最近、WordPressの不正ログイン被害が多く発生しているそうです。
WordPressは何も考えずインストールすると、管理ユーザー名は「admin」となってしまいます。 今回の不正ログインでは管理ユーザー名の「admin」に対して、さまざまなパスワードにて ログインを試みる、いわゆるブルートフォースアタックと呼ばれるものです。
簡単なパスワードにしていると高確率でログインされてしまい「フィッシングサイト」に利用されたり「情報漏えい」したりとんでもないことになってしまいます。
そんな事になる前に対策を行っておきましょう
管理画面へのログインをIP制限
・特定のIPアドレスからしか編集を行わない ・サーバーが.htaccessを使用できる 上記の場合はそもそも管理画面にログインできるIPを制限してしまったら安心です。
.htaccess [code] <Files "wp-login.php"> order deny,allow deny from all allow from xxx.xxx.xxx.xxx </Files> [/code]
上記のように記述した.htaccessをwp-login.phpと同階層に置けば特定のIP以外からのログイン画面への接続を制限する事が出来ます。
インストール時に作るIDをadminではなく別のものに
最新のwordpressではインストール時に作成するIDを任意に決定できます。 こちらでadmin以外のユーザー名を指定して下さい。
すでにインストールされたWordPressのIDを変更する
すでにadminユーザーとしてインストールされたWordPressの場合はすこし手間がかかります。 手順としては以下の通り
1.adminユーザーで別のIDの管理ユーザーを作成
ユーザー > 新規作成 で新規のユーザーを作成します。 権限を管理者にするのを忘れずに
2.adminユーザーをログアウトして新規のユーザーでログインします
するとadminユーザーが削除できるようになってますので削除。
マルチサイトWordPressのIDを変更する
すでにadminユーザーとしてインストールされたマルチサイト用のWordPressの場合はさらに手間がかかります。 手順としては以下の通り
1.サイトネットワークの新規ユーザー作成
参加サイト > サイトネットワーク管理者 > ユーザー > 新規追加 にて新規ユーザーを追加します。
2.作った新規ユーザーに「特権管理者権限」を与える
参加サイト > サイトネットワーク管理者 > ユーザー > 一覧 にて作成した新規ユーザを編集し、 「このユーザーにネットワーク特権管理者権限を与える」にチェックを入れて更新します。
3.各サイトにサイトネットワーク管理者のユーザーを追加する
各サイトのユーザー > 新規作成 で新規のユーザーを作成します。 マルチサイトの場合は既存のユーザーをメールアドレスから追加します。 この作業を全サイトぶん繰り返します。
4.adminユーザーの権限を削除する
adminユーザーをログアウトし、新規作成したユーザーでログインします。 新規作成したユーザーでadminユーザーの権限を削除します。 各サイトのユーザー > adminユーザーの編集を行い、権限を「このサイトでの権限なし」に変更します。 この作業を全サイトぶん繰り返します。
この作業が完了するとネットワーク管理者一覧でのadminユーザーの「サイト」に何も表示がなくなります。
この状態を確認したらadminユーザーの管理者権限をはずし
後はサイトネットワーク管理者からadminを削除して完了です。