SEEDS Creator's Blog

読者です 読者をやめる 読者になる 読者になる

アカウントadminへの不正ログイン攻撃

WordPress wordpress プログラミング

最近、WordPressの不正ログイン被害が多く発生しているそうです。

WordPressは何も考えずインストールすると、管理ユーザー名は「admin」となってしまいます。 今回の不正ログインでは管理ユーザー名の「admin」に対して、さまざまなパスワードにて ログインを試みる、いわゆるブルートフォースアタックと呼ばれるものです。

簡単なパスワードにしていると高確率でログインされてしまい「フィッシングサイト」に利用されたり「情報漏えい」したりとんでもないことになってしまいます。

そんな事になる前に対策を行っておきましょう

管理画面へのログインをIP制限

・特定のIPアドレスからしか編集を行わない ・サーバーが.htaccessを使用できる 上記の場合はそもそも管理画面にログインできるIPを制限してしまったら安心です。

.htaccess [code] <Files "wp-login.php"> order deny,allow deny from all allow from xxx.xxx.xxx.xxx </Files> [/code]

上記のように記述した.htaccessをwp-login.phpと同階層に置けば特定のIP以外からのログイン画面への接続を制限する事が出来ます。

インストール時に作るIDをadminではなく別のものに

最新のwordpressではインストール時に作成するIDを任意に決定できます。 こちらでadmin以外のユーザー名を指定して下さい。

すでにインストールされたWordPressのIDを変更する

すでにadminユーザーとしてインストールされたWordPressの場合はすこし手間がかかります。 手順としては以下の通り

1.adminユーザーで別のIDの管理ユーザーを作成

ユーザー > 新規作成 で新規のユーザーを作成します。 権限を管理者にするのを忘れずに





2.adminユーザーをログアウトして新規のユーザーでログインします

するとadminユーザーが削除できるようになってますので削除。

マルチサイトWordPressのIDを変更する

すでにadminユーザーとしてインストールされたマルチサイト用のWordPressの場合はさらに手間がかかります。 手順としては以下の通り

1.サイトネットワークの新規ユーザー作成

参加サイト > サイトネットワーク管理者 > ユーザー > 新規追加 にて新規ユーザーを追加します。





2.作った新規ユーザーに「特権管理者権限」を与える

参加サイト > サイトネットワーク管理者 > ユーザー > 一覧 にて作成した新規ユーザを編集し、 「このユーザーにネットワーク特権管理者権限を与える」にチェックを入れて更新します。





3.各サイトにサイトネットワーク管理者のユーザーを追加する

各サイトのユーザー > 新規作成 で新規のユーザーを作成します。 マルチサイトの場合は既存のユーザーをメールアドレスから追加します。 この作業を全サイトぶん繰り返します。





4.adminユーザーの権限を削除する

adminユーザーをログアウトし、新規作成したユーザーでログインします。 新規作成したユーザーでadminユーザーの権限を削除します。 各サイトのユーザー > adminユーザーの編集を行い、権限を「このサイトでの権限なし」に変更します。 この作業を全サイトぶん繰り返します。





この作業が完了するとネットワーク管理者一覧でのadminユーザーの「サイト」に何も表示がなくなります。





この状態を確認したらadminユーザーの管理者権限をはずし





後はサイトネットワーク管理者からadminを削除して完了です。