WordPress[Acunetix WP Security] セキュリティー対策としてユーザー名（admin）を変更

2014.04.12
WORDPRESS

WordPressのユーザー名（admin）を変更、又は削除する方法
新しいアカウントを作成
install.phpとupgrade.phpを/wp-adminから削除
完成

前回と前々回に渡って紹介してきた、WordPressの基本的なセキュリティー対策と脆弱性対策が出来るプラグイン「Acunetix WP Security」ですが、今回もまだ残っている「セキュリティー対策が必要な項目」の対処方法を備忘録として残したいと思います。

WordPress[Acunetix WP Security] 基本的なセキュリティー対策と脆弱性対策

ちなみに前々回に投稿した記事はこちら、WordPress[Acunetix WP Security] 基本的なセキュリティー対策と脆弱性対策です。「Acunetix WP Security」導入方法など基本的な事を投稿させて頂きました。そして前回は、Acunetix WP Security内での「対策が必要な項目」として表示されていた「”.htaccess”ファイルは”wp-admin”ディレクトリー内には見つかりません。」の対策方法WordPress[.htaccess] 管理画面へのアクセスを日本国内限定にするを備忘録として投稿させて頂きました。そして今回はこちら、

WordPress[Acunetix WP Security] セキュリティー対策としてユーザー名（admin）を変更

赤色で警告されている「今すぐ対処すべき項目」の「管理者権限を持つユーザadminは見つかりませんでした。」と、黄色で警告されている「マストではないが早急に対応すべき」の「”install.php”ファイルは”/wp-admin”ディレクトリー内で見つかりました。」と「”upgrade.php”ファイルは”/wp-admin”ディレクトリー内で見つかりました。」の対策方法を備忘録として残したいと思います。

今回も前回同様OSXローカル環境にwordpressをインストールする方法で構築したローカル環境内にインストールしたテスト用WordPressにて対策方法を行います。

WordPressのユーザー名（admin）を変更、又は削除する方法

先日も紹介しましたが「Web論」さんで紹介していたこちらの記事、

CloudFlare使ってる場合じゃない！海外IPからのWordPressへの攻撃がマジで半端無くなってきてる…IDまで突き止められた！ | Web論

にも書いてありますが、「admin」アカウントで何回も管理画面へのログインを試みています。去年ぐらいから特に増えてきたブルートフォースアタックで、

ブルートフォースアタック
Brute Force Attack/Brute Force Password Cracking
　Brute Forceとは「力ずくで、強引に」という意味で、文字どおり力ずくで暗号を解読して、パスワードを取得する攻撃手段のことを指す。

　パスワードの取得のため、辞書ツールを使いあらゆる文字の組み合わせで総当たりを試み、暗号の解読のためには考えられるすべての暗号鍵をリストアップして暗号文の切れ端を復号化できるか試みる。　

　非常に効率の悪い方法であるが、認証失敗回数制限によりIDが凍結されない限り、パスワードが取得されてしまう可能性がある。そのためにも定期的にパスワードを変更されることや、判明しやすい「平易な英単語」を含むものは使用しないことが推奨されているのである。数字だけなどというのはもってのほかで、あっという間に解読されてしまう。@ITさんより引用させて頂きました。

対策しなければいつか力ずくてログインされ改ざんされてしまうと云う事も十分に考えられます。早速adminアカウントを変更しましょう。

新しいアカウントを作成

管理画面の左のサイドバーからユーザー　→　新規追加をします。

WordPress[Acunetix WP Security] セキュリティー対策としてユーザー名（admin）を変更

ログインする時の「ユーザー名」を入れたら次に「メールアドレス」を入れるのですが、このメールアドレスは「admin」アカウントとは違う物にする必要があります。adminアカウントのメールアドレスにしたいかたは、先にadminアカウントのメールアドレスを変更するか新しいアカウントのメールアドレスを一時的に違うアドレスに変更しておいて、adminアカウントを削除後に変更してください。次にその他パスワードなど必要事項を記入します。

「権限グループ」を管理者に変更したのち一番下の「新規ユーザーを追加」をクリックします。

WordPress[Acunetix WP Security] セキュリティー対策としてユーザー名（admin）を変更

ユーザーのページで新しいアカウント「test」が登録されました。そしてadminアカウントはもう必要がないので上記のように「削除」ボタンをクリックしてアカウントを削除します。adminアカウントにログインしたままでのadminアカウントの削除は出来ないので、一旦ログアウトして先程作成した「test」アカウントでログインします。ログイン後、先程のユーザーのページに行きadminアカウントを削除します。

WordPress[Acunetix WP Security] セキュリティー対策としてユーザー名（admin）を変更

削除ボタンをクリックすると上のような画面が表示されます。「すべての投稿を以下のユーザーにアサイン」の部分がちゃんと新しいアカウントになっているか確認します。確認後「削除を実行」で削除します。削除後にWP Securityのダッシュボードで確認しても「デフォルトユーザの”admin”は見つかりませんでした。」の項目は赤のままですが、しばらくしてからもう一度ダッシュボードに接続してみてください。