2013年5月1日長尺骨
コラム

セキュリティ向上の為にwordpressのadminユーザー名とパスワードの変更する方法

wordpress_logo1

「ブルートフォースアタック」というものご存知でしょうか?
日本語では総当り攻撃と呼ばれるパスワード解析方法の一つで、「全ての組み合わせを試して正解を探す」という力技です。

例えば自転車のチェーンなんかで、0~9の数字が4ケタあるものがありますよね。
これは理論上10の4乗、10000通りの組み合わせをひたすら試せば開きます。
「人間はめんどくさいのでそんなことやらない」からこそあの鍵は有効なのですが、コンピュータは凄いスピードで延々と次の組み合わせを試します。
時間さえあれば必ずパスワードを見つけることができる、疲れを知らないコンピュータだからこそ出来る方法ですね。
(例え時間と体力があっても他人の自転車の鍵を開けようとしてはいけません)

WordPressへのブルートフォースアタック

最近、Wordpressに対するこのブルートフォースアタックが話題になっています。
ホームページの更新にとても便利なWordpressですが、ユーザーが多くなってきてるので、狙われやすくなってるんですね。

WordPressへログインする際のユーザー名として、デフォルトで割り振られる「admin」を使用している方も多いかと思いますが、安易なユーザー名に対してブルートフォースアタックが仕掛けられているようですので、ユーザー名を「admin」から変更するだけでもセキュリティ効果が高まります。
本来ユーザー名は変更できないのですが、やりようによっては変更することができます。
今日はこのユーザー名の変更方法をご紹介します。

考え方としては

  1. 1. adminとは別に管理者権限のユーザーを作る
  2. 2. adminのユーザーを削除

と言う流れです。

WordPressのユーザー変更方法

ユーザーの新規追加

まずは、adminのアカウントでWordpressにログインし、ユーザー > 新規作成からユーザー作成画面へ進みます。

必要項目を入力し、「権限グループ」を「管理者」に変更し、admin以外のユーザーを作成します。
この際、ユーザー名は「test」や「guest」など、容易に想像のつくものは避けましょう。
また、パスワードも簡単なものは避けてください。
ユーザー名・パスワード共に10文字以上が推奨です。
セキュリティを高めたければ、英数字小文字大文字記号、の組み合わせで長めのパスワードを設定します。(パスワードは忘れないようにメモしてくださいね)

【参考】自動パスワード生成ツール

adminユーザーの削除

新しいユーザーが出来たのを確認して一度Wordpressからログアウトし、
次に先ほど作成したユーザーとしてログインし、「ユーザー」画面でadminの削除をクリックしてください

次の画面で、「すべての投稿とリンクを次のユーザーに割り当てる」にチェックを入れておかないと、adminの投稿が消えてしまうので注意してください。

「削除を実行」ボタンを押すと、adminが削除されます。

ブログ上の表示名の変更

ユーザーの変更は以上で完了ですが、今のままだと投稿者名がログインIDと同じになり、ブログの閲覧者から見えてしまうのでセキュリティ的にはあまり意味がありません。
ユーザー > あなたのプロフィール の画面でIDと同じになっている「ニックネーム」を任意の名称に変更し、「ブログ上の表示名」で設定したニックネームを選択します。
画面下の「ユーザーを更新」をクリックすると完了です。

次回から、ホームページを更新する際に、adminのアカウントは使用できませんので、新しく作成したアカウントでログインしてください。

サーバー側での対策

ブルートフォースアタックは海外からの攻撃がほとんどですので、サーバーによっては海外IPからの管理画面へのアクセスを制限しているものもあります。
こういったサーバーを使用する事でも、セキュリティ効果が高まりますのでお勧めです。
エックスサーバー | 海外からの攻撃に備えWordPressサイトのセキュリティを向上させる

1点言い忘れていました。

上記の対策の前に、常にWordpressは最新のものにアップデートしましょう。