WordPress のユーザー名 admin を変更してみる

WordPress のユーザー名は admin だから危険なわけではない、パスワードが脆弱なのが問題なのだ、と繰り返し訴えてきたわけですが、あまりに admin への攻撃が多いので、とうとうマットくんが言っちゃいましたね。

Here’s what I would recommend: If you still use “admin” as a username on your blog, change it, use a strong password, if you’re on WP.com turn on two-factor authentication, and of course make sure you’re up-to-date on the latest version of WordPress. Do this and you’ll be ahead of 99% of sites out there and probably never have a problem.

Passwords and Brute Force — Matt Mullenweg

ぼくはいまだに admin をユーザー名に使っている一人なわけですが、いまだに一度もハッキングはされておりません。パスワードが強固であれば問題はないと今も思っています。

んが、どの程度 admin でもって攻撃されているのか把握した上で、admin から変更することでどの程度の影響(負荷が下がったりするのか?)なのかを見てみようと思ったので、このたびユーザー名を変更してみました。

ユーザー名 admin を変更する

ユーザー名 adminを変更

管理画面のユーザー一覧にいき、新規追加を選びます。

新規ユーザーを追加する

ユーザー名を入力し、複雑かつ強力なパスワードを入力します。これが”1234″とか”qwerty”とか、他のサービスのパスワードの使い回しだったりすると、なんの意味もありません。

より慎重になるなら、ここで作成するユーザー名も複雑な方がいいですね。英数記号混じりで。

ユーザー権限を管理者にするのをお忘れなく。

ユーザー追加完了

はい。admin 以外のユーザーができました。

admin からログアウト

admin アカウントからログアウトします。

追加したユーザー名でログイン

さきほど作成した新しいユーザー名でログインします。パスワードは超強力です。これでも喰らえ!

admin の下にある削除を選択

再びユーザー一覧にいきます。管理者権限のある、admin とは別のユーザー名でログインしていますから、これで admin を削除することができます。

admin の投稿を引き継ぐユーザーとして作成した新規ユーザーを選ぶ

すると admin ユーザーの投稿をどうするか聞いてきますので、さきほど作成した新しいユーザー名を選び、削除を実行します。

admin 削除完了

これで、ユーザー名 admin を新しいユーザー名へと変更することができました。

※あまり意識することはないと思いますが、この方法ではユーザー ID が変わってしまう点には注意して下さい。

より完璧を喫するために

WordPress では作成者アーカイブの URL にユーザー名が入るようになっているため、作成者アーカイブへのリンクを表示すると、攻撃者は作成者のユーザー名を容易に知ることができてしまいます(デフォルトテーマなどでは by ほげほげ などという形で作成者アーカイブへのリンクを含んでいます)。

管理者とは別に執筆用の作者ユーザー(管理権限を持たない)を作って、執筆の際にユーザーを切り替える、というのがベターではありますが、それも面倒だと思います。

作成者アーカイブを公開する必要がないのであれば、テーマから作成者アーカイブへのリンクをすべて取り去ってしまいましょう。

作成した新規ユーザーのブログ上の表示名がユーザー名になっていないことを確認

また、作成者名を表示する際にも注意が必要。「あなたのプロフィール」にてブログ上の表示名がユーザー名そのものが選ばれていないことを確認しておきましょう。

では admin でなければ安全なのか?違うでしょ!

では admin でなければ安全なのかというと、そういうことではありません。以前にも書いたように、結局ユーザー名とパスワードの組み合わせで認証しているに過ぎません。

たとえば aaaa というユーザー名に bbbb といったパスワードであれば、総当たり攻撃であっさり破られてしまうでしょう。

さらに sucuri で公開されているユーザー名とパスワードの組み合わせを見ていると、違うものが見えてきそうです。

16,798 [pwd] => admin
10,880 [pwd] => 123456
9,727 [pwd] => 666666
9,106 [pwd] => 111111
7,882 [pwd] => 12345678
7,717 [pwd] => qwerty
7,295 [pwd] => 1234567
6,160 [pwd] => #@F#GBH$R^JNEBSRVWRVW
5,640 [pwd] => password
5,446 [pwd] => 12345
5,392 [pwd] => $#GBERBSTGBR%GSERHBSR
5,058 [pwd] => %G#GBAEGBW%HBFGBFXGB
5,024 [pwd] => RGA%BT%HBSERGAEEAHAEH
4,861 [pwd] => aethAEHBAEGBAEGEE%
Mass WordPress Brute Force Attacks? – Myth or Reality | Sucuri Blog

大半はブルートフォース特有の簡単パスワードですが、#@F#GBH$R^JNEBSRVWRVW や $#GBERBSTGBR%GSERHBSR など妙なものが混じっていますね。WordPress も当初ランダム文字列のパスワードを生成するので、ランダム文字列でしょって思う人もいるかもしれませんが、ランダム生成のパスワードが一致する確率なんて天文学的に低いでしょう。むしろ、これどこかのサイトから漏れだした真っ当なパスワードではないでしょうか。

ユーザー名とパスワードを複数のサイトやサービスで使いまわす人がとても多いため、最近ではリスト型アカウントハッキングと呼ばれる手法が盛んです。Gmail のようなメールサービスのユーザー名とパスワードを不正に取得し、辞書化してそれ以外のサービスに総当りをかけるわけです。最近では Tカードgooスクウェア・エニックスなどのアカウント管理システムで起きています。

サービスごとにユーザー名とパスワードを使い分ける、WordPress だからといって同じパスワードにしない、といったことをきちんとやらなければ結局不正アクセスの被害は防げはしないでしょう。当たり前のことを当たり前にやる、それが安全への第一歩です。

さて、というわけで、これで admin ユーザーからおさらばしたわけですが、これによって不正なアクセスがどう変わるか、しばらくウォッチしてみて、また記事にしますね。ではでは〜。

WordPress のユーザー名 admin を変更してみる” への54件のコメント

  1. こんちはー。

    作成者アーカイブを公開する必要がないのであれば、テーマから作成者アーカイブへのリンクをすべて取り去ってしまいましょう。

    ここですけど、リンク無くても作成者アーカイブは作られちゃうので、リライトルールで
    add_filter( 'author_rewrite_rules', '__return_empty_array' );
    にして404にしておいた方が良いかもー。

  2. 管理者権限を持つユーザ名をデフォルトから変えるのは大昔にセキュリティtipsとして紹介されてたなぁ

  3. ピンバック: Wordpressの初期ユーザー「admin」の変更方法 | Wordpressカスタム

  4. ピンバック: WordPress のユーザー名 admin を変更してみる | WEBのテクニックブログまとめアンテナ

  5. ピンバック: 【Wordpress】ユーザー名を新しく作ったけど、adminが消せない | mania-ku

  6. ユーザー名は変更したけど、まだまだやることがあるのね。確かにユーザー変えても投稿者で見えてたら意味ない。ぐぬぬ > WordPress のユーザー名 admin を変更してみる http://t.co/BscrDj14WO

  7. @_8_7_ おお、いまadminアカウントを力づくでこじ開けるハッキングが流行ってるので、アカウントには気をつけたほうがいいですよー。俺があまりいじってなかったサイトもハッキングされていたので。 http://t.co/vjbM0buTJ8

  8. ピンバック: セキュリティ強化のためにWordPressのユーザ名をadminから変更する « eturlt.net

  9. WordPress のユーザー名は admin だから危険なわけではない、パスワードが脆弱なのが問題なのだ、と繰り返し訴えてきたわけですが、あまりに admin への攻撃が多いので、とうとうマットくんが言っちゃいましたね。 via Pocket

  10. ピンバック: WordPressの大規模なクラッキングが発生したので、対処法をまとめてみたよ。 | アーシタン開発者ブログα

  11. ピンバック: かじった林檎は“知恵”の味 » 寝る前にiPhoneをいじっていると、こんな記事が!それで、このBlogを参考に 変えてみた! 寝る前にiPhoneをいじっていると、こんな記事が!それで、このBlo

  12. ピンバック: 今すぐできるWordPressのセキュリティ対策方法11選 | WordPressテーマ「メシオプレス」ブログ

  13. ピンバック: 5分で完了!今すぐやりたいWord Press簡単セキュリティ対策!!

  14. ピンバック: | wordpress~おおざっぱ・初心者の備忘録

フォームは コメントしてほしそうに こちらを見ている……!

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください