WordPress のユーザー名 admin を変更してみる


WordPress のユーザー名は admin だから危険なわけではない、パスワードが脆弱なのが問題なのだ、と繰り返し訴えてきたわけですが、あまりに admin への攻撃が多いので、とうとうマットくんが言っちゃいましたね。

Here’s what I would recommend: If you still use “admin” as a username on your blog, change it, use a strong password, if you’re on WP.com turn on two-factor authentication, and of course make sure you’re up-to-date on the latest version of WordPress. Do this and you’ll be ahead of 99% of sites out there and probably never have a problem.

Passwords and Brute Force — Matt Mullenweg

ぼくはいまだに admin をユーザー名に使っている一人なわけですが、いまだに一度もハッキングはされておりません。パスワードが強固であれば問題はないと今も思っています。

んが、どの程度 admin でもって攻撃されているのか把握した上で、admin から変更することでどの程度の影響(負荷が下がったりするのか?)なのかを見てみようと思ったので、このたびユーザー名を変更してみました。

ユーザー名 admin を変更する

ユーザー名 adminを変更

管理画面のユーザー一覧にいき、新規追加を選びます。

新規ユーザーを追加する

ユーザー名を入力し、複雑かつ強力なパスワードを入力します。これが”1234″とか”qwerty”とか、他のサービスのパスワードの使い回しだったりすると、なんの意味もありません。

より慎重になるなら、ここで作成するユーザー名も複雑な方がいいですね。英数記号混じりで。

ユーザー権限を管理者にするのをお忘れなく。

ユーザー追加完了

はい。admin 以外のユーザーができました。

admin からログアウト

admin アカウントからログアウトします。

追加したユーザー名でログイン

さきほど作成した新しいユーザー名でログインします。パスワードは超強力です。これでも喰らえ!

admin の下にある削除を選択

再びユーザー一覧にいきます。管理者権限のある、admin とは別のユーザー名でログインしていますから、これで admin を削除することができます。

admin の投稿を引き継ぐユーザーとして作成した新規ユーザーを選ぶ

すると admin ユーザーの投稿をどうするか聞いてきますので、さきほど作成した新しいユーザー名を選び、削除を実行します。

admin 削除完了

これで、ユーザー名 admin を新しいユーザー名へと変更することができました。

※あまり意識することはないと思いますが、この方法ではユーザー ID が変わってしまう点には注意して下さい。

より完璧を喫するために

WordPress では作成者アーカイブの URL にユーザー名が入るようになっているため、作成者アーカイブへのリンクを表示すると、攻撃者は作成者のユーザー名を容易に知ることができてしまいます(デフォルトテーマなどでは by ほげほげ などという形で作成者アーカイブへのリンクを含んでいます)。

管理者とは別に執筆用の作者ユーザー(管理権限を持たない)を作って、執筆の際にユーザーを切り替える、というのがベターではありますが、それも面倒だと思います。

作成者アーカイブを公開する必要がないのであれば、テーマから作成者アーカイブへのリンクをすべて取り去ってしまいましょう。

作成した新規ユーザーのブログ上の表示名がユーザー名になっていないことを確認

また、作成者名を表示する際にも注意が必要。「あなたのプロフィール」にてブログ上の表示名がユーザー名そのものが選ばれていないことを確認しておきましょう。

では admin でなければ安全なのか?違うでしょ!

では admin でなければ安全なのかというと、そういうことではありません。以前にも書いたように、結局ユーザー名とパスワードの組み合わせで認証しているに過ぎません。

たとえば aaaa というユーザー名に bbbb といったパスワードであれば、総当たり攻撃であっさり破られてしまうでしょう。

さらに sucuri で公開されているユーザー名とパスワードの組み合わせを見ていると、違うものが見えてきそうです。

16,798 [pwd] => admin
10,880 [pwd] => 123456
9,727 [pwd] => 666666
9,106 [pwd] => 111111
7,882 [pwd] => 12345678
7,717 [pwd] => qwerty
7,295 [pwd] => 1234567
6,160 [pwd] => #@F#GBH$R^JNEBSRVWRVW
5,640 [pwd] => password
5,446 [pwd] => 12345
5,392 [pwd] => $#GBERBSTGBR%GSERHBSR
5,058 [pwd] => %G#GBAEGBW%HBFGBFXGB
5,024 [pwd] => RGA%BT%HBSERGAEEAHAEH
4,861 [pwd] => aethAEHBAEGBAEGEE%
Mass WordPress Brute Force Attacks? – Myth or Reality | Sucuri Blog

大半はブルートフォース特有の簡単パスワードですが、#@F#GBH$R^JNEBSRVWRVW や $#GBERBSTGBR%GSERHBSR など妙なものが混じっていますね。WordPress も当初ランダム文字列のパスワードを生成するので、ランダム文字列でしょって思う人もいるかもしれませんが、ランダム生成のパスワードが一致する確率なんて天文学的に低いでしょう。むしろ、これどこかのサイトから漏れだした真っ当なパスワードではないでしょうか。

ユーザー名とパスワードを複数のサイトやサービスで使いまわす人がとても多いため、最近ではリスト型アカウントハッキングと呼ばれる手法が盛んです。Gmail のようなメールサービスのユーザー名とパスワードを不正に取得し、辞書化してそれ以外のサービスに総当りをかけるわけです。最近では Tカードgooスクウェア・エニックスなどのアカウント管理システムで起きています。

サービスごとにユーザー名とパスワードを使い分ける、WordPress だからといって同じパスワードにしない、といったことをきちんとやらなければ結局不正アクセスの被害は防げはしないでしょう。当たり前のことを当たり前にやる、それが安全への第一歩です。

さて、というわけで、これで admin ユーザーからおさらばしたわけですが、これによって不正なアクセスがどう変わるか、しばらくウォッチしてみて、また記事にしますね。ではでは〜。


“WordPress のユーザー名 admin を変更してみる” への11件のフィードバック

  1. こんちはー。

    作成者アーカイブを公開する必要がないのであれば、テーマから作成者アーカイブへのリンクをすべて取り去ってしまいましょう。

    ここですけど、リンク無くても作成者アーカイブは作られちゃうので、リライトルールで
    add_filter( 'author_rewrite_rules', '__return_empty_array' );
    にして404にしておいた方が良いかもー。

かじった林檎は“知恵”の味 » 寝る前にiPhoneをいじっていると、こんな記事が!それで、このBlogを参考に 変えてみた! 寝る前にiPhoneをいじっていると、こんな記事が!それで、このBlo へ返信するコメントをキャンセル

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

%d人のブロガーが「いいね」をつけました。