WordPressのセキュリティは難しいけど、まずはユーザーネームは変えときましょう

公開日:2013年8月30日 

WordPressのセキュリティは難しいけど、まずはユーザーネームは変えときましょう

初期設定のユーザー名「admin」を使っている方や、投稿者名にユーザー名が表示されてしまっている方は、悪意のあるハッカーにヒントを出してしまってる状態です。そのあたりの対策について書きました。


ここ数日、某ナウでヤングなレンタルサーバーがWordPressのセキュリティに関して話題に上がっております。基本的にWordPressを自動インストールしたら、その後は何もしない人が多いのではないでしょうか?

当ブログでは「ブログやるならWordPress一択!」と言い続けているのでWordPressのセキュリティに関して書いておきます。
上級者の方は既に対策していると思いますので、本記事は「WordPressを自動インストールしてブログをはじめたばかりで、セキュリティに関して特に何もしてない方」が対象です。
今回はパーミッション設定やMySQLの接頭辞の変更方法などには触れず、管理画面からできる事(ユーザー名&パスワード、adminの削除、今までの記事の引き継ぎ)についてです。

この話に限ったことではないのですが、何事も実行する前にはバックアップをとりましょう。(でも、バックアップ取るのも難しいんですよね…)

ユーザー名はテキトーな文字の羅列にしよう

まず、ユーザー名がまだ初期値(admin)でしたら、すぐに変えましょう。
管理画面の【ユーザー】→【ユーザー一覧】

unc1

「ユーザー名は変更できません。」とある通り、変更はできませんので【新規追加】で新しいユーザーアカウントを作成します。

unc2

パスワード「弱い」判定ではNGですね

その際に「ユーザー名」を決めるのですが、そこでテキトーな文字列(英数大文字小文字)がオススメです。
「投稿者がテキトーな文字の羅列じゃカッコ悪い」と思った方、大丈夫です。(後述します)もちろん「パスワード」もテキトーな文字の羅列(英数大文字小文字&記号)で設定してください。

例えば、ユーザー名は「j71Ay3eo4r9RPwIk」「FRfo20xG8s19Qrye」「s7I4Gx8auJzSA23h」「VlxS4E1MXZu280GI」といった感じで、パスワードは「$’s-6uW1Go4Ur_5Q」「8&S6]4JByVd{C[9v」「u~z73″8xP@/2oKcL」「l253w{j)#JZ6;Odx」といったように設定すると後述する辞書アタックには強くなります。

権限グループは「管理者」にします。

なぜランダムな文字がいいのか?

不正アタックの方法として、主にブルートフォースアタックと辞書アタックがあります。

ブルートフォースアタック(総当たり攻撃)とは?

総当たり攻撃 (そうあたりこうげき)とは、暗号解読方法のひとつで、可能な組み合わせを全て試すやり方。力任せ攻撃、もしくはカタカナでブルートフォースアタック(英:Brute force attack)とも呼ばれる。
出典:wikipedia

辞書アタック(辞書攻撃)引用とは?

辞書攻撃(じしょこうげき、英: Dictionary attack)は、主にコンピュータセキュリティ上で用いられる用語で、クラッカーが特定のコンピュータに施されたパスワードを調べたり、スパム送信者が送信先のメールアドレスを決める際に用いる手法である。
出典:wikipedia

ランダムな文字列にすることによって、少なくとも辞書アタックの防止になります。
また、ユーザー名を隠すことにより、不正アタックの難易度を格段に上げることができます。

何かの記念日をパスワードにするのも危険です。直近100年のどこかの日でも36525分の1で当たってしまいます。人間が3万回パスワードを試すのは大変ですが、コンピュータにとって3万回はそれほど大変な作業ではありません。

ニックネーム設定

初期状態だと【投稿者:Zjd3978dgw2】といったように、ユーザー名がブログの投稿者として表示されてしまいます。 ユーザー名を知られてしまうと、それだけで不正アタックの成功確率を上げさせてしまいます。 なので、ニックネームを設定してそちらを表示するようにします。

unc5

「ブログ上の表示名」をプルダウンでニックネーム(この例の場合「輪亜度 布玲夫」)を選択します。そして「ユーザーを更新」をクリック

unc6

ユーザーを更新をクリック

ユーザー名「admin」を削除。その前に絶対やるべきこと

新しいユーザーを作っただけでは、なんの問題解決にもなりませんので、「admin」やユーザー名が外に漏れてしまったユーザーを削除します。
追記:削除と同時に記事の作者名義の引き継ぎもします

unc3

新しく作ったユーザーでログインします。

unc7

ここの「k」がadminだったとします

【ユーザー一覧】で「admin」を削除をクリック。上の画面の「削除」をクリックしても、まだ削除されません。怖がらなくて大丈夫です。

unc8-2

ここ、すごく大事です!

ここで「すべての投稿を以下のユーザーにアサイン」を選択します。 そうしないと今までadminが書いた記事が全部消えてしまいます!!

そして、「削除を実行」をクリックすれば無事に移行完了です。

これで、不正アタックが成功してしまう確率をかなり減らせるはずです。

wp-config.phpのパーミッション設定についても書こうと思いましたが、まずは管理画面から簡単にできる、ユーザー名とパスワードの変更と、記事の引き継ぎ&adminアカウントの削除まで。
追記:2014.4.22
後になって知ったのですが、投稿者名を変えただけではまだ足りません。
Edit Author Slugというプラグインを使ってAuthorのスラッグも変えといたほうがいいかもしれません。
すごくわかりやすい説明がありましたのでリンクさせていただきます。
Edit Author Slugプラグインの使い方

コメントを残す