• WordPressのログイン用ID adminを変更するには

    Date: 2013.04.26 | Category: WordPressの設定 | Tags:

    最近Wordpressを狙った大規模攻撃が盛んに行われているようです。攻撃方法は単に、パスワードをいくつも試していく総当たり攻撃(ブルートフォースアタック)らしいです。
    IPアドレスで拒否してしまおうにも、9万のIPアドレスが総アタックをかけてくるらしく、防ぐのはなかなか難しいようです。
    私はもう、5年以上前からサーバー管理などを行なっているのでわかるのですが、WordPressに限らずインターネット上からの攻撃は、かなり頻繁に行われています。ほとんどがプログラムによる自動攻撃なので、恨みを買った犯行というわけではないとは思いますが、日々、こうした情報に気をつけておいたほうがいいかもしれません。

    さて、今回の総当たり攻撃は、Wordpressのデフォルトのログイン用IDが「admin」になっていることに起因しているようです。IDがわかってしまえば、あとはパスワードを「a」「aa」「aaa」・・・と総当りしていけば、そのうち必ずパスワードが判明してしまうわけです。

    ちなみにこの攻撃を防ぐために、Wordpressのバージョンを3.5.2以上にしておくことをおすすめします。

    adminを変更する

    というわけで、ログイン用IDである「admin」を変更する方法を紹介します。なるべくならログイン用IDは難しい推測されにくい長いものにした方がいいかもしれません。
    最悪、Wordpressを踏み台に借りているレンタルサーバーすべてが乗っ取らるかもしれないからです。

    さて、IDをadminから変更すると言うよりは、新しくIDを作成し、adminの方を削除し、新しく作ったIDに移行するという言い方のほうが正確になります。
    新しくIDを作成するには、メールアドレスが必要なので、あらかじめ用意しておいてください。adminで使用しているメールアドレスとは異なるメールアドレスが必要になってきます。

    ユーザーをクリックまずは「ダッシュボード」にログインし、左のメニューの中の「ユーザー」をクリックします。

    新規追加をクリックユーザーの管理画面になるので、「新規追加」と言うボタンをクリックします。

    ユーザー情報を入力 新しいユーザーの名前、メールアドレスなどを追加します。
    ユーザー名は、半角英数字で(もちろん)admin以外のものにしてください。
    このユーザー名がログイン用IDになります。
    メールアドレスは、adminで使っていたものとは異なるものを使用してください。
    「名」「姓」は必要に応じて記入してください(コメントやその他の設定で表示される)。
    パスワードを設定します。パスワードですが、比較的優しいパスワードでも「強度インジケータ」が「強」を示したりしますが、なるべく数字や記号(%$&など)を織り交ぜたほうがいいでしょう。
    「パスワードを送信しますか」と言う部分にチェックを入れておくと、ここで設定したパスワードを作成時送ってくれます。

    20130426223920 「権限グループ」を「管理者」として選択。
    最後に「新規ユーザを追加」をクリックします。

    20130426224017
    新しくユーザーが作成されました。

    20130426224152 一旦「admin」からログアウトします。

    20130426224234 先ほど作成した新しいユーザーでログインします。

    20130426224330 再び「ユーザー」をクリックします。

    20130426224404 「admin」にチェックを入れ、「一括操作」から「削除」を選択。
    続いて「適用」をクリックします。

    20130426224506 このままだと記事も削除されてしまうので、「すべての投稿とリンクを次のユーザーに割り当てる」にチェックを入れ、新しく作成したユーザーを選択します。

    20130426224626 「admin」というユーザーが削除され、すべてが新しいユーザーに移行されました。

    これでデフォルトの管理者「admin」を削除することができました。なお、残したままでいると、総当たり攻撃を食らった場合、クラッキングされてしまう可能性もあるので、必ず削除しておいてください。
    また新しいユーザーも「user」とか「master」など推測されやすいものは付けないほうがいいでしょう。

    .htaccessでアクセス制限

    新しいユーザーを作成しても総当たり攻撃を100%防ぐことはできません。なので、アクセス制限をしておきましょう。
    WordPressのダッシュボード(管理画面)は、「/wp-admin/」と言うディレクトリになるので、ここにあるファイルにアクセス制限を設けることによって、更にセキュリティーを高めるというわけです。
    まず、「htaccess.txt」と言うテキストファイルをメモ帳などで作成します。
    中身は、

    order deny,allow
    deny from all
    allow from .jp
    allow from .bbtec.net

    「.jp」つまり日本からのアクセスは許可する、という設定です。

    Yahoo!BBは、「.bbtec.net」なので、Yahoo!BBから投稿する可能性がある場合は、付け加えておきます。

    もちろん、投稿するプロバイダーが決まっている場合は、それを指定しておけば更にセキュリティーは上がります。

    WordPressは、iPhoneやスマホからも投稿できるので、携帯電話キャリアも許可しておくといいかもしれません。

    .htaccessのアクセス制限については、ミケネコさんのサイトが詳しいです。

    で、htaccess.txtをFTPソフトなどでサーバーにアップロード(wp-adminフォルダの中にアップロード)し、「.htaccess」に名前を変更します(Windowsでは.htaccessのような「.(ドット)」で始まるファイルは作成できない)。

    注意点

    「wp-admin」ディレクトリ以下のアクセス制限の設定ですが、Windows Live Wirerのようなソフトで記事を投稿した場合、「wp-admin」を制限しても投稿できてしまうので注意が必要です。