WordPress[Acunetix WP Security] セキュリティー対策としてユーザー名(admin)を変更
- 2014.04.12
- WORDPRESS
![WordPress[Acunetix WP Security] セキュリティー対策としてユーザー名(admin)を変更](https://dmgadget.net/wp-content/uploads/2014/04/wordpress-change-username-from-admin_eye.jpg)
前回と前々回に渡って紹介してきた、WordPressの基本的なセキュリティー対策と脆弱性対策が出来るプラグイン「Acunetix WP Security」ですが、今回もまだ残っている「セキュリティー対策が必要な項目」の対処方法を備忘録として残したいと思います。
ちなみに前々回に投稿した記事はこちら、WordPress[Acunetix WP Security] 基本的なセキュリティー対策と脆弱性対策です。「Acunetix WP Security」導入方法など基本的な事を投稿させて頂きました。そして前回は、Acunetix WP Security内での「対策が必要な項目」として表示されていた「”.htaccess”ファイルは”wp-admin”ディレクトリー内には見つかりません。」の対策方法WordPress[.htaccess] 管理画面へのアクセスを日本国内限定にするを備忘録として投稿させて頂きました。そして今回はこちら、
赤色で警告されている「今すぐ対処すべき項目」の「管理者権限を持つユーザadminは見つかりませんでした。」と、黄色で警告されている「マストではないが早急に対応すべき」の「”install.php”ファイルは”/wp-admin”ディレクトリー内で見つかりました。」と「”upgrade.php”ファイルは”/wp-admin”ディレクトリー内で見つかりました。」の対策方法を備忘録として残したいと思います。
今回も前回同様OSXローカル環境にwordpressをインストールする方法で構築したローカル環境内にインストールしたテスト用WordPressにて対策方法を行います。
WordPressのユーザー名(admin)を変更、又は削除する方法
先日も紹介しましたが「Web論」さんで紹介していたこちらの記事、
にも書いてありますが、「admin」アカウントで何回も管理画面へのログインを試みています。去年ぐらいから特に増えてきたブルートフォースアタックで、
ブルートフォースアタック
Brute Force Attack/Brute Force Password Cracking
Brute Forceとは「力ずくで、強引に」という意味で、文字どおり力ずくで暗号を解読して、パスワードを取得する攻撃手段のことを指す。パスワードの取得のため、辞書ツールを使いあらゆる文字の組み合わせで総当たりを試み、暗号の解読のためには考えられるすべての暗号鍵をリストアップして暗号文の切れ端を復号化できるか試みる。
非常に効率の悪い方法であるが、認証失敗回数制限によりIDが凍結されない限り、パスワードが取得されてしまう可能性がある。そのためにも定期的にパスワードを変更されることや、判明しやすい「平易な英単語」を含むものは使用しないことが推奨されているのである。数字だけなどというのはもってのほかで、あっという間に解読されてしまう。@ITさんより引用させて頂きました。
対策しなければいつか力ずくてログインされ改ざんされてしまうと云う事も十分に考えられます。早速adminアカウントを変更しましょう。
新しいアカウントを作成
管理画面の左のサイドバーからユーザー → 新規追加をします。
ログインする時の「ユーザー名」を入れたら次に「メールアドレス」を入れるのですが、このメールアドレスは「admin」アカウントとは違う物にする必要があります。adminアカウントのメールアドレスにしたいかたは、先にadminアカウントのメールアドレスを変更するか新しいアカウントのメールアドレスを一時的に違うアドレスに変更しておいて、adminアカウントを削除後に変更してください。次にその他パスワードなど必要事項を記入します。
「権限グループ」を管理者に変更したのち一番下の「新規ユーザーを追加」をクリックします。
ユーザーのページで新しいアカウント「test」が登録されました。そしてadminアカウントはもう必要がないので上記のように「削除」ボタンをクリックしてアカウントを削除します。adminアカウントにログインしたままでのadminアカウントの削除は出来ないので、一旦ログアウトして先程作成した「test」アカウントでログインします。ログイン後、先程のユーザーのページに行きadminアカウントを削除します。
削除ボタンをクリックすると上のような画面が表示されます。「すべての投稿を以下のユーザーにアサイン」の部分がちゃんと新しいアカウントになっているか確認します。確認後「削除を実行」で削除します。削除後にWP Securityのダッシュボードで確認しても「デフォルトユーザの”admin”は見つかりませんでした。」の項目は赤のままですが、しばらくしてからもう一度ダッシュボードに接続してみてください。
install.phpとupgrade.phpを/wp-adminから削除
transmitや
同じく有名なCyberduckのようなFTPクライアント
を使用して/wp-adminから「install.php」と「upgrade.php」を削除します。「install.php」はWordPressをアップグレードすると自動的に作成されてしまうらしいので、ちょっと面倒くさいですが毎回削除する事が必要になります。
完成
いかがだったでしょうか?アカウント名がadminのままでご使用の方へ向けての備忘録として投稿させて頂きました。「Acunetix WP Security」を使った基本的なセキュリティー対策関係の投稿をあと二回ぐらい予定しています。読んで頂いてありがとうございました。
-
前の記事
WordPress[.htaccess] 管理画面へのアクセスを日本国内限定にする 2014.04.10
-
次の記事
WordPress[Acunetix WP Security] ファイルスキャンを行ってファイルのパーミッションを変更 2014.04.14