最近、WordPressの不正ログイン被害が多く発生しているそうです。
WordPressは何も考えずインストールすると、管理ユーザー名は「admin」となってしまいます。
今回の不正ログインでは管理ユーザー名の「admin」に対して、さまざまなパスワードにて
ログインを試みる、いわゆるブルートフォースアタックと呼ばれるものです。
簡単なパスワードにしていると高確率でログインされてしまい「フィッシングサイト」に利用されたり「情報漏えい」したりとんでもないことになってしまいます。
そんな事になる前に対策を行っておきましょう
管理画面へのログインをIP制限
・特定のIPアドレスからしか編集を行わない
・サーバーが.htaccessを使用できる
上記の場合はそもそも管理画面にログインできるIPを制限してしまったら安心です。
[code]
<Files “wp-login.php“>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>
[/code]
上記のように記述した.htaccessをwp-login.phpと同階層に置けば特定のIP以外からのログイン画面への接続を制限する事が出来ます。
インストール時に作るIDをadminではなく別のものに
最新のwordpressではインストール時に作成するIDを任意に決定できます。
こちらでadmin以外のユーザー名を指定して下さい。
すでにインストールされたWordPressのIDを変更する
すでにadminユーザーとしてインストールされたWordPressの場合はすこし手間がかかります。
手順としては以下の通り
1.adminユーザーで別のIDの管理ユーザーを作成
ユーザー > 新規作成 で新規のユーザーを作成します。
権限を管理者にするのを忘れずに
2.adminユーザーをログアウトして新規のユーザーでログインします
するとadminユーザーが削除できるようになってますので削除。
マルチサイトWordPressのIDを変更する
すでにadminユーザーとしてインストールされたマルチサイト用のWordPressの場合はさらに手間がかかります。
手順としては以下の通り
1.サイトネットワークの新規ユーザー作成
参加サイト > サイトネットワーク管理者 > ユーザー > 新規追加 にて新規ユーザーを追加します。
2.作った新規ユーザーに「特権管理者権限」を与える
参加サイト > サイトネットワーク管理者 > ユーザー > 一覧 にて作成した新規ユーザを編集し、
「このユーザーにネットワーク特権管理者権限を与える」にチェックを入れて更新します。
3.各サイトにサイトネットワーク管理者のユーザーを追加する
各サイトのユーザー > 新規作成 で新規のユーザーを作成します。
マルチサイトの場合は既存のユーザーをメールアドレスから追加します。
この作業を全サイトぶん繰り返します。
4.adminユーザーの権限を削除する
adminユーザーをログアウトし、新規作成したユーザーでログインします。
新規作成したユーザーでadminユーザーの権限を削除します。
各サイトのユーザー > adminユーザーの編集を行い、権限を「このサイトでの権限なし」に変更します。
この作業を全サイトぶん繰り返します。
この作業が完了するとネットワーク管理者一覧でのadminユーザーの「サイト」に何も表示がなくなります。
この状態を確認したらadminユーザーの管理者権限をはずし
後はサイトネットワーク管理者からadminを削除して完了です。