WordPressでユーザーIDをadminにしてはいけない理由
この記事を読むのに必要な時間は約 8 分です。
WordPressのインストール依頼でよくある依頼がユーザー名にadminを入れてほしいという依頼
くまはちLABではそういった依頼をお断りしています。それは、セキュリティ的に非常に危険な行為であり最悪な場合は、乗っ取りされて好き勝手やられる可能性もあります。
くまはちLAB が利用しているCPIサーバー では、利用を緊急停止させられることもあります。
これまで数件乗っ取りされた事例を確認しています。その過半数がユーザー名にadminを使用していたという事実。また、数件が簡単すぎるユーザー名とパスワードを使用していたという事実がありますので乗っ取りされた時にどうなるのかということとそうならないための対策について解説します。
乗っ取りにあった事例
乗っ取りに遭うと契約しているサーバーの対応にもよりますが、CPIサーバー では利用を緊急停止させられることがあります。その場合は、TOPページへのアクセスもできませんし当然ですが管理画面へのアクセスができません。
多くの場合に不正なプログラムを[simple_tooltip content='ルートディレクトリとは、階層型ファイル構造における最上階層のディレクトリ(あるいはフォルダ)のことである。
WordPressの場合は、index.phpがある階層になります。']ルートディレクトリ[/simple_tooltip]に置かれている場合があるのです。
多くの場合は、不正メール送信の踏み台にされています。上記画像の選択されている3つは、WordPressに必要なファイルではありません。これは、お客さんが乗っ取られた時に実際にあった事例をキャプチャーしています。
既に乗っ取りされた場合には、すべてのIDパスワードを変更してFTP でログインしてファイルの整合性を確認しなければいけません。
ユーザー名adminを変更する方法
知らずにadminをユーザー名にしてしまった場合は、新しくユーザーを作成してadminの権限を引継ぎしてadminを削除します。その際に必須でやっておきたいことがあります。
上記の画像のようにそのままの設定ではユーザーIDが丸わかりなのです。
それを回避しなければいけません。いくつかのテーマでは外観→カスタマイズで投稿者名を表示させない設定ができるものもあります。(Lightning ,Business Point ,Simplisity2など)
また、ユーザープロフィールでも設定変更が必要です。
ユーザー作成しただけではニックネームもユーザー名のままです。画像のように変更してニックネームでの表示に変更してください。
[simple_tooltip content='WordPress で自動生成される投稿者ごとの投稿をまとめたページです。']投稿者アーカイブのURL[/simple_tooltip]を変更するというのも1つの方法です。これには、「Edit Author Slug 」というプラグインを使うことで[simple_tooltip content='WordPress で自動生成される投稿者ごとの投稿をまとめたページです。']投稿者アーカイブのURL[/simple_tooltip]のURLを変更できます。
ユーザー名を晒さないためには?
ユーザー名をできるだけ晒さない対策が必要です。ユーザー名を晒さないということは、[simple_tooltip content='ブルートフォースアタック(総当たり攻撃)といわれる不正ログインの手法では辞書ツールなどを使って、文字通り理論的にありうるパターンを総当たりでログインを試みます。
プログラムやツールなどを使い、回数制限なしにアタックしてきますので、非常にやっかいです。']総当り攻撃[/simple_tooltip]を防ぐためにも大事な要素なのです。
- ニックネームでの表示
- 投稿者アーカイブのURLを変更
- 投稿者アーカイブにアクセスさせない
- コメント機能のカスタマイズ
すべてやったとしても完璧ではないのですが、やってないよりはセキュリティ的にマシというレベルです。これ以外にも対策すべきこともあります。
投稿者アーカイブにアクセスさせない
複数の投稿者で運営しているサイトであれば、[simple_tooltip content='WordPress で自動生成される投稿者ごとの投稿をまとめたページです。']投稿者アーカイブのURL[/simple_tooltip]は有用な場合もあるかと思うのですが、個人ブログやホームページ運用など、管理者がひとりであれば、他のアーカイブページと内容が重複することとなります。 こういった場合はそもそも[simple_tooltip content='WordPress で自動生成される投稿者ごとの投稿をまとめたページです。']投稿者アーカイブのURL[/simple_tooltip]そのものが不要でしょう。 下記をfunctions.phpに下記を追記することで404を返します。
|
1 2 3 4 5 6 7 8 |
add_filter( 'author_rewrite_rules', '__return_empty_array' ); function disable_author_archive() { if( $_GET['author'] || preg_match('#/author/.+#', $_SERVER['REQUEST_URI']) ){ wp_redirect( home_url( '/404.php' ) ); exit; } } add_action('init', 'disable_author_archive'); |
404を返すとは、そのページはありません。見つかりませんということになります。可能であれば、404ページもオリジナルにカスタマイズしておくといいかもしれません。
ユーザー名漏洩に備える
WordPressでのユーザー名の漏洩についての対策を書きましたが、日々のチェックと不測の事態に備えバックアップ は必須です。 そして、Web上でのホームページ運営のセキュリティ対策として最も効果が高いのは管理画面へのIP制限です。 ホワイトリスト方式であれば、指定環境以外からはダッシュボードにアクセスすることすらできないのです。 もちろん、FTP にも対策を行います。 これはWordPress以外の静的HTMLのホームページにおいても有効です。
管理画面をIPアドレスで表示を規制する方法は、.htaccessに下記のコードを追記します。
|
1 2 3 4 5 |
<Files "wp-login.php"> order deny,allow deny from all allow from ***.***.***.*** # 自身が接続するIPアドレス </Files> |
自宅のIPアドレスやモバイルルーター・スマートフォンのIPアドレスを調べて 3種類ほど記載しておく方がいいと思いますが、動的でその都度変更する必要があったりすることを知っておいてください。
また、WordPressインストール時に標準でインストールされているLimit Login Attempts での設定なども有効な方法です。
WEBのことならくまはちLABにお任せください。
 |
 |
 |
Evernoteに保存