ブルートフォースアタック対策!ひとまずadminを変更する方法でWordPressのハッキング対策を

スポンサーリンク

ブログをホストしているXserverから緊急連絡メールがきた。どうやら我がWrodPressブログがブルートフォースアタックの被害に遭ったようです。幸いサーバー管理者が海外のIPアドレス経由のアタックを遮断してくれましたが、それでも完全ではない様子。今回のブルートフォースアタックは主に初期Wordpress IDのadminを利用してるユーザーのアカウント攻撃の模様。対策として先延ばしにしていたadminを変更してみた。その際注意しないと大変なことになりそうなので以下にその方法をまとめてみました。

ブルートフォースアタックが狙うWordPressのadminユーザ


adminを変更する方法でWordPressをブルートフォースアタックから保護

管理者のIDをadminから変更する手順は様々なブログで書かれていますので、この記事では特に注意すべき点を重点に書いていきます。

  1. 念のためにデータのバックアップ
  2. adminでログインして、新ユーザーを作成し管理者権限を付与する。
  3. 新管理者ユーザーで再ログインし、admin名で投稿したすべての記事を上記の新ユーザーに割り当て(アサイン)て、adminを削除する。
  4. ブログ上の表示(投稿者)をadminと同じにする。
スポンサーリンク

1.念のためデータのバックアップ。

サーバのphpMyAdminを利用してデータベースをバックアップする方法は、 WordPress Codex 日本語版より。(自動でのバックアップは データベース自動バックアップ用WPプラグイン「WP-DB-Backup」で地震災害に備える!インストールと使い方から。)

2.adminでログインして、新ユーザーを作成し管理者権限を付与する。

次にいつものようにadminでログインした後に、ダッシュボードのサイドバー「ユーザー」から「新規追加」へ。

image

ここで新しい管理者権限をもつユーザーを登録します。以下のように盤石なアカウントを作成します。

  1. ユーザー名(ID)・・・意味のない長い英数字
  2. パスワード・・・・小文字 大文字を含めた英数字と記号(! ” ? $ % ^ & )を利用した長い意味のない文字列にして、ゲージが「強力」になるように。(以下は強力なパスワードを作成できるロボフォームを利用して作成した例です。)
  3. 権限グループを「管理者」へ。

image

最後に「新規ユーザーを追加」をクリック。ここで忘れずに、ユーザー名とパスワードをメモ。

image

3.新管理者ユーザーで再ログインし、admin名で投稿したすべての記事を上記の新ユーザーに割り当て(アサイン)て、adminを削除。

上記で作成したユーザーIDを利用してWordPressの管理者として再ログイン。adminユーザーを削除します。

image

その際、大切なのは、これまでadminでエントリーした記事を新ユーザーに割り当てる必要がある点です。ここで失敗すると、泣くに泣けません。(1.データベースをバックしておくと安心です。)

image

まず、ユーザのadminの「削除」をクリック。

image

ここで「すべての投稿を以下のユーザーにアサイン:」から管理者権限を持つ「新ユーザ」を選択して「削除を実行」をクリック。

image

4.ブログ上の表示(投稿者)をadminと同じにする。

最後に、記事の投稿者「ブログ上の表示名」をadimiと同じ名前に変更する。

image

以上が、ルートフォースアタックに対処するために最低でも必要なadminユーザーの変更方法でした。実際は、上記の通り変更ではなく「削除」ですね。

まとめ

管理者ユーザーをWordPressの初期IDであるadminのままにしておく危険は再三言われていました。このブログでもWordPressの危ないユーザー名「admin」を変更する方法!セキュリティーは万全に!で書いておりましたが、そのままでした。やるなら「今でしょう」という言葉の通りであることを実感しております。

次の記事でWordPressのハッキングを防止するために、このブログで現在行っているセキュリティー対策まとめ記事を改めて書いてみます。

スポンサーリンク

シェアする

フォローする

関連記事