2019-08-12
管理者ユーザadminが狙われている?!ユーザ名を変更してよりセキュアに
WordPressの管理者ID名を、デフォルトで設定される「admin」のままで運用していませんか?
WordPressのインストール時にデフォルトのユーザーを変更しなかった場合、ログインユーザー名は「admin」で設定されます。このままだとセキュリティ上望ましくありません。
ログインユーザ名が特定されてしまった状態ですと、パスワードがブルートフォースアタックなどで攻撃されたり、推測されてしまうと、管理者権限を乗っ取られてしまいます。ログインユーザー名はadminから別のユーザ名に変更しましょう。
WordPressのログインユーザー名の変更方法と、変更にあたっての注意点を紹介します。
TechCrunch
管理者ユーザの変更
インストール時にユーザ名adminを作成し、ユーザはadmin一つのみ存在するという状況を前提に進めます。
ユーザに関する内容、記事内容を失う可能性がある作業となりますので、念の為作業前にバックアップをとっておきましょう。なお、この記事の作業は自己責任で行ってください。
ユーザ名の変更とご紹介いたしましたが、実はユーザ名を変更することはできませんので、実際には新規に管理者ユーザを作成し、adminユーザを削除するという流れになります。
なお、登録されているユーザがadmin一つしかない場合は削除することはできません。
アカウントを新規作成
メニュー > ユーザー一覧から現在のユーザーを確認できます。登録されているユーザーはadminのみであることが確認できます。
次にメニュー > ユーザー一覧 > 新規追加をクリックして追加画面を表示してください。
ユーザー名、メールアドレス、パスワードを入力し、権限グループは管理者を選択してください。「新規ユーザーを追加」を押すと追加完了です。
なお、「admin」で使用しているメールアドレスは使用することができません。新規ユーザーでも「admin」と同じメールアドレスを利用する場合は、先に「admin」ユーザーのメールアドレスを変更しておきましょう。
adminアカウントの削除
adminユーザでログインたままではadminを削除できません。adminをログアウトして、先ほど作成した新規ユーザでログインしましょう。
一覧の中からadminユーザーにカーソルを合わせ、「削除」を押します。
ユーザーの削除については注意が必要です。
「すべてのコンテンツを以下のユーザーのものにする」をチェックし、プルダウンで新規作成したユーザーを移行先ユーザに選択してください。
「すべてのコンテンツを消去します」を選択してしまうと、adminユーザーで投稿した全ての記事が消えてしまいますので注意が必要です。
「削除を実行」すれば完了です。
まとめ
これでデフォルトのadminユーザーから新規ユーザーに管理者が変更されました。それにより、ログインユーザが特定されにくくなり、以前よりセキュアになりました。
他のセキュリティ対策と併せることにより、さらにセキュリティ向上に繋がります。これを機会に他の方法も調べてみてはいかがでしょうか。