WordPress のユーザー名は admin だから危険なわけではない、パスワードが脆弱なのが問題なのだ、と繰り返し訴えてきたわけですが、あまりに admin への攻撃が多いので、とうとうマットくんが言っちゃいましたね。

Here’s what I would recommend: If you still use “admin” as a username on your blog, change it, use a strong password, if you’re on WP.com turn on two-factor authentication, and of course make sure you’re up-to-date on the latest version of WordPress. Do this and you’ll be ahead of 99% of sites out there and probably never have a problem.

Passwords and Brute Force — Matt Mullenweg

ぼくはいまだに admin をユーザー名に使っている一人なわけですが、いまだに一度もハッキングはされておりません。パスワードが強固であれば問題はないと今も思っています。

んが、どの程度 admin でもって攻撃されているのか把握した上で、admin から変更することでどの程度の影響（負荷が下がったりするのか？）なのかを見てみようと思ったので、このたびユーザー名を変更してみました。

ユーザー名 admin を変更する

管理画面のユーザー一覧にいき、新規追加を選びます。

ユーザー名を入力し、複雑かつ強力なパスワードを入力します。これが”1234″とか”qwerty”とか、他のサービスのパスワードの使い回しだったりすると、なんの意味もありません。

より慎重になるなら、ここで作成するユーザー名も複雑な方がいいですね。英数記号混じりで。

ユーザー権限を管理者にするのをお忘れなく。

はい。admin 以外のユーザーができました。

admin アカウントからログアウトします。

さきほど作成した新しいユーザー名でログインします。パスワードは超強力です。これでも喰らえ！

再びユーザー一覧にいきます。管理者権限のある、admin とは別のユーザー名でログインしていますから、これで admin を削除することができます。

すると admin ユーザーの投稿をどうするか聞いてきますので、さきほど作成した新しいユーザー名を選び、削除を実行します。

これで、ユーザー名 admin を新しいユーザー名へと変更することができました。

※あまり意識することはないと思いますが、この方法ではユーザー ID が変わってしまう点には注意して下さい。

より完璧を喫するために

WordPress では作成者アーカイブの URL にユーザー名が入るようになっているため、作成者アーカイブへのリンクを表示すると、攻撃者は作成者のユーザー名を容易に知ることができてしまいます（デフォルトテーマなどでは by ほげほげ などという形で作成者アーカイブへのリンクを含んでいます）。

管理者とは別に執筆用の作者ユーザー（管理権限を持たない）を作って、執筆の際にユーザーを切り替える、というのがベターではありますが、それも面倒だと思います。

作成者アーカイブを公開する必要がないのであれば、テーマから作成者アーカイブへのリンクをすべて取り去ってしまいましょう。

また、作成者名を表示する際にも注意が必要。「あなたのプロフィール」にてブログ上の表示名がユーザー名そのものが選ばれていないことを確認しておきましょう。

では admin でなければ安全なのか？違うでしょ！

では admin でなければ安全なのかというと、そういうことではありません。以前にも書いたように、結局ユーザー名とパスワードの組み合わせで認証しているに過ぎません。

たとえば aaaa というユーザー名に bbbb といったパスワードであれば、総当たり攻撃であっさり破られてしまうでしょう。

さらに sucuri で公開されているユーザー名とパスワードの組み合わせを見ていると、違うものが見えてきそうです。

16,798 [pwd] => admin
10,880 [pwd] => 123456
9,727 [pwd] => 666666
9,106 [pwd] => 111111
7,882 [pwd] => 12345678
7,717 [pwd] => qwerty
7,295 [pwd] => 1234567
6,160 [pwd] => #@F#GBH$R^JNEBSRVWRVW
5,640 [pwd] => password
5,446 [pwd] => 12345
5,392 [pwd] => $#GBERBSTGBR%GSERHBSR
5,058 [pwd] => %G#GBAEGBW%HBFGBFXGB
5,024 [pwd] => RGA%BT%HBSERGAEEAHAEH
4,861 [pwd] => aethAEHBAEGBAEGEE%
Mass WordPress Brute Force Attacks? – Myth or Reality | Sucuri Blog

大半はブルートフォース特有の簡単パスワードですが、#@F#GBH$R^JNEBSRVWRVW や $#GBERBSTGBR%GSERHBSR など妙なものが混じっていますね。WordPress も当初ランダム文字列のパスワードを生成するので、ランダム文字列でしょって思う人もいるかもしれませんが、ランダム生成のパスワードが一致する確率なんて天文学的に低いでしょう。むしろ、これどこかのサイトから漏れだした真っ当なパスワードではないでしょうか。

ユーザー名とパスワードを複数のサイトやサービスで使いまわす人がとても多いため、最近ではリスト型アカウントハッキングと呼ばれる手法が盛んです。Gmail のようなメールサービスのユーザー名とパスワードを不正に取得し、辞書化してそれ以外のサービスに総当りをかけるわけです。最近では Tカード、goo、スクウェア・エニックスなどのアカウント管理システムで起きています。

サービスごとにユーザー名とパスワードを使い分ける、WordPress だからといって同じパスワードにしない、といったことをきちんとやらなければ結局不正アクセスの被害は防げはしないでしょう。当たり前のことを当たり前にやる、それが安全への第一歩です。

さて、というわけで、これで admin ユーザーからおさらばしたわけですが、これによって不正なアクセスがどう変わるか、しばらくウォッチしてみて、また記事にしますね。ではでは〜。