-
WordPressのログイン用ID adminを変更するには
最近Wordpressを狙った大規模攻撃が盛んに行われているようです。攻撃方法は単に、パスワードをいくつも試していく総当たり攻撃(ブルートフォースアタック)らしいです。
IPアドレスで拒否してしまおうにも、9万のIPアドレスが総アタックをかけてくるらしく、防ぐのはなかなか難しいようです。
私はもう、5年以上前からサーバー管理などを行なっているのでわかるのですが、WordPressに限らずインターネット上からの攻撃は、かなり頻繁に行われています。ほとんどがプログラムによる自動攻撃なので、恨みを買った犯行というわけではないとは思いますが、日々、こうした情報に気をつけておいたほうがいいかもしれません。さて、今回の総当たり攻撃は、Wordpressのデフォルトのログイン用IDが「admin」になっていることに起因しているようです。IDがわかってしまえば、あとはパスワードを「a」「aa」「aaa」・・・と総当りしていけば、そのうち必ずパスワードが判明してしまうわけです。
ちなみにこの攻撃を防ぐために、Wordpressのバージョンを3.5.2以上にしておくことをおすすめします。
adminを変更する
というわけで、ログイン用IDである「admin」を変更する方法を紹介します。なるべくならログイン用IDは難しい推測されにくい長いものにした方がいいかもしれません。
最悪、Wordpressを踏み台に借りているレンタルサーバーすべてが乗っ取らるかもしれないからです。さて、IDをadminから変更すると言うよりは、新しくIDを作成し、adminの方を削除し、新しく作ったIDに移行するという言い方のほうが正確になります。
新しくIDを作成するには、メールアドレスが必要なので、あらかじめ用意しておいてください。adminで使用しているメールアドレスとは異なるメールアドレスが必要になってきます。まずは「ダッシュボード」にログインし、左のメニューの中の「ユーザー」をクリックします。
ユーザーの管理画面になるので、「新規追加」と言うボタンをクリックします。
新しいユーザーの名前、メールアドレスなどを追加します。
ユーザー名は、半角英数字で(もちろん)admin以外のものにしてください。
このユーザー名がログイン用IDになります。
メールアドレスは、adminで使っていたものとは異なるものを使用してください。
「名」「姓」は必要に応じて記入してください(コメントやその他の設定で表示される)。
パスワードを設定します。パスワードですが、比較的優しいパスワードでも「強度インジケータ」が「強」を示したりしますが、なるべく数字や記号(%$&など)を織り交ぜたほうがいいでしょう。
「パスワードを送信しますか」と言う部分にチェックを入れておくと、ここで設定したパスワードを作成時送ってくれます。「権限グループ」を「管理者」として選択。
最後に「新規ユーザを追加」をクリックします。「admin」にチェックを入れ、「一括操作」から「削除」を選択。
続いて「適用」をクリックします。このままだと記事も削除されてしまうので、「すべての投稿とリンクを次のユーザーに割り当てる」にチェックを入れ、新しく作成したユーザーを選択します。
「admin」というユーザーが削除され、すべてが新しいユーザーに移行されました。
これでデフォルトの管理者「admin」を削除することができました。なお、残したままでいると、総当たり攻撃を食らった場合、クラッキングされてしまう可能性もあるので、必ず削除しておいてください。
また新しいユーザーも「user」とか「master」など推測されやすいものは付けないほうがいいでしょう。.htaccessでアクセス制限
新しいユーザーを作成しても総当たり攻撃を100%防ぐことはできません。なので、アクセス制限をしておきましょう。
WordPressのダッシュボード(管理画面)は、「/wp-admin/」と言うディレクトリになるので、ここにあるファイルにアクセス制限を設けることによって、更にセキュリティーを高めるというわけです。
まず、「htaccess.txt」と言うテキストファイルをメモ帳などで作成します。
中身は、order deny,allow deny from all allow from .jp allow from .bbtec.net
「.jp」つまり日本からのアクセスは許可する、という設定です。
Yahoo!BBは、「.bbtec.net」なので、Yahoo!BBから投稿する可能性がある場合は、付け加えておきます。
もちろん、投稿するプロバイダーが決まっている場合は、それを指定しておけば更にセキュリティーは上がります。
WordPressは、iPhoneやスマホからも投稿できるので、携帯電話キャリアも許可しておくといいかもしれません。
.htaccessのアクセス制限については、ミケネコさんのサイトが詳しいです。
で、htaccess.txtをFTPソフトなどでサーバーにアップロード(wp-adminフォルダの中にアップロード)し、「.htaccess」に名前を変更します(Windowsでは.htaccessのような「.(ドット)」で始まるファイルは作成できない)。
注意点
「wp-admin」ディレクトリ以下のアクセス制限の設定ですが、Windows Live Wirerのようなソフトで記事を投稿した場合、「wp-admin」を制限しても投稿できてしまうので注意が必要です。
コメントを残す
カテゴリー
- WordPressの導入 (11)
- WordPressの設定 (20)
- WordPressのSEO (21)
- テーマ・プラグイン (7)
- ロリポップ (5)
- サイト構築 (16)
- Movable Type (1)
- Ubicast Blogger (1)