォースアタック。
先々週あたりから騒がれていると思うのですが、サトはこのブログの対策だけ済ませて満足していました。
しかしあまりにも攻撃が大規模になってきているようで、サトが個人で利用している他社様のサービスからも「パスワードの強化を!」といったメールがくるようになり、「SaaSesは…?」なんて思ったので、今日はそのことについて。

ブルートフォースアタックとは

総当たり攻撃のことですね。適当なユーザー名やパスワードを使って手当たり次第にログインを試みる方法です。
今回の場合でいうと、正体不明の攻撃者がユーザー名(特によく使われる「admin」)と何千件ものパスワードを試して、WordPressの管理者ログイン画面の認証を突破しようとしている、と。
WordPressを使い始めるときに、ユーザー名が思いつかないと例に習ってとりあえず「admin」としてしまいがちですが、これは変えておくべきです。

adminユーザーの変更の方法と、それ以外の対策についても後半に挙げておきます。

新規管理者ユーザーの追加とadminユーザーの削除

「admin」がそのまま変更できればいいのですが、ユーザー名はいったん作ってしまったら変更ができません。
なので新規ユーザーを作成して、その後adminを削除するという手順になります。

新規管理者ユーザーを作成する

ダッシュボードの「ユーザー」から「新規追加」をクリック。

ユーザー情報を入力します。
  • ユーザー名
    今までadminになっていた部分です。ここは後から変更できないので慎重に…(とかいいつつふざけた例ですが)
  • メールアドレス
    既存ユーザーと同じメールアドレスは使えないので気をつけましょう。
  • パスワード
    「強力」になるのがベスト。
  • 権限グループ
    「管理者」を選択します。
入力が完了したら「新規ユーザーを追加」をクリック。

ユーザーが追加されました。
いったんログアウトし、新規で作ったユーザーでログインします。

adminユーザーを削除する

ユーザー一覧のadminにチェックを入れて、プルダウンメニューで「削除」を選択して「適用」。

adminユーザーで投稿した記事をどう処理するか聞かれます。
全ての記事の投稿者を新ユーザーに移管したいので、「すべての投稿を以下のユーザーにアサイン」をチェックします。
プルダウンメニューで新しい管理者ユーザーを選択したら「削除を実行」をクリック。

adminユーザーの削除と投稿記事の移管が完了しました。

その他のセキュリティ対策

パスワードの強化

当たり前ですが一応。
英字(大文字/小文字)や数字を織り交ぜて、なるべく長めのパスワードにしましょう。
WordPressのユーザー編集画面ではパスワードの強度が表示されるので、「強力」になるように設定すると良いかも。
それから今回のWP大規模攻撃だけでなく、最近あちこちで言われていることですが、複数のサイトやサービスで同じパスワードを使い回すのはよくありません。
パスワードが沢山あると自分でも混乱しそうですが、自分だけにしか分からないような規則というか法則というかキーワードを作って、上手く使い分けたいですね。

WordPress本体やプラグインのバージョンを最新にする

セキュリティの脆弱性からサイトを守るためにも、WordPressやプラグインのバージョンアップは必要です。
バックアップを取らなければいけなかったり、バージョンアップしたことによってプラグインが動かなくなってしまったりと面倒なことになる可能性もあるので避けてしまいがちですが(サトはまだ経験したことがないので想像で書いてます:爆)、対応が遅れれば遅れるほど危険度は上がるでしょうし、最新版との乖離が大きくなった後の対応は更に大変だと思います。
バージョンアップはこまめに行いたいです。

認証を二重化する

これは過去に取り上げました。
このブログ内でも結構人気記事のようですが、WordPressのログイン画面にBasic認証をかけて二重認証にする方法。
ちょっと寄り道: WordPressのログイン画面にBasic認証をかける | SaaSes Staff Blog

セキュリティ対策ってやり出すときりがないというか、ここまでやれば絶対完璧!というものがないので悩ましいですが、自分の大事なデータを守るためにも、常に気をつけたいですね。
えらそうなこと言ってごめんなさい。←

数日前のSaaSes


コピー用紙製超簡易スタジオにて、ぬいぐるみにメガネやiPhoneを装着させキャッキャする岡ちゃんとシノブ氏。

みなさん良い週末をヾ(´・ω・`)ノ”

関連記事

WordPressをインストールする
hellodollyWordPress初期設定時にインストールされているプラグイン「Hello Dolly」