WordPressは世界中で利用されているCMSであり、その普及率の高さから攻撃の標的になることも少なくありません。特に問題視されているのが、管理者ユーザー名として「admin」をそのまま使い続けているケースです。
米国のセキュリティ機関であるUS-CERT(United States Computer Emergency Readiness Team)でも、WordPressサイトに対する大規模なブルートフォース攻撃が確認されています。攻撃者はまずユーザー名として「admin」を想定し、パスワードを機械的に試行することでログイン突破を狙います。
WordPressの古いバージョンでは、インストール時のデフォルト管理者ユーザー名が「admin」でした。そのため、現在でもそのまま運用しているサイトが意外と多く存在します。
もし管理者ユーザー名が「admin」のままになっている場合、攻撃の入口を自ら広げている状態とも言えます。WordPressを安全に運用するためにも、管理者ユーザー名は推測されにくいものへ変更しておくことが重要です。
ブルートフォース攻撃とは
ブルートフォース攻撃とは、パスワードや暗号鍵を総当たりで試行することでログインや認証を突破しようとする攻撃手法です。特別な脆弱性を突くわけではなく、考えられる組み合わせをひたすら試すというシンプルな方法ですが、コンピュータによる自動化によって非常に多くの試行が短時間で行われます。
暗号やパスワードを解読、解析するための手法のひとつである。考えられる全ての暗号鍵を自動化されたプログラムによってひたすら入力し、復号化プログラムによって、暗号が意味のある文字列になるかどうかを試行錯誤しながら調べて行く方法。どのような形態の暗号に対しても攻撃できるが、鍵の長さが増えると考えられる鍵のパターンの数は幾何級数的に増大するため、効率の悪い攻撃方法であるといえるが、実際の攻撃はコンピュータが行うため、時間さえかければ有効な方法であると言える。
LINK:ブルートフォースアタックとは
ユーザー名が推測しやすい場合、攻撃者はパスワードだけを集中的に試せばよくなります。つまり「admin」というユーザー名は、ブルートフォース攻撃にとって非常に都合のよい標的になってしまうわけです。
WordPressのセキュリティ対策としては、次のような基本対策が重要です。
- 推測されやすいユーザー名を使用しない
- 強力なパスワードを設定する
- ログイン試行回数を制限する
- WordPress本体・テーマ・プラグインを常に最新状態に保つ
その中でも、まず見直しておきたいのが「adminユーザーの削除」です。
WordPressのログインユーザー名を変更する方法
WordPressでは、既存ユーザーの「ユーザー名」を直接変更することはできません。そのため、管理者ユーザー名を変更する場合は、新しい管理者ユーザーを作成してから既存のadminユーザーを削除する方法が一般的です。
作業自体は難しくありませんが、投稿の引き継ぎを間違えると記事の所有者が変わってしまうため、手順は慎重に進めましょう。
adminユーザー削除の手順
- WordPress管理画面の左メニュー「ユーザー」→「新規追加」をクリック
- ユーザー名・メールアドレス・パスワードを入力
- 権限グループで「管理者」を選択
- 「新規ユーザーを追加」をクリック
- 作成した新しい管理者ユーザーでログインし直す
- 「ユーザー」→「ユーザー一覧」を開く
- ユーザー名「admin」にマウスを合わせ「削除」をクリック
投稿記事の引き継ぎを必ず設定する
adminユーザーを削除する際、投稿記事の扱いを選択する画面が表示されます。ここで誤った操作をすると、記事の所有者が失われる可能性があります。
必ず次の設定を選択してください。
- 「すべての投稿を以下のユーザーにアサイン」を選択
- プルダウンメニューから新しい管理者ユーザーを選択
- 「削除を実行」をクリック
この設定を行うことで、adminユーザーが作成した投稿や固定ページは、新しい管理者ユーザーへ安全に引き継がれます。
WordPressサイトを長く運営していると、記事数が数百〜数千になることも珍しくありません。投稿の引き継ぎを忘れてしまうと後から修復するのが非常に大変になるため、この手順だけは必ず確認してから削除を実行しましょう。
セトラー(SETTLER)のウォレットを購入する時のポイント!使いやすい財布とは?
【動画】マックスむらいのパズドラ究極攻略「女神降臨に挑戦」&攻略パーティ例
コメントはこちら