WordPressでユーザーIDをadminにしてはいけない理由
この記事を読むのに必要な時間は約 8 分です。
(専門用語などにはポップアップする説明をつけているので時間が長く表示されることがあります。
ツールチップの機能については、こちら)
WordPressのインストール依頼でよくある依頼がユーザー名にadminを入れてほしいという依頼
くまはちLABではそういった依頼をお断りしています。それは、セキュリティ的に非常に危険な行為であり最悪な場合は、乗っ取りされて好き勝手やられる可能性もあります。
くまはちLAB が利用しているCPIサーバー では、利用を緊急停止させられることもあります。
これまで数件乗っ取りされた事例を確認しています。その過半数がユーザー名にadminを使用していたという事実。また、数件が簡単すぎるユーザー名とパスワードを使用していたという事実がありますので乗っ取りされた時にどうなるのかということとそうならないための対策について解説します。
乗っ取りにあった事例
乗っ取りに遭うと契約しているサーバーの対応にもよりますが、CPIサーバー では利用を緊急停止させられることがあります。その場合は、TOPページへのアクセスもできませんし当然ですが管理画面へのアクセスができません。
多くの場合に不正なプログラムをルートディレクトリに置かれている場合があるのです。
多くの場合は、不正メール送信の踏み台にされています。上記画像の選択されている3つは、WordPressに必要なファイルではありません。これは、お客さんが乗っ取られた時に実際にあった事例をキャプチャーしています。
既に乗っ取りされた場合には、すべてのIDパスワードを変更してFTP でログインしてファイルの整合性を確認しなければいけません。
ユーザー名adminを変更する方法
知らずにadminをユーザー名にしてしまった場合は、新しくユーザーを作成してadminの権限を引継ぎしてadminを削除します。その際に必須でやっておきたいことがあります。
上記の画像のようにそのままの設定ではユーザーIDが丸わかりなのです。
それを回避しなければいけません。いくつかのテーマでは外観→カスタマイズで投稿者名を表示させない設定ができるものもあります。(Lightning ,Business Point ,Simplisity2など)
また、ユーザープロフィールでも設定変更が必要です。
ユーザー作成しただけではニックネームもユーザー名のままです。画像のように変更してニックネームでの表示に変更してください。
投稿者アーカイブのURLを変更するというのも1つの方法です。これには、「Edit Author Slug 」というプラグインを使うことで投稿者アーカイブのURLのURLを変更できます。
ユーザー名を晒さないためには?
ユーザー名をできるだけ晒さない対策が必要です。ユーザー名を晒さないということは、総当り攻撃を防ぐためにも大事な要素なのです。
- ニックネームでの表示
- 投稿者アーカイブのURLを変更
- 投稿者アーカイブにアクセスさせない
- コメント機能のカスタマイズ
すべてやったとしても完璧ではないのですが、やってないよりはセキュリティ的にマシというレベルです。これ以外にも対策すべきこともあります。
投稿者アーカイブにアクセスさせない
複数の投稿者で運営しているサイトであれば、投稿者アーカイブのURLは有用な場合もあるかと思うのですが、個人ブログやホームページ運用など、管理者がひとりであれば、他のアーカイブページと内容が重複することとなります。 こういった場合はそもそも投稿者アーカイブのURLそのものが不要でしょう。 下記をfunctions.phpに下記を追記することで404を返します。
|
1 2 3 4 5 6 7 8 |
add_filter( 'author_rewrite_rules', '__return_empty_array' ); function disable_author_archive() { if( $_GET['author'] || preg_match('#/author/.+#', $_SERVER['REQUEST_URI']) ){ wp_redirect( home_url( '/404.php' ) ); exit; } } add_action('init', 'disable_author_archive'); |
404を返すとは、そのページはありません。見つかりませんということになります。可能であれば、404ページもオリジナルにカスタマイズしておくといいかもしれません。
ユーザー名漏洩に備える
WordPressでのユーザー名の漏洩についての対策を書きましたが、日々のチェックと不測の事態に備えバックアップ は必須です。 そして、Web上でのホームページ運営のセキュリティ対策として最も効果が高いのは管理画面へのIP制限です。 ホワイトリスト方式であれば、指定環境以外からはダッシュボードにアクセスすることすらできないのです。 もちろん、FTP にも対策を行います。 これはWordPress以外の静的HTMLのホームページにおいても有効です。
管理画面をIPアドレスで表示を規制する方法は、.htaccessに下記のコードを追記します。
|
1 2 3 4 5 |
<Files "wp-login.php"> order deny,allow deny from all allow from ***.***.***.*** # 自身が接続するIPアドレス </Files> |
自宅のIPアドレスやモバイルルーター・スマートフォンのIPアドレスを調べて 3種類ほど記載しておく方がいいと思いますが、動的でその都度変更する必要があったりすることを知っておいてください。
また、WordPressインストール時に標準でインストールされているLimit Login Attempts での設定なども有効な方法です。
WEBのことならくまはちLABにお任せください。
 |
 |
 |
 |
くまはちLABのご利用ありがとうございます! |
Evernoteに保存