adminでWordPressにログインしている方へ ~ いますぐIDを変更しましょう

 

 Web技術

WordPressは使用するのにライセンス費用が不要なCMS(コンテンツマネジメントシステム)なので、専用ブログや企業サイトで導入される方も多いですね。

WEBサクセスのこのブログも、WordPressで構築していますよ。

広く普及しているCMSですから、デザインテンプレートも豊富ですし、便利なプラグイン(追加機能)もたくさん出ています。ユーザーさんも多いので、使い方がわからなくても聞ける人もたくさんいますね。

そんな便利なWordPressですが、人気のシステムであるがゆえに危険なこともあります。
いますぐ、確認してください!

ハッカー
WordPressが攻撃された!

■ ユーザーIDを「admin」のままにしていませんか?

 WordPressをインストールすると、自動的にユーザーIDは「admin」になっています。
このまま使用するのではなく、別のユーザーIDに変更してください。

ホームページを改ざんするような悪質な攻撃は、WordPressの場合は「admin」を手がかりに行われることが多いです。初期設定が「admin」ですので、ユーザーIDを変えていないホームページもあるだろうなと想定して、一斉に攻撃してきます。
この攻撃でパスワードが流出してしまうと、おかしなプログラムを組み込まれたり、内容が書き換えられてしまう要因となりえます。

■ユーザーIDを変更しても危険

ユーザーIDを変更したから大丈夫! と言う方も、もう一度ユーザーIDを確認してください。「admin」という文字列は含まれていませんか?
これでもまだ危険です。ある操作をすると、ユーザーIDが見えてしまうんですね。

それは、自分のブログのURLのあとに「/」をつけて「?auther=1」と入力すると、ユーザーIDが「1」のブログ記事の一覧が表示されます。
URLにはそのユーザーIDが表示されてます。つまり、URLでユーザーIDが確認できるんです。

詳しくはこちらの記事でご確認ください。

admin から変更しても WordPress のユーザー名は丸見え!投稿者アーカイブの URL を守
る方法http://shirose.jp/2013/06/change-author-slug/

そうすると、ブルートフォースアタック(総当たり攻撃)といって、暗号の解読やパスワードの割り出しなどに用いられる手法を適用することができ、割り出したい秘密の情報、つまりここではWordPressのパスワードの考えられるすべてのパターンがリストアップされて、片っ端から検証されてしまいます。そのうちに、パスワードがわかってしまうんです。

■ じゃあ、どうすればよいの?

ユーザーIDがわからないようにするには、「Edit Author Slug」というプラグインを組み込みます。投稿者のブログ記事一覧が表示されても、URLを変えてユーザーIDを表示されなくなりますよ。

さらに、パスワードも再度確認してください。
自分がブログを書くときは、IDやパスワードはなるべくわかりやすくて覚えやすいものにしたいですよね。それでは、攻撃しようとたくらんでいる側にもわかりやすいということになってしまいます。多少、パスワードは英数字を組み合わせて、長いものを設定するようにしましょう。

このように、WordPressのセキュリティ対策をしっかりすることは、頑丈な鍵を取りつけて泥棒に入られにくい環境を作ることと似ています。

心配な方は、すぐにWordPressを構築してくれた会社に電話して、変更してもらうようにしてくださいね。
作った方ともう連絡取れない場合は、私たちも対応できます。お気軽に相談してくださいね。

お問い合わせはこちらです。
ボタンをクリックすると、お問い合わせフォームが開きます。

お問い合わせ

 この記事の投稿者

アバター画像

白藤 沙織

  • このエントリーをはてなブックマークに追加
  • 0 follow us in feedly

ページ最上部へ