こんにちは。@nyagihimeです。
ここ最近、WordPressの管理画面に総当りでログインを試みる被害が出ているそうです。
デフォルトでよく使われがちな「admin」というユーザーIDに対してパスワード欄を総当りで入力を試みるというものらしいので、adminのまま使っている方は至急変更したほうがいいかもしれませんね。
とりあえずパスワードをより強力なものにするのは大事ですが、adminというユーザー名もやめたほうが安全でしょうから、これもやめてしまいましょう。
といっても、WordPressはユーザーのプロフィールやパスワードは変更できてもIDは変更できません。
ですが簡単にユーザーIDを変更する方法がありましたので紹介します。
1.新しいユーザーを作成する
まずは今までどおり管理者アカウントでログインします。おそらくadminで使用してる方のほとんどが「管理者」だと思いますので、そのアカウントでログインします。
WordPressには同じメールアドレスを持つユーザーを複数登録出来ませんので、まずは「ユーザー」の「あなたのプロフィール」からメールアドレスを別のものに変更します。
(別のメールアドレスでもいい場合はこの工程はスキップしてもOKです。)
次に、「ユーザー」の「新規追加」から新しいユーザー情報を追加します。
ユーザー名を「admin」以外で作りましょう。
今回の目的はユーザーIDを変更することですのでパスワードは今までと同じでもいいですが、ついでなのでより強力なパスワードに変更するのもいいかもしれません。
考えるのが面倒なら、自動生成するサービスもありますので使いましょう。
権限グループを「管理者」に変更してユーザーを追加します。
2.新しいユーザーでログインする
早速WordPressからログアウトして、今作ったユーザーIDとパスワードでログインしましょう。
3.adminユーザーを削除する
新しいユーザーで「ユーザー」から「ユーザー一覧」に入ります。
一覧の「admin」を付近にマウスをもっていくと、「編集」と「削除」という文字が浮かび上がりますので、「削除」をクリックします。
削除の確認画面が出てきて、このユーザーが投稿した投稿をどうするか聞いてきますので、
「全ての投稿を以下のユーザーにアサイン「○○○」」を選択肢、「○○○」に今作ったアカウントが選ばれていることを確認します。無いとは思いますが選択されてなければ選択して下さい。
最後に「削除を実行」をクリックすればユーザーが削除されてadminの投稿はすべて新しいユーザーが投稿したように扱われます。
以上でadminユーザーから新しいユーザーへアカウントと投稿の移行が完了しました。
4.ユーザーが消せない場合
もしも管理者権限でログインしてるのにユーザーの削除が出てこない場合は,プラグインが原因かもしれません。
自分が移行の手伝いをしたWordPressでも削除の文字が出てこない現象が発生し,その時はUserRoleEditorがインストールされているのが原因でした。
プラグインを停止すれば削除が出来るようになりますので,これで作業するか,或いは(このプラグインについて詳しくないので何とも言えませんが…)削除権限を与えてあげればOKだと思います。
移行作業が終わったらもう一度再度有効化しても大丈夫です。
5.おわりに
これで一通りの設定はできましたので,まぁ多少は被害を受ける可能性が低くなるはずです。
とはいえ、結局ユーザーIDもパスワードも(暗号化されて保存されているとしても)文字列に過ぎません。
定期的にパスワードの変更は行ったほうがいいでしょう。
また、一定回数パスワードの認証に失敗するとログインを一定時間ロックしてしまうプラグインなどもありますので、こちらも併用するとより安全になるかもしれませんね。
まとめ
- ユーザーIDに「admin」を使っている場合は別のアカウントに移行したほうが安全
- adminのままで使いたいならせめてより強力なパスワードにする(最低でも8文字以上、大文字小文字を混ぜる。記号も使うともっと安心)
- パスワードは定期的に変更する。
自分が昔働いていた某通販関連のところではパスワードが3ヶ月で失効し、ログインできなくなるようになってました。
リンク
- LoginLockDown(http://wordpress.org/extend/plugins/login-lockdown/)
(長期間更新がされていないようなのでインストールする場合は慎重に。自分は今回は見送りました。) - パスワード生成ツール(http://www.luft.co.jp/cgi/randam.php)
- パスワード強度チェッカー(http://www.benricho.org/password_meter/)
コメントする